• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

実例研究

【事例研究】生体認証キャッシュカードの危険性(1)
安全性やコストを検討したか

2007/01/24 ITpro

 ビジネス上のリスクが顕在化したとき、対処する方法は色々ある。ビジネスの枠組みを変えてリスクがリスクではないようにしてしまう、ビジネスのやり方は変えず新しい技術や手法を導入し防御する、などである。

 このうち、新しい技術による防御策は、「最新技術を採用」と対外的に発表できるし、実際にメディアの受けがよいため、リスクが発生している緊急時にすんなりと採用されやすい。ただし、技術を使う時にはトレードオフを常に考慮しなければならない。技術にかかるコストや副作用を見極め、技術を導入する場合としない場合の損得をよく考えるのである。技術の導入を見送り、ビジネスそのものを見直したほうが得策となることも多い。

 リスクマネジメントにおける最新技術導入の是非を巡るテーマとして、銀行が発行している生体認証機能付きキャッシュカードを取り上げる。筆者は、生体認証付きキャッシュカードは導入すべきではなかったという意見を持っている。ただし、以下の論考は、生体認証機能付きキャッシュ・カードの是非を問うというより、ここまでに述べたリスクマネジメントと技術のトレードオフを考える題材として読んでいただければと思う。

 まず最初に、生体認証機能付きキャッシュ・カードが登場するきっかけとなった、偽造キャッシュ・カード問題の状況を示す。2005年3月9日、日経ビジネスExpressの『経営の情識』欄に公開した『ICカード+生体認証には、被害額を上回る投資が必要』というコラムを再掲する。2年前の状況を振り返っていただきたい。


 キャッシュカードの偽造問題を巡り、銀行界は「生体認証機能付きICカード」の導入など安全対策を相次いで打ち出している。マスメディアと金融庁に尻を叩かれたため「何でもやります」という姿勢である。だが最新の技術を使っても絶対安全なシステムは作れない。預金者は「自分のお金を自分で守る」必要がある。

 それにしても2005年の初めからこの2月末までの動きは急であった。日本経済新聞の記事を読んでいると、銀行の偽造カードを巡る記事の本数と記事1本当たりの分量はともに増え続けている。1月8日付報道で「偽造カード、銀行に対策要請」と出たと思うと、25日に「偽造カード防止 IC化、全銀協、加盟行に要請へ」、26日に「偽造カード対策、引き出し限度額下げ 金融業界、被害補償も検討」という記事が1面に連続して登場した。

 2月22日付の日経夕刊には、金融庁がまとめた被害実態の調査結果が報道され、翌23日朝刊総合面には「偽造カード補償、官民動き出す」という大きな記事が載った。続いて2月末から3月初めにかけ、大手銀行や日本郵政公社の対策が次々に報じられた。

 対策の中心は「生体認証機能付きICカード」で、これはカード名義人の静脈形状をICカード内のチップに記憶させておき、ATM(現金自動預け払い機)を利用する時に名義人本人かどうかを確認する最新技術である。ICチップ内の情報を読み取りにくいので偽造が難しいとされている。これまでの磁気ストライプ付きカードは偽造が比較的簡単であり、さらに暗証番号を知られてしまうと預金が引き出される危険があった。

 ICカードを巡る報道は過熱し、3月3日付朝刊には「ICキャッシュカード、生体認証は2陣営に」という記事が出た。生体認証のやり方として、手のひらの静脈を使う方式と指の静脈を使う方式があり、東京三菱銀行とUFJ銀行、信用金庫業界などが手のひら方式、みずほ銀行と三井住友銀行、郵政公社が指方式をそれぞれ採用した。日経は「銀行界が二分された」として「規格統一を求める声が高まりそうだ」と書いている。

被害者とマスメディアには勝てない

 さらに金融庁はICカードや生体認証の導入に加え、ATM利用限度額を預金者が設定できる仕組みや、偽造カードが使われた場合の保険・補償制度を用意するよう、銀行界に求めており、各銀行は3月末までに対策をまとめようと大わらわである。従来銀行は偽造カードによる被害が発生しても原則として損害を補償してこなかった。例外は、預金者がカードや暗証番号をきちんと管理していたことを銀行が確認できた場合だったが、その確認は難しかった。

 ところがここへきて全国銀行協会の西川善文会長(三井住友銀行頭取)が「銀行が独自調査をして補償できる」と述べ、政府は被害者が補償を求めやすくする法律の立法を検討し始めた。被害者とマスメディアには、政府も金融庁も銀行も誰も勝てない、というわけだ。

 しかし仮に100%銀行に非があるとしても、被害者の言い分をすべて認めて、なし崩しに対応策を一斉導入するというのは間違っている。技術にからむ問題に対処する時の鉄則は、仕組み(システム)の全体像を把握したうえで「トレードオフ」を冷静に判断することである。トレードオフは対応する日本語が存在しない英語だが、要はトレード(交換)であって、ある案(利点)を選んだ代わりに別な案(利点)を放棄することを意味する。日本語の「いいとこ取り」や「取捨選択」とは全く異なる考え方だ。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 安全対策の費用対効果は誰も考えず
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る