2024年3月24日
(前編はこちら)
事務局:組織犯罪、金融犯罪を減らすためには、どのような取組みが重要であると思われていますか。
松本様:そもそも、世界という視点からは、組織犯罪は、減らないというか一定の割合で起きるものだと思っています。とはいっても、無策でいいという訳ではありません。犯罪者の視点からは、弱いところを攻撃することで、犯罪者にとってコストやリスクの少ない方法で攻撃するということかと思います。
したがって、相対的に日本の金融機関の対策が遅れているとみなされると、日本の金融機関への攻撃が増す結果となるのだと思います。そこで、まずは、他国や、他業界と比べて、自国・事業界の犯罪対策がどういった水準にあるのかといったことを把握する必要があると思います。
そして、他国や、他業界と比較して、そん色のない取組みを推進していく必要があるのだと思います。その意味で、日本は、まだまだ改善すべき点が多いと思っています。
次に、犯罪者は、インセンティブ、犯罪の成果を得やすい所を攻撃する傾向があると思います。したがって、犯罪者のインセンティブを減らすことも取組として重要かと思います。例えば、偽造キャッシュカードの問題では、当時、引出可能額を200万円から20万円に下げることなどにより、一定の効果を上げることができました。
さらに、中長期的な対策と、短期的な対策とをうまく組み合わせて、対策を講じていくことが重要かと思っています。例えば、偽造キャッシュカード問題で、本質的にやらなければならなかったのは、磁気ストライプのキャッシュカードを止め、ICカード化することだったのですが、これには時間がかかります。そこで、当初、一番効果的だった対応は、磁気ストライプのキャッシュカードを使った、引き出し額の上限を下げることでした。しかし、本質的には、やはり磁気ストライプのキャッシュカードを止めることが重要で、これは、中長期的な対策として実行する必要があったのであり、時間軸の中で対策を検討する必要があるのだと思います。
事務局:なるほど。まとめますと、中長期の対策と、短期の対策を複合的に組み合わせ、犯罪組織側のインセンティブ・コストも分析した上で、効果的、かつ、実現可能な取り組みを推進していくということでしょうか。
松本様:はい。そのとおりです。
事務局:組織犯罪との関係で、何か注目している問題はありますか。
松本様:社会問題化しているという意味において、ランサムウェアの問題には、注目しています。
ランサムウェアの犯罪は、ランサム(ransom)が示すとおり身代金ビジネスの一種ですが、従来型の犯罪での身代金ビジネスは、身代金の受け取りというところで犯罪者からしてリスクが大きいビジネスだったわけです。しかし、その身代金に暗号通貨を利用することにより、犯罪者からしてリスクが下がったことが、ランサムウェアの問題を引き起こしたと考えられます。
暗号通貨に限らず「財産的価値の移転」は、今後、多様化すると考えられます。広義の金融機関にとっては、「財産的価値の移転」の多様化は、ある意味、新たなイノベーションを生む領域と考えられますが、同時に、犯罪者視点からの取組みも考える必要があるのだと思います。
事務局:松本様が、日本として、日本をよりよくするために、実現した方がよいと思われる施策は何でしょうか。
松本様:今現在、注目していることに、欧州のeIDAS規則の改正があります。eIDAS規則は、日本の電子署名法に相当する法制度になりますが、日本の電子署名法よりもずっとそのスコープが広いということがあります。
そもそも、取引をする場合には、ネットの向こう側にいる方が、誰なのかということを確認する作業、本人認証の作業がとても大事です。欧州は、その重要性を認識しており、eIDAS規則というものを作って、政府や民間等での本人認証等の手順や、認証機関について様々な定めを置いています。
本研究会の第1回でも取り上げたFATFの「デジタルIDガイダンス」にも、大きな影響を与えています。
このeIDASの改正案が2021年に出ており、eIDAS2.0と呼ばれているのですが、この改正案は、2024年2月には欧州議会を通過し、成立間近な状況にあります。このeIDAS2.0では、新たイノベーションを生むことと、サイバー犯罪を抑制することの双方が検討されていると認識しています。
こういう産業政策、犯罪対策の双方視点から、本人認証制度を設計するという、こういう視点を、日本政府も、もっと持つことが重要のではないかと思っています。
事務局:本当におっしゃるとおりです。
松本様:このeIDASの改正との関係では、デジタルアイデンティウォレットというもの導入が方針として打ち出されています。マイナンバーカードは、民間で使いづらいのですが、そういった問題、すなわち民間で利用できるものを、eIDAS2.0のデジタルアイデンティウォレットでは、プライバシー保護技術を使って解決しようとしています。
事務局:これは、マイナンバーのような番号がつくのでしょうか。
松本様:金融機関で使えるかがまだよく分からないのですが、デジタルアイデンティウォレットの有力なユースケースとしてファイナンスが取り上げられています。また、デジタルアイデンティティウォレットでは、人の属性の証明をできるのが大きいと思っています。弁護士であるとか、医師であるとか、そういう資格の証明が、デジタルアイデンティウォレットで可能なります。これがすごいなと思っています。
事務局:先日、FATF勧告16の改正案が公表されましたが、国民識別番号が必要という風に、FATF勧告16が変わる予定です。日本のマイナンバーは、税、医療、社会保障の目的にしか使えないといっているので使えません。何を使うという風に思われますか。
松本様:日本でも、議論中ですよね。欧州も、国によって、色々な議論があるので、注目しています。今までは、国をまたいで、IDが使えなかったので、それを国をまたいで使えるようにしようとEUがしているのは、画期的だと思っています。(そんなに簡単でないので、本当にうまくいくのかと思ってみていますが。)
事務局:インドでは、国民IDカードに、虹彩認証の情報や、指紋の情報も入れて、本人確認時に、国民IDの確認を必須としているようですが。他にご注目なさっている点はあるのでしょうか。
松本様:eIDASの改正案の45条に注目しています。これは、ウェブサイトの認証である、QWAC(Qualified Web Authentication Certification)というものになります。クワックと読みます。eIDAS1.0からQWACはあるのですが、QWACに属性情報が入って、属性情報をブラウザでユーザフレンドリーに表示できないといけないという風にしようとしています。これが、eIDAS改正案の45条です。これに対して、ブラウザソフトの提供業者や、EFF電子フロンティア財団や、プライバシーを重視する方々などが、反対をしていましたが、一応の決着がついて、法案が欧州議会を通過したようです。
やろうとしていることは、金融監督官庁が認めた金融機関であることを、利用者が、検証することができるということをやろうとしているように見受けられます。これは、かなり強力なフィッシング対策にもなると期待されます。
なお、実をいうと、一部、既に実現しています。PSD2(*6)では、Open Bankingで、金融機関や関連事業者がシステムを相互に接続する際に、法人の署名であるe-Sealの署名という形や、QWACにより組織のウェブの認証を行うことで実現しています。その時に、金融監督官庁が認めた金融機関であることが分かるようになっています。これをブラウザソフトによりインターネットの利用者もわかるようにするというのが、eIDAS2.0の革新的な部分です。
(*6)事務局注:PSD2とは、Payment Services Directive 2といい、日本語では、決済サービス指令、又は、支払サービス指令と訳される欧州指令です。Payment Institution(資金移動業者等に相当)を規制する等しています。
日本としても、このような電子認証の活用のための法整備の推進をどんどんしていく必要があるのではないかと思っています。そして、これが、産業促進・技術革新を導くと共に、詐欺等の犯罪をなくすことにもつながっていくのではないかと思っています。
事務局:電子認証といった場合には、人の認証だけでなく、機器の認証も大事ということを松本様はよくおっしゃりますよね。
松本様:人、機器だけでなく、法人もですね。向こう側にいる人、法人、機器が、誰なのか、何なのか、そして、その属性が何なのかという点も含めた確認が大事で、相手を信頼できるかという「トラスト」が大事であると思っています。
事務局:そういえば、日弁連・法務研究財団で「IDとトラスト」というシンポジウムをやらせていただき、松本様にもご登壇いただきましたね。楠正憲様や、山内徹様、高橋郁夫弁護士などと一緒に。このインタビューの末尾に、松本様の資料へのリンクをいれておきます。
松本様:ありがとうございます。
事務局:金融犯罪対策研究会については、2020年4月からの設立メンバーでいらっしゃいます。本研究会の第1回のテーマは、「FATF『デジタルIDガイダンス』」でしたが、このテーマも、松本様が提案なさったものでした。本研究会については、どのように思っていらっしゃいますでしょうか。
松本様:現場の困りごと、金融犯罪の実体を知るといったところで、非常に参考になると思っています。また、学者、役人、金融機関、セキュリティベンダー、弁護士、コンサルタント等、色々な立場の方が参加され発言されているので、現在、起きている問題の全体像を俯瞰して理解することができると感じています。やはり、犯罪と戦うためには、様々な視点から全体像を俯瞰し、政府や民間の様々なプレーヤーが共同して戦うことが重要であると思います。
事務局:今後については、松本様ご自身として、どのような活動を考えていらっしゃるのでしょうか。
松本様:今後は、NPO 日本ネットワークセキュリティ協会(JNSA)のフェローなどとして、なるべく中立的な立場で活動することを考えています。
事務局:個人事業主として、調査等の受託をなさる可能性はあるのでしょうか。
松本様:あります。
事務局:頼もしいですね。
事務局:最後に、読者の皆様、特に若い方々へのメッセージはございますか。
松本様:なるべく、俯瞰して、現在の自分の立ち位置と将来的な方向性を確認できるとよいのではないかと思います。
事務局:具体的にはどういうことでしょうか。
松本様:自分自身の経験からすると、2005年の「偽造キャッシュカード問題に関するスタディグループ」のメンバーになったことにより、法律家や、銀行の方や、そういう多角的な観点から、自分の仕事を見直すことができました。それが、サイバー犯罪の状況を理解するのにとても役立ちました。全体像というか、俯瞰的な視野を持つことにより、自分の専門、日本社会や会社組織における自分の立ち位置というものを考えるよいきっかけとなりました。
この俯瞰という作業により、専門家として、直接的なプロフィットがあるとはいいにくいところが難しい所なのですが、そういった視点を持つことにより、自分がどういう成果を出すべきか、世の中から何が求められているのか、ということが見えてくるのではないかと思っています。そして、長期的には、それが、自分のキャリア形成の方向性を示してくれるのではないかと思っています。
俯瞰といった場合、例えば、本研究会では、金融犯罪「対策」という観点がメインですが、新しい技術、「イノベーションの創出」がなされることによりサイバー犯罪が増える側面もあります。サイバー犯罪を抑制」ということだけを考えていると、イノベーションを殺すことにもなってしまいますので、その間にあるさまざまなトレードオフを理解することも大事だと思っています。
事務局:勉強になります。本日は、長時間、ありがとうございました! 引き続きよろしくお願いいたします。
〔インタビュー者:中崎隆、土居竹美〕
___
番外編:参考URL
EU IDについて、松本様の下記Youtubeが勉強になります。
松本様の研究成果については、セコム社のご厚意で、下記で公表されております。
https://www.secom.co.jp/isl/research/DPD-references/
「IDとトラスト」のシンポジウムの資料は下記でご覧いただけます。
全体プログラム:https://www.jlf.or.jp/2022/10/14/itsympo2022-2
松本様発表資料:https://www.jlf.or.jp/wp-content/uploads/2022/11/itsympo2022-2siryou1.pdf
松本様の受賞:
https://www.secom.co.jp/isl/news/2023/0301-19th-information-security-culture-award/
