全国銀行協会(全銀協)は2014年7月17日、「インターネット・バンキングにおける預金などの不正な払戻しに対する補償の考え方」を会員銀行向けに公表した。インターネットバンキングにおいて、国内でも法人の被害が拡大していることを受けての措置。
同協会ではこれまで、個人の顧客に対しては、「銀行に過失がない場合でも、個人顧客が自身の責任によらず被害に遭った被害については銀行が補償する」と申し合わせていた。一方、法人については、預金者保護法の対象が個人であることなどを踏まえ、銀行側に過失がない場合は補償対象にならないというスタンスだった。
しかし、最近はサイバー犯罪の手口が高度化し、クライアント証明書を盗み出す、ワンタイムパスワードを突破するなどの手口を用いて法人口座を狙うケースが増加。また、法人顧客における被害は、個人顧客と比べて被害額が高くなる傾向がある。
全銀協ではこうした状況を重く受け止めているとし、「法人顧客にも安心してインターネット・バンキングを利用してもらうために、銀行は、法的責任はないと考えられる場合であっても、継続的なサービスの提供や銀行の経営戦略等の観点から合理性があるとして、法人顧客の被害を補償するとの判断があると考えられる」とした。
ただし、補償する際の前提条件として、法人顧客が
(1)銀行が導入しているセキュリティ対策(電子証明書のセキュリティ強化策の実施、ワンタイムパスワードや二要素認証などの導入、事前登録先以外の振込先への当日送金の不実施など)の実施
(2)インターネットバンキングに使用するPCのOSやWebブラウザー、インストールしているアプリケーションを最新状態に更新していること
(3)PCにインストールしているソフトウエア(OS含む)で、メーカーのサポート期限が経過したものの使用停止
(4)PCにセキュリティ対策ソフトを導入し、最新の状態に更新すること
(5)インターネットバンキングで使うパスワードを定期的に変更すること
(6)銀行が指定した正規の手順以外での電子証明書の利用を止めること
などの対策を適切に実施していることを求めている。
さらに、PCの利用目的としてインターネット接続時の利用はインターネットバンキングに限定することや、振り込み、払い戻しなどの限度額を必要な範囲内でできるだけ低く設定すること、不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを定期的に確認することなども推奨している。
こうした前提条件や推奨策が守られず、また、不正取引が発生した場合の一定期間内の警察や銀行への通報、警察や銀行による調査や捜査への協力が実行されなかった場合などには、補償を減額するもしくは補償しないことも考えられるとした。
