証券口座の乗っ取り被害が後を絶たない中、10月15日に金融庁は監督指針の改定を公表し、金融機関に対してオンライン取引の防御力を高めるべく、実務面の対策強化を求めた。詐欺グループは巧妙化・国際化し、かつての常識はもはや通用しない。顧客の利便性向上がオンラインサービスの成長原動力であった時代は続くものの、同時に資産保護がこれまで以上に前面へ出る時代に入っている。
監督指針の改定の柱は三つある。
第一に、「非対面取引での本人認証の高度化」で、重要な操作時にはフィッシング耐性を有する多要素認証(MFA)の導入を原則義務化(ID・パスワードだけでは不十分)。
第二に、「情報伝達手段の見直し」で、メールやSMSにパスワード入力を促すページのURLやログインリンクを記載する行為を原則禁止(偽サイトへの誘導を断ち、真正サイトの利用徹底を図る)。
第三に、「異常取引の検知体制の整備」で、AIや行動分析を活用し、不正兆候の早期把握を求める。
1.パブリックコメントの論点
公表された意見と金融庁の回答を見ると、主に三つの論点が浮かび上がる。
まず、多要素認証の義務化に対し、導入コストや高齢者対応への懸念が寄せられた。これに対し金融庁は、「SMSやメールのようなフィッシング耐性の弱い方式では不十分」とし、より強い認証方式が必要との基本姿勢を明確にした。
次に、パスワード入力を促すページのURLやログインリンクの送付禁止の運用面である。パスワード再設定のように例外が想定される場面について、金融庁は例外を容認する一方、「利便性目的の乱用は不可とする」と釘を刺している。今後は例外基準の明確化が実務上の課題となる。
さらに、異常検知の判断基準の明確化を求める声があったが、金融庁は「各社のリスク評価に基づく判断」と回答し、あえて細かな基準を示さず、運用責任を事業者側に残した。
2.実務対応の留意点
監督指針は単なるチェックリストではない。形式遵守ではなく、まさに実効性が問われる。なかでも本人認証では、形式的な二要素では不十分と受け止めたい。パスワード+SMSでは、攻撃者の進化に追いつかない。今後は、FIDO2準拠のパスキー認証など、抜本的な方式転換が期待される。
なお、金融庁がフィッシングに耐性のある多要素認証の必須化を原則として2026年6月末までに実施するよう金融機関に求める中、楽天証券・SBI証券などが10月下旬からパスキー認証サービスの提供を開始したことは、迅速な対応として高く評価できる。他社もこの動きを追い、できるだけ早期に移行を進めることが望まれる。
また、パスワード入力を促すページのURLやログインリンクのURL送付禁止の例外運用には、承認フローとログ管理が欠かせない。人の判断が介在する領域ほど、ガバナンスが試される。
さらに、異常検知では、IPロケーション、端末情報、時間帯、行動パターンなどを複合的に分析し、自社顧客に最適化された監視基準を磨く必要がある。攻撃者は常識からの逸脱を巧妙に隠すため、分析モデルも常にアップデートが求められる。
重要なのは、「金融庁が求めるものは、現時点での最低限の安全ラインにすぎない」と理解することだ。犯罪者は日々進化し、明日の脅威は今日の対策を上回る。コスト増は避けられず、専門人材の確保も簡単ではない。それでも対策は待ったなしだ。時に、費用対効果を考えてサービス見直しや撤退といった経営判断が必要になる場合すらあるものと認識する必要があろう。
3.分かれる補償対応
不正送金被害に対する補償では、対面証券が原状回復を原則とする一方、ネット証券は半額補償を中心とした。対面型は人的接触によるリスク管理を行い、コストも高い。一方、ネット証券は低コスト・利便性を前提とする仕組みであり、顧客側の自衛が不可欠な設計になっている。この差は一見不公平にも映るが、ビジネスモデルの根本が異なる以上、一律には論じられない。
大切なのは、「どこまでが顧客責任で、どこからが事業者責任か」を事前に明確に伝える説明責任ではないだろうか。補償の妥当性は、コミュニケーションの透明性とセットで考える必要がある。
4.顧客の自衛と理解
しかしながら、制度やシステムが整備されても、最終防衛線は利用者自身だ。被害の多くは、不審メールのクリック、IDの使い回し、推測されやすいパスワード設定など、注意で防げたものが少なくない。したがって、利用者教育の強化は欠かせない。金融リテラシーとサイバーリテラシーは、もはや資産運用の前提条件である。
また、安全対策にはコストが伴う。利便性の追求とセキュリティの強化はしばしば相反するが、優先されるべきは顧客資産の保護である。その理由を丁寧に説明し、理解を得ていく努力が求められる。誠実な説明があれば、顧客は前向きに受け止めるだろう。
5.国境を越えた脅威への備え
近年は、海外からの不正アクセスが目立つ。攻撃者は匿名性を盾に国境を越えて襲いかかり、検挙の難しさが被害拡大を助長している。よって、国内対策だけでは不十分であり、金融庁や警察庁には、海外当局との連携や情報共有をさらに強化してほしい。国際的な捜査協力こそが、抑止力を高める現実的な手段である。
低コストで利便性の高いオンライン取引は、これからも市場の成長を牽引していく。だが、その土台は安全性の確保であり、信頼性の維持である。金融機関も顧客も、それぞれの立場でリスクを正しく認識し、求められる役割を果たしていく必要がある。
安心して投資できる社会へ。信頼という無形資産を守ることこそ、ネット時代の金融が持続的に成長する条件であろう。
