でんさいネット通信でんさいネット通信［第13回］「でんさい」のセキュリティについて全銀電子債権ネットワーク 1 はじめに ①　情報の「機密性」情報へのアクセスを許可された者だけが情報全銀電子債権ネットワークが運営する電子債を使用・閲覧することができる（＝アクセス許権記録機関システム（以下「でんさいネットシ可のない者が情報にアクセスできないようにすステム」という）は、大量の電子記録債権（以る）こと。下「でんさい」という。平成27年度累計の発生 ②　情報の「完全性」記録請求件数約120万件・同金額 8 . 7 兆円）の情報資産に正確性があり、改竄されていない取引を処理している。手形・振込に代わる新たこと。な決済手段として、法人決済の安定性を支える ③　情報の「可用性」社会インフラの性質を持つ「でんさいネットシ情報へのアクセスを許可された者が必要な時ステム」においては、これらの「でんさい」取点で情報にアクセスできること。引が安全かつ確実に処理されるよう、種々のセ「でんさい」および「でんさいネットシステキュリティ対策を整備することが不可欠であム」では、上記 3 要素を踏まえ、後掲【図】「でんさいネットシステム　全体システム構成る。本稿では、インターネットバンキングへの不イメージ」に記載のシステム構成を取ってい正アクセス等による不正送金被害が拡大している。る状況等を踏まえ、決済手段の 1 つである「で以降、情報セキュリティの 3 要素ごとに「でんさい」のセキュリティについて、「でんさいんさい」のセキュリティについて説明する。ネットシステム」の基本的な仕組み 1 の面から ⑴　情報の「機密性」解説することとしたい 2 。ａ　間接アクセス方式 2 情報セキュリティの 3 要素と「でんさい」のセキュリティ「でんさいネットシステム」へのアクセスにあたって、でんさいネットは「間接アクセス方一般に、情報セキュリティは、次の 3 要素か式」を採用している。これは、利用者からの利らなると定義される。用申込および記録請求等の手続について、すべて窓口金融機関を通じて行うというものであ 1 でんさい取引の基本的な特長として、原則としてすべての取引が電子データの送受信によって処理され、ペーパーレス（書面による請求等も可能。書面請求の取扱い有無については、金融機関によって異なる）であるため、手形の盗難・偽造や、災害発生時の手形の消失等の物理的なリスクを負うことなく利用できる点がある。 2 ここでは記録機関としての「でんさい」および「でんさいネットシステム」のセキュリティに係る解説にとどめ、それ以外の利用者、参加金融機関が不正な攻撃を受けた場合等は除いている。金融法務事情■ No.2052　2016.10.25 53 【図】でんさいネットシステム　全体システム構成イメージ ⑴ ａ間接アクセス方式（でんさいネットシステムへのアクセスは金融機関を経由）記録機関システムの責任範囲でんさいネットシステム利用者 IB IP-VPN 金融機関 ⑴ ｂクローズドネットワーク（外部侵入不可） ⑵ａ記録原簿利用者 FAX 等金融機関共同中継センター利用者 IB 金融機関 ⑶バックアップシステム ⑵ ｂ口座間送金決済は発生・譲渡から最短７銀行営業日後全銀システムる。り、これに反する通信は途絶される。これらのまず、「でんさい」取引の前提として、債務対応により、不正アクセスによる取引情報の漏者・債権者ともに利用者登録されている必要が洩、改竄、なりすまし等を防止している。ある。利用者登録にあたっては、各窓口金融機 ⑵　情報の「完全性」関による審査・取引時確認の上、利用契約を締ａ　記録原簿・通知機能結する必要があり、一定の基準を満たした企「でんさい」取引はすべて記録原簿に記録さ業、個人事業主等のみが「でんさい」の利用者れるため、万が一不正利用（改竄、なりすましとなる。等）があった場合、記録原簿をもとに追跡が可このため、例えば不正送金を行うためには、能である。受け手となる債権者についても利用契約を締結加えて、発生記録請求、譲渡記録請求等の各しなければならず、また、振込等と比較して審種取引の結果は、電子メール等で利用者に通知査・取引時確認の基準も高いため、不正利用のされるため、不審な取引があった場合には、早難易度が高い。期検知が可能である。ｂ　クローズドネットワークｂ　「でんさい」決済までのフロー参加金融機関－「でんさいネットシステム」「でんさい」は、原則として支払期日に口座間の通信 3 は、クローズドネットワークを使用間送金決済 4 により自動的に決済されるが、し、接続先を制限しているため、事前登録され「でんさい」の発生・譲渡は、支払期日の 7 銀た参加金融機関以外からの通信は行えない。行営業日前以前に限られる（＝発生・譲渡からまた、参加金融機関－「でんさいネットシス資金決済まで最短でも 7 銀行営業日かかる）たテム」間の通信には一定のルールを設けておめ、振込と異なり、即時に資金が移動するもの 3 参加金融機関の一部は、「でんさいネットシステム」との接続にあたり、共同中継センターを経由する。 4 支払期日の 2 銀行営業日前に、債権者が登録した決済口座情報をもとに、「でんさいネットシステム」から債務者側の金融機関に決済情報を提供すると、それをもとに債務者側金融機関が支払期日当日に債務者の決済口座から資金を引落しの上送金し、債権者の決済口座に入金することで、自動的に「でんさい」が決済される資金決済方法（事前の情報登録以外に債務者・債権者の特段の操作は不要）。 54 金融法務事情■ No.2052　2016.10.25 ではない。組みを備えている。これに上記⑵ａの記録原簿・通知機能の仕組このほか、でんさいネットでは、金融情報シみが加わることで、不正利用を検知した場合、ステムセンター「金融機関等コンピュータシス資金化までの期間に当該「でんさい」取引を取テムの安全対策基準」に準拠した形で「セキュり消す等の対応により、被害を防止することがリティガイドライン」を設け、これに沿ってシできる。ステム構築およびシステムリスク管理態勢を整 ⑶　情報の「可用性」備・運営している。「でんさいネットシステム」では、災害・テこれらの仕組み・取組みにより、開業以来、ロ等の発生により、通常時に稼働しているプラでんさいネットに対する不正アクセスによる被イマリーセンターが業務提供を継続できない事害はない。今後も継続してセキュリティ対策を態に陥った場合に、バックアップセンターに切講じることにより、利用者が安心して利用できり替えて継続して業務を提供することが可能なる取引環境の整備に努めたい。システム構成を取っている。また、利用者におかれても、不正アクセス等 3 おわりにの被害を受けないよう、パソコンのセキュリティ対策ソフトの導入および最新の状態の保上記のとおり、「でんさい」および「でんさ持、取引金融機関が提供するセキュリティ対策いネットシステム」は、利用者が安全に「でんの導入・利用等、適切な利用環境を整えていたさい」取引を行うことができるよう、種々の仕だきたい。金融法務事情■ No.2052　2016.10.25 55