キャッシュカードの偽造問題を巡り、銀行界は「生体認証機能付きICカード」の導入など安全対策を相次いで打ち出している。マスメディアと金融庁に尻を叩かれたため「何でもやります」という姿勢である。だが最新の技術を使っても絶対安全なシステムは作れない。預金者は「自分のお金を自分で守る」必要がある。

　それにしても年初からこの2月末までの動きは急であった。日本経済新聞の記事を読んでいると、銀行の偽造カードを巡る記事の本数と記事1本当たりの分量はともに増え続けている。1月8日付報道で「偽造カード、銀行に対策要請」と出たと思うと、25日に「偽造カード防止　IC化、全銀協、加盟行に要請へ」、26日に「偽造カード対策、引き出し限度額下げ　金融業界、被害補償も検討」という記事が1面に連続して登場した。

　2月22日付の日経夕刊には、金融庁がまとめた被害実態の調査結果が報道され、翌23日朝刊総合面には「偽造カード補償、官民動き出す」という大きな記事が載った。続いて2月末から3月初めにかけ、大手銀行や日本郵政公社の対策が次々に報じられた。

　対策の中心は「生体認証機能付きICカード」で、これはカード名義人の静脈形状をICカード内のチップに記憶させておき、ATM（現金自動預け払い機）を利用するときに名義人本人かどうかを確認する最新技術である。ICチップ内の情報を読み取りにくいので偽造が難しいとされている。これまでの磁気ストライプ付きカードは偽造が比較的容易であり、さらに暗証番号を知られてしまうと預金が引き出される危険があった。

　ICカードを巡る報道は過熱し、3月3日付朝刊には「ICキャッシュカード、生体認証は2陣営に」という記事が出た。生体認証のやり方として、手のひらの静脈を使う方式と指の静脈を使う方式があり、東京三菱銀行とUFJ銀行、信用金庫業界などが手のひら方式、みずほ銀行と三井住友銀行、郵政公社が指方式をそれぞれ採用した。日経は「銀行界が二分された」として「規格統一を求める声が高まりそうだ」と書いている。

被害者とマスメディアには勝てない

　さらに金融庁はICカードや生体認証の導入に加え、ATM利用限度額を預金者が設定できる仕組みや、偽造カードが使われた場合の保険・補償制度を用意するよう、銀行界に求めている。各銀行は3月末までに対策をまとめようと大わらわである。銀行は従来、偽造カードによって被害が発生しても、原則として損害を補償してこなかった。例外は、預金者がカードや暗証番号をきちんと管理していたことを銀行が確認できた場合だったが、その確認は難しかった。

　ところがここへきて全国銀行協会の西川善文会長（三井住友銀行頭取）が「銀行が独自調査をして補償できる」と述べた。政府も、被害者が補償を求めやすくする法律の立法を検討し始めた。被害者とマスメディアには政府も金融庁も銀行もだれも勝てない、というわけだ。

　しかし仮に銀行に100％の非があるとしても、被害者の言い分をすべて認めて、なし崩しに対応策を一斉導入するというのは間違っている。技術にからむ問題に対処するときの鉄則は、仕組み（システム）の全体像を把握したうえで「トレードオフ」を冷静に判断することである。トレードオフは対応する日本語が存在しない英語だが、要はトレード（交換）であって、ある案（利点）を選んだ代わりに別な案（利点）を放棄することを意味する。日本語の「いいとこ取り」や「取捨選択」とは全く異なる考え方だ。

安全対策の費用対効果はだれも考えず

　偽造カード問題の対策を巡っては、安全性、利便性、対策費用などを視野に入れてトレードオフの判断をすべきである。安全で預金者の利便性を損なわず、しかも費用がかからない妙案などあるわけがない。ところが現状の動きを見る限りトレードオフを考えた形跡はない。ひたすら安全性を高めようとしてICカードや生体認証の仕組みをとにかく入れる。続いて「技術の規格が異なると、預金者が使えるATMが限定され、利便性が損なわれる。統一してはどうか」となってしまう。

　確かに新しいICカードに切り替えると預金者の利便性は以前より落ちる。同じ規格のICカード用ATMが置いてある他行あるいはコンビニエンスストアでしか預金を下ろせなくなる。家族に頼んで引き出すことはできない。大企業の社長は秘書に頼めなくなり、自分で銀行に行ってATMコーナーに並ぶ必要がある。こうした問題を回避しようと、ICカードに従来通りの磁気ストライプを張りつけているが、それなら従来と安全性は変わらない。

　安全性と利便性が両立しないとなると損害補償を検討し始める。ここまで読んでこられた読者はお分かりと思うが、一連の対策で「対策費用」は全く考慮されていない。ICカードや生体認証、さらに引き出し限度額変更といった対策を導入すると恐らく1行当たりの情報システム関連投資は10億円を超える。全銀協によると預金引き出し被害の総額は2004年度上半期（4〜9月）で4億6100万円。2002年度の被害額は通年で1200万円であったというから確かに急増している。しかし、だからといって被害総額を超える金額を全銀行がやみくもに安全対策に投入するのは合理的ではない。銀行は営利企業なのだから費用も含めてトレードオフを考えるべきである。

最も有効なのは預金者の自衛策

　実はお金があまりかからず、かつ、現状ではICカードより有効な対策がある。預金者の自衛である。しかし現在のように「銀行がとにかく悪い」という感情論が席巻してしまうと、銀行が「技術面にいくらお金をかけても万全ではありません。預金者の自衛が最も有効です」などと言おうものなら大変なことになるだろう。

　銀行が言えないならメディアが指摘すべきではないか、などと考えつつ過去の切り抜きを掃除していたら素晴らしい記事を見つけた。ちょうど1年前、2004年3月4日日経夕刊生活面に掲載された「横行する『スキミング』、カード情報盗まれ被害に　身分証と別に保管を」という記事である。何が素晴らしいかというと最近報道されていることの大半が要領よく解説されているからだ。

　この記事は、偽造カードによる被害が増えている事実を伝え、その手口を紹介し、クレジットカードの場合は所有者に支払い義務は生じないがキャッシュカードの場合は丸々被害者がかぶる、と指摘している。対策としてICカードの導入が始まっていることに触れつつ「現状では磁気とIC併用型になっており、防犯効果は期待できない」とはっきり書いている。現在毎日のように掲載される記事を見渡しても、ここまで書ききったものはない。

　そしてこの記事の最も立派なところは自衛策についてかなりの行数をとって紹介していることだ。その説明もまた分かりやすく、しかも「カード被害に遭わないための主な自衛策」という表までついている。この表が素晴らしいので以下に再掲する。
・カードは現金と同じで、保管は厳重に
・必要ない時は持ち歩かない
・暗証番号は誕生日などにしない
・カードと免許証や保険証などをまとめて置かない
・大口の口座の場合はカードをつくらない

　この記事が出た1年後の2005年2月22日、日経は金融庁の実態調査結果を報じたが、その中に次の1文がある。
「被害にあったカードの暗証番号の41％が生年月日に関連していた」

本記事は日経ビジネスEXPRESSでも公開しています

■>・カードは現金と同じで、保管は厳重に
　これは当然。実際はそれ以上だ。

>・必要ない時は持ち歩かない
　意味無し。空き巣に入られたらおしまい。スキミング被害に関しては、必要なときに所持していても、必要なとき＝利用時にスキミングされれば損害が出る。被害を防ぎたければ利用しない以外に手はない。

>・暗証番号は誕生日などにしない
　これも当然。ただしいまだに、たかが4桁の暗証番号しか使えない旧式システムというのも問題がある。

>・大口の口座の場合はカードをつくらない
　これも残念ながらあまり意味がない。カードの代わりに預金通帳で被害が出るだけ。

　問題は、システムの脆弱性がもたらすリスクを、顧客側に100%負担させていること。それをいいことに銀行側は最近までセキュリティ向上に指一本動かそうとしてこなかった。

■銀行も、費用対効果を考えて安全対策（にもなるシステム)を導入しているのではないかと思います。

　クレジットカード会社が少し前からICカードを積極的に導入しているのは費用対効果を見込んでのことでしょう。ですから、銀行がICカードでキャッシュカードを高度化して、多様なサービスを提供し収益を向上させることも十分可能だと思います。

　将来ICカードが普及すれば、磁気カードを使ったサービスをうち切ることで安全対策につながります。方法は異なるものの、個人が購入するパソコンにおまけで指紋認証機能が付くくらいに生体認証機能も低価格化しています。ATMに付けるのがそれほど大変とは思いません。

　秘書に預金の引き出しを頼む大企業の社長のために、自己責任で生体認証を使わないとする選択肢は必要と思います。

■銀行がトレードオフを考えていないわけはないと想像します。というか、大抵の人はトレードオフを考えて仕事や生活をしているのではないでしょうか。特に技術や経営に携わる者にとって、日常的な当然のことになっているはずです。配慮の範囲や質に問題はあるかもしれませんが…。

　トレードオフに触れようとしない代表はマスコミの記事かもしれません。マスコミの一員として自戒されていることは評価しますが、本コラムが世間一般に対しての主張ならば空振りをしているような気がします。