インターネットバンキングの提供に関する安全性及び機密性に関する通達 No.35/2018/TT-NHNNの発効
ベトナム国家銀行(中央銀行)が 2018 年 12 月 24 日付で公布した通達No.35/2018/TT-NHNN(「2018 年通達 35」)が 2019 年 7 月 1 日より発効しています。この新通達 35 は、2016 年 12 月 29 日付で中央銀行が公布し、2017年7月1日付で発効しているインターネットバンキングの提供に関する安全性及び機密性に関する通達No.35/2016/TT-NHNN(「2016 年通達 35」)を修正、補足する内容になっています。
(1) 通達 No.35/2016/TT-NHNN の概要
2016年通達35においては、以下がインターネットバンキングに用いられる情報技術システムの安全性及び機密性にかかる一般原則とされています(第3 条1項ないし6 項)。
- インターネットバンキングシステムは、重要な情報技術として位置付けられ、銀行業務における情報技術システムの安全性及び機密性の観点から中央銀行の規定を遵守する。
- 顧客情報の機密性、顧客取引情報の整合性を保障し、全ての顧客の財務取引は少なくとも 2 要素認証以上の認証を実施する。
- 継続的なサービス提供のためにインターネットバンキングシステムの利用可能性を保障する。
- 安全性及び機密性の年次検査及び評価を実施する。
- リスク、予防策を決定し、インターネットバンキングの提供にかかるリスク対応を実施する。
- インターネットバンキングサービスを提供する情報技術インフラは著作権保護されており及び明確な起源を有する。
インターネットバンキングの利用者としては、システムの安全性、利便性を検討するにあたって、②取引認証、④顧客の利益保護に関心がいくところではあります。この点、②については、アクセス時には少なくともユーザー名及びパスワードによる認証をしなければならず(ユーザー名は最低6文字であり、全て同じ文字のユーザー名、アルファベット順、数列順のユーザー名は認められません。パスワードも文字及び数字を含む最低 6 文字のもので、その有効期間は最大 12 ヶ月となっています。)、取引実施時におけるワンタイムパスワード(OTP)の条件、各パスワードの有効時間等も詳細に規定されています(第9条、第10条)。
④については、インターネットバンキングのサービス提供者は、顧客に対して、サービス提供方法、認証方法、取引制限、サービス利用に関連したリスク等の情報を提供しなければなりません。また、顧客の権利及び義務、顧客の個人情報の機密性の保障に対する責任、顧客情報の非売却又は非開示に関する宣誓、サービスの継続運営の保障等を内容とする契約を締結しなければなりません。その他、顧客に対する上記②の取引認証方法の指導等のガイドラインも規定されています(第 17 条ないし第 19 条)。
(2) 通達 No.35/2018/TT-NHNN による修正、補足箇所2018 年通達 35 による 2016 年通達 35 の修正、補足箇所には以下のものがあります。インターネットバンキングのサービス提供者が遵守すべき事項のほか、サービス利用者が行う取引認証に関する修正もあります。
項目 | 通達 No.35/2016/TT-NHNN | 通達 No.35/2018/TT-NHNN |
ネットワークの 安定性確保 |
インターネット接続は利用可能性を保障し、少なくとも2つのプロバイダーと接続しなければならない(第4条10項)。 | インターネット接続サービスのプロバイダーは、高度の利用可能性及び継続的なサービス提供能力を確保しなければならない(第1条3 項)。 |
モバイルアプリ ケーション |
アプリケーションは利用者のアクセス時に認証をしなければならない。不正確なパスワードが連続5回を超えないサービス提供者が決定した回数入力された場合、アプリケーションは利用者がインターネットバンキングを使用することを停止するために一時的、且つ自動的に停止する(第8 条3項) | アプリケーションは利用者のアクセス時に認証をしなければならなず、アクセスキーの記憶機能を内蔵していてはならない。利用者が不正確なパスワードを決定された連続回数入力した場合、アプリケーションは一時的、且つ自動的に利用者の使用を停止しなければならない(第1条6項)。 |
取引認証 | アプリケーションは利用者に対して初回ログイン時にパスワードの変更を要望する;利用者が誤ったパスワードを連続5回を超えないサービス提供者が決定した回数入力した場合にはアカウントを停止するものでなければならない。当該アカウントは利用者がサービス提供者の取引窓口において解除申請をした場合にのみ解除される(第 9 条 2 項)。 | アプリケーションは利用者に対して初回ログイン時にパスワードの変更を要望する;利用者が誤ったパスワードを決定された連続回数入力した場合にはアカウントを停止するものでなければならない。サービス提供者は、利用者が要望した場合にのみ解除することができ、解除前に顧客顧客の詐欺又は偽造を認証しなければならない(1 条 8 条)。 |
取引認証 | サービス提供者は、顧客の要望に応じた適切な取引認証方法を提供するために、その顧客の属性、取引の種類、取引制限に従って取引リスクのレベルを評価しなければならない。取引制限はは各期間における中央銀行担当者により規定される制限を超えてはならない(第 10 条 1項)。 | 削除(第 2 条 1 項) |
顧客情報の保 護 |
サービス提供者は、顧客データベースの安全性及び機密性を保障するために、少なくとも以下を含む方策を採用しなければならない。 1. 顧客の機密情報のインターネット上における保管又は送信は、暗号化又は非表示とする。(第 19 条 1 号) |
1. 顧客の機密情報の保管にあたっては、その機密性を保障するために暗号化又は秘匿対策を講じなければならない(第1 条 11 項)。 |
以上