2020年9月からのゆうちょ銀行のインシデントを検証、ガバナンスの現状と課題
日本郵政株式会社は1月29日、JP改革実行委員会から受領した日本郵政グループの内部通報窓口等に係る検証報告書および株式会社ゆうちょ銀行のガバナンス等に係る検証報告書を公表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
ゆうちょ銀行では2020年9月中旬に、即時振替サービスの不正利用で顧客に被害が生じた事案及び今後の対応等について公表し、次いで9月下旬に、Visa デビット・プリペイドカードmijicaの送金機能の不正利用で顧客に被害が生じた事案、10月上旬に、mijica の専用ウェブサイトに不正にアクセスが行われた事案、及びmijica の申込日から到達までの期間における mijica の不正な作成・利用により顧客に被害が生じた可能性のある事案の各発生等について公表し、また9月下旬には、株式会社SBI証券のウェブサイトに悪意のある第三者が不正アクセスし本人確認書類を偽造し不正に開設した貯金口座に出金した事案の発生と対応策について公表と、2020年9月中旬以降、相次いで同行が提供するキャッシュレス決済サービスでインシデントが発生していた。
この状況下で、ゆうちょ銀行の持株会社である日本郵政では、同行のインシデント総点検の結果とセキュリティ強化策の策定状況を踏まえつつ、グループのガバナンスの更なる強化を図るため、ゆうちょ銀行のガバナンスの現状と課題等についての検証を、JP改革実行委員会に依頼していた。
JP改革実行委員会での検証は以下4点の視点から実施している。
1.「顧客本位の業務運営」という理念の下、顧客保護に向けたセキュリティ対策を適切に講じていたか
2.リスク管理態勢として、いわゆる3線ディフェンスにおける2線(管理部門)及び3線(内部監査部門)が有効に機能していたか
3.顧客の苦情に含まれる重大なリスクを検知して分析することを通じて、顧客の声を経営において適切に活用していたか
4.内部統制の要素の一つである「情報と伝達」の状況、すなわち、ゆうちょ銀行が、リスク情報を、どのように認識・評価し、内部で伝達し、日本郵政に報告したか
同委員会では、ゆうちょ銀行の提供する即時振替サービスに関して、顧客になりすました第三者が預金者の口座との紐づけを可能としたのは、決済事業者のアカウントと口座との紐づけを行う際の本人確認の認証セキュリティに二要素認証を導入しなかった等の脆弱性が認められたためと断言し、その要因として「営業部門の所管部署のみが、決済事業者の接続承認基準への適合性の有無を判断していたこと」「即時振替サービス導入時に新商品等審査を実施しておらず、本人確認の認証セキュリティを含めたリスクの評価及び管理を行っていなかったこと」「即時振替サービス導入後において、本人確認の認証セキュリティ対策としての IVR 認証の導入が遅れたこと」「即時振替サービスに接続している決済事業者に対し、本人確認の認証セキュリティ対策としての二要素認証の導入に向けて必ずしも積極的な働きかけまでは行わなかったこと」を挙げている。
同委員会は、その他のインシデントについても同様に検証を実施し、原因等の分析を行っている。
《ScanNetSecurity》