1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. 海外トピックス
  6. 海外トピックス

海外トピックス

2018年1月号

金融ITイノベーション事業本部 事業企画室契約研究員 國見和史

・米エクイファックス社の個人情報漏洩事件がもたらした波紋英FCA
・「レギュラトリーサンドボックス」の一年目は成功だったと評価

米エクイファックス社の個人情報漏洩事件がもたらした波紋

 米国の三大信用情報機関(CRA)の一つ、エクイファックスは昨年9月、同社が保有する個人情報が大量に流出したことを公表した。

 全米に衝撃を与えたこの事件では米人口の半分を超える1.4億人以上の個人情報(名前、社会保障番号、生年月日、住所、免許証番号など)が漏洩。変更が難しい社会保証番号など多くの重要な情報が含まれていたことが特に深刻に受けとめられた。情報流出の原因は、同社ウェブサイトで使われていたソフトウェアの脆弱性に適切に対応できなかったこと。3月上旬に政府機関から対応を求める通知を受けたが、該当ソフトの利用を確認できなかった。7月末に不審なトラフィックを検知し、漏洩が発覚。被害状況の調査を行い9月上旬に事件を公表した。

 こうした個人情報の漏洩は、盗難情報を利用したなりすましの不正口座開設などにつながる。消費者がCRAの持つ自身の信用情報に対する金融機関などからの照会をブロック(凍結)することは有力な自衛手段だが、通常多くの州で手続きに5、10ドルかかる。今回の事件後、エクイファックスは信用情報の凍結や凍結の解除を容易に行える「クレジットロック」など、5項目の支援パッケージを一年間消費者に無料で提供した。2018年1月末からは、生涯無料で使える新しいクレジットロックのツールも提供する。

 司法省、連邦取引委員会などの連邦機関や州当局は、エクイファックスのデータセキュリティ体制や対応に問題がなかったか調査を進めている。議会でも上下院で複数の公聴会が開催される一方、1)データ漏洩時の消費者への迅速な(30日以内)通知、2)クレジットロックの無料提供を制度化する法案などがいくつか提出された。

 1)は、エクイファックスの事件公表がデータ漏洩発覚後6週間近く経っていたことが関心を高めた。現在ほとんどの州で個人情報漏洩の通知について規制が設けられているが、通知期限などの規定はまちまちで、予てから統一的な連邦規制の導入を求める動きはあった。ただ、こうした案には、通知の遵守が優先され問題への対処が疎かになる、州が独自に厳しい規制を課せなくなる、など反対の声も強い。

 2)は背景に、消費者がCRAの信用情報を管理できないという根強い批判がある。事件後エクイファックスを辞任した前CEOスミス氏は議会公聴会で、将来的には消費者が自身の信用情報へのアクセスを自由に管理できるような業界基準を設けるべきで、前述の生涯無料のクレジットロックのようなプログラムが求められると述べた。

 共和党が多数派を占める現行の議会で民主党議員が主導するこうした法案が成立する可能性は高くない。とはいえ、相次ぐ個人情報漏えい事件に国民の懸念は高まっており、今後、息長く議論されることが予想される。

英FCA、「レギュラトリーサンドボックス」の一年目は成功だったと評価

 英金融行為監督機構(FCA)は2017年10月、参加企業に革新的な商品やサービスを実際の市場でテストできる環境を提供する「レギュラトリー・サンドボックス」の一年目の運営状況を総括する報告書を公表した。サンドボックスは、FCAが進める金融サービスの革新を促進する「プロジェクト・イノベート」のイニシアチブの一つ。テスト期間は準備も含めて6ヶ月間。参加企業は1年に2回募集され、第1期は2016年6-7月に募集された。報告書ではサンドボックスの一年目、第1、2期の経験に基づく所見が述べられた。以下では、報告書の興味深いポイントを3つ挙げたい。

 第一に、FCAは、サンドボックスは所期の目的に照らし成功していると評価した。1、2期では応募企業、計146社のうち50社が参加を認められ、41社が実際にテストを行った。テスト後も、第1期企業の約9割はより大きな市場でのローンチに向け事業を継続したという。FCAは、参加企業からのフィードバックやこうした指標から、サンドボックスはより多くの革新的な商品を市場にもたらすとともに、そこに至るまでの時間やコストを削減できたと結論づけた。

 第二に、サンドボックスへの参加企業をみると、FCAの事業認可を持たないスタートアップ企業が大半を占めた。そのためサンドボックスの規制ツールの中では、非認可企業に与えられる、テスト実施だけを目的とした「制限認可」が最も多く利用された(他に、規則の適用免除やノーアクションレターなどがある)。一方、参加企業が利用した新技術で最も多かったのは分散型台帳技術(DLT)だった。1、2期の17社に利用され、電子マネー業者、支払サービス事業者が多かったという。

 第三に、参加企業がテスト実施で遭遇した困難の一つとして、「銀行サービスへのアクセス」が指摘された。近年、一部の銀行が特定タイプの事業者(たとえば送金業者)に対して、口座開設などのサービスを拒む動きがあると指摘される。これには、マネロン・リスクに対する懸念などが背景にある。サンドボックス参加企業の中でも、特にDLTの活用を考えたり、支払サービス業者や電子マネー業者になろうとする企業から困難を訴える声が聞かれたという。FCAは、マネロンには厳しく対処すべきだが、だからといって、マネロン・リスクを効果的に管理するために特定タイプの企業をすべて拒絶する必然性はない、と牽制した。

 12月上旬には、サンドボックスの第3期への参加企業が公表された。前2回より少ない18社だったが、地方のフィンテックハブ都市で働きかけたこともあり、ロンドン以外の企業が増え4割を占めた。サンドボックスは順調に滑りだしたが、FCAはイノベーション促進の手を緩めていない。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

國見和史Kazushi Kunimi

金融ITイノベーション事業本部
金融イノベーション研究部契約研究員

この執筆者の他の記事

國見和史の他の記事一覧

注目ワード : レギュラトリー・サンドボックス

このページを見た人はこんなページも見ています