~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > NEWS LETTER No. 4:特定電子メール法・割賦販売法改正とフィッシング

インタビュー

NEWS LETTER No. 4:特定電子メール法・割賦販売法改正とフィッシング

2008年07月24日

特定電子メール法・割賦販売法改正とフィッシングについてご紹介します。

 

newsletters.jpg

◆改正特定電子メール法について
 ◆割賦販売法の改正によるフィッシング被害防止に向けて

1.はじめに

2008年6月にフィッシングに関連する2つの改正法律が公布されました。 1つは「特定電子メールの送信の適正化等に関する法律の一部を改正する法律」(所謂迷惑メール法の改正)で、もう一つが「特定商取引に関する法律及び割賦販売法の一部を改正する法律」であり、後者は割賦販売法の改正がフィッシングに関連します。今回これら法律の改正内容について、それぞれ総務省、経済産業省ご担当より解説いだきました。

2.改正特定電子メール法について

元・総務省 総合通信基盤局 電気通信事業部 消費者行政課 課長補佐 扇 慎太郎 様

平成20年6月6日、「特定電子メールの送信の適正化等に関する法律の一部を改正する法律」が公布されました。同法には、受信者の同意なく送信される広告宣伝メールを原則として禁止するオプトイン方式の導入とともに、迷惑メール全体の量の増加や悪質化・巧妙化の進展に対応するための法の実効性の強化、急増する海外発の迷惑メールへの対策としての国際連携の強化策が盛り込まれています。

本稿では、改正特定電子メール法の概要について紹介します。なお、紙面の都合上、詳細については、総務省電気通信消費者情報コーナー(http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html)を参照してください。

また、本稿は、私の個人的な見解を示すもので、総務省としての公式見解ではないことにはご留意ください。

(1)オプトイン方式の導入について

今回の特定電子メール法改正では、受信拒否を通知した者に対して以後の送信を認めないいわゆる「オプトアウト方式」を改め、原則として、あらかじめ同意をした者に対してのみ送信を認める「オプトイン方式」を導入することとしました。

また、改正法では、あらかじめ送信に同意した者等に対しても、受信拒否の通知を受けた場合の送信の禁止や、送信者の名称や受信拒否の連絡先等の表示義務、同意を証する記録の保存に関する規定が設けられています。

(2)法の実効性の強化

迷惑メール全体の量の増加が続いており、フィッシングメール等送信手法の巧妙化・悪質化も進展していることから、法の実効性を強化することにより、迷惑メールの抑制を強化する必要があり、今回の改正により、以下の規定が設けられることとなりました。

電気通信事業者における役務提供拒否事由の明確化
ボットネットを利用して送信される迷惑メールやフィッシングメールなどの悪質な迷惑メールは通常、送信者情報を偽って送信されます。このような送信者情報を偽った電子メールの送信がされた場合に、電気通信事業者が電子メールサービスの提供を拒否できることを今回の改正で明確化しました。

罰則の強化
法人に対する罰金額について現行の100万円以下から3,000万円以下に引き上げる等の罰則の強化を行いました。

    そのほか、電子メールアドレス等の契約者情報の提供を求める規定の創設や、送信委託者を総務大臣の報告徴収及び立入検査の対象とし、違法な送信に責任がある送信委託者に対し、必要な措置を命ずることを可能とする規定が改正法に設けられています。

    (3)国際連携の強化

    近年、海外発の迷惑メールが急増していることから、今回の改正では、海外発国内着の迷惑メールに対し、迷惑メールの送信元の情報等、その職務の遂行に資する情報の提供を可能とする規定が設けられました。

    また、あわせて海外発国内着の迷惑メールが法の規律の対象であることを明確化しました。

    以上を内容とする改正特定電子メール法は、公布後6か月以内に施行される予定となっています。

    3.割賦販売法の改正によるフィッシング被害防止に向けて

    経済産業省 商務情報政策局 取引信用課
    経済産業省 商務情報政策局 情報セキュリティ政策室

    2008年(平成20年)6月11日、規制の抜け穴の解消、訪問販売規制、クレジット規制、インターネット取引等の規制強化などを内容とする「特定商取引に関する法律及び割賦販売法の一部を改正する法律案」が、参議院で可決され、成立しました。本改正案は、6月18日に公布され、1年6ヶ月以内に施行されることになります。

    今回は、フィッシング被害の防止という側面から、割賦販売法の改正内容を解説します。

    わが国のクレジットカード不正使用被害額は2006年(平成18年)で約105億円と、対前年比でも45億円減少し、平成12年の309億円をピークとして大幅な減少傾向を示しています。

    これは、対面取引における不正使用について、2001年(平成13年)の刑法改正による偽造カード犯に対する厳罰化及び取締当局による取り締まり強化、クレジットカード会社が導入する不正検知システムによる防止対策等が功を奏しているものと考えられます。

    しかし、クレジットカードを利用する場面は、従来の対面取引に限らず、インターネットを利用した非対面取引においても急速に広がっています。そういった状況の中、インターネット上でクレジットカード番号等を詐取するフィッシング等の犯罪も発生し、近年は、インターネット商取引における「なりすまし」による不正使用被害の発生も増加しています。我が国においてもクレジットカード番号等を詐取するフィッシングメールが発生しており、「セキュリティシステム更新のため」や「不正利用防止のための利用停止を解除するため」といったもっともらしい理由を示していることに加え、一見しただけでは正規の企業から来るメールと全く疑いようのない巧妙な作りとなっています。

     

    credit_miss.jpg

    (出典)(社)日本クレジット産業協会インフラ整備委員会調べ
    (注)クレジットカード取引金額全体及びクレジットカードによるインターネット商取引に占める不正使用被害額の割合
    ※産業構造審議会割賦販売分科会基本問題小委員会報告書より抜粋

     

    インターネットとクレジットカードを利用することによって、自宅にいながら様々な商品やサービスを簡単に購入することが可能となり、従来のように実際の店舗へ行って現金で支払う場合と比べると格段に便利になったため、今後より一層インターネット取引の利用*1や取引におけるクレジットカード利用が増加すると考えられます。しかし、便利になった反面、フィッシング等によるクレジットカード番号等の不正取得・利用による被害発生の増加も危惧されます。このようなクレジットカード番号等の不正取得・利用を防止し、安全・安心なインターネット社会におけるクレジットカード利用の促進に向けて、割賦販売法を改正し、クレジットカード番号等の保護に関する規定を強化しました。具体的な内容について、簡単に解説します。(この解説では、分かり易くするため、簡略化した表現を用いているため、詳細かつ正確な内容については必ず改正条文(別添参照)をご確認ください。)

    <クレジットカード番号等保護に係る改正事項>

    (1)クレジットカード会社等による安全管理の実施(改正法第35条の16)

    クレジットカード会社(イシュアー[クレジットカード発行会社のこと]、アクワイアラー[消費者がクレジットカードを使用したとき、特定のクレジットカード会社のために、自己の名をもって立替払金を加盟店に交付している業者])は、取り扱うクレジットカード番号等の漏えい、滅失、き損の防止などクレジットカード番号等の適切な管理のために必要な対策を行わなければなりません(第1項及び第2項)。

    また、クレジットカード会社は、加盟店等(加盟店、委託先等)に対してクレジットカード番号等が適切に管理されるよう必要な指導等を行わなければなりません(第4項)。

    (2)クレジットカード番号等の不正提供・不正取得をした者等に対する罰則

    (改正法第49条の2)

    以下に該当する者は、3年以下の懲役若しくは50万円以下の罰金が科されます。

    クレジットカード会社、クレジットカード番号等保有業者(加盟店、委託先等)又はこれらの従業員、退職者であって、不正な利益を図る目的でクレジットカード番号等を第三者へ提供し、又は盗用した者(第1項)

    クレジットカード番号等を、フィッシング等の手段で人を騙して詐取した者、クレジットカード番号等の記載された書面又はファイルを管理者の承諾を得ずに複製した者、不正アクセス行為により取得した者(第2項)

    正当な理由がなく、クレジットカード番号等を売買した者、売買する目的で保管した者(第3項)

     

    credit_miss2.jpg

     

    上記の改正を行い、クレジットカード会社に対して、クレジットカード番号等の適切な管理を促す事前予防に加え、違反を犯した個人への刑事罰の導入によって、クレジットシステムの保護の強化を行いました。

    通常、フィッシングは、正規な事業者を偽ってメールを送り、メールに記載したリンクから正規なホームページにそっくりな偽のホームページに誘導する等によってクレジットカード番号等を詐取するのが一般的です。フィッシングによって、人を騙し、クレジットカード番号等を詐取することは、改正法第49条の2第2項に違反することになり、違反した者に対しては3年以下の懲役若しくは50万円以下の罰金が科されることになります。(なお、フィッシングにより詐取したクレジットカード番号等を用いて財物又は役務の提供を受けさせた場合は、別途詐欺罪の適用を受けると考えられます。)

    フィッシング被害に遭わないようにするためには、こうした法規制の強化に加えて、インターネット、クレジットカードを利用する一人一人が、フィッシングに対して正しい知識を持ち、注意し、必要な対策をすることが不可欠です。最低限心がける対策として、①見知らぬところから来たメールは開かない、②メールの中にあるリンクをクリックしない、③安易にクレジットカード番号等の重要情報を入力しない(入力前に本当に正規な会社等から送られてきているのかを確認する)、などが挙げられます。

    法規制の強化とフィッシングに対する一人一人の意識の向上によって、クレジットカード番号等の重要な情報の流出、不正取得・利用がなくなり、インターネットがより便利なものとして、みなさまの生活を豊かにすることを期待します。

    以上

    *1 2006年度(平成18年度)の我が国の消費者向け電子商取引市場規模は、4兆3,910億円であり、対前年度比27.1%の増加。(平成18年度電子商取引に関する市場調査、経済産業省)http://www.meti.go.jp/press/20070511003/20070511003.html

    (別添)特定商取引に関する法律及び割賦販売法の一部を改正する法律(抄)

    (クレジットカード番号等の適切な管理)第35条の16 包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(クレジットカード等購入あつせん業者が、その業務上利用者に付与する第二条第三項第一号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又はき損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

    2 この章において「二月払購入あつせん」とは、カード等を利用者に交付し又は付与し、当該利用者がそのカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、当該販売業者又は当該役務提供事業者に当該商品若しくは当該権利の代金又は当該役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をするとともに、当該利用者から当該代金又は当該対価に相当する額を、当該利用者が当該販売業者から商品若しくは権利を購入する契約を締結し、又は当該役務提供事業者から役務の提供を受ける契約を締結した時から二月を超えない範囲内においてあらかじめ定められた時期までに受領することをいう。

    3 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもつて当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせんに係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすること(以下「立替払取次ぎ」という。)を業とする者(以下「立替払取次業者」という。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等の漏えい、滅失又はき損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

    4 クレジットカード等購入あつせん業者又は立替払取次業者は、クレジットカード番号等保有業者(次の各号のいずれかに該当する者をいう。以下同じ。)の取り扱うクレジットカード番号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等保有業者に対する必要な指導その他の措置を講じなければならない。

    一 クレジットカード等購入あつせん業者と包括信用購入あつせん又は二月払購入あつせんに係る契約を締結した販売業者又は役務提供事業者

    二 立替払取次業者と立替払取次ぎに係る契約を締結した販売業者又は役務提供事業者

    三 クレジットカード等購入あつせん業者若しくは立替払取次業者若しくは前二号に掲げる販売業者若しくは役務提供事業者からクレジットカード番号等の取扱いの全部若しくは一部の委託を受けた第三者又は当該第三者から委託(二以上の段階にわたる委託を含む。)を受けた者

      第49条の2 クレジットカード等購入あつせん業者、立替払取次業者若しくはクレジットカード番号等保有業者又はこれらの役員若しくは職員若しくはこれらの職にあつた者が、その業務に関して知り得たクレジットカード番号等を自己若しくは第三者の不正な利益を図る目的で、提供し、又は盗用したときは、三年以下の懲役又は五十万円以下の罰金に処する。

      2 人を欺いてクレジットカード番号等を提供させた者も、前項と同様とする。クレジットカード番号等を次の各号のいずれかに掲げる方法で取得した者も、同様とする。

      一 クレジットカード番号等が記載され、又は記録された人の管理に係る書面又は記録媒体の記載又は記録について、その承諾を得ずにその複製を作成すること。

      二 不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第三条に規定する不正アクセス行為をいう。)を行うこと。

      3 正当な理由がないのに、有償で、クレジットカード番号等を提供し、又はその提供を受けた者も、第一項と同様とする。正当な理由がないのに、有償で提供する目的で、クレジットカード番号等を保管した者も、同様とする。

      4 前三項の規定は、刑法その他の罰則の適用を妨げない。