・ネット証券大手3社の約款
・結局、自己責任の世界?
・ぺいぱのセキュリティ対策方針
ごきげんよう、ぺいぱです。
このブログの内容は動画でも解説しています。
証券口座への不正アクセス被害が相次いで報告されています。3月下旬、楽天証券が公表したことで被害が表面化。他にもSBI証券やマネックス証券など複数の会社でも同様の事案が確認されている状況です。
金融庁によると、不正アクセスは2025年2月から4月16日まで3ヶ月間弱で
不正アクセス件数:3,312件
不正取引件数:1,454件
売却金額:約506億円
買付金額:約448億円
と被害が急増しています。
犯行グループは本物そっくりの偽サイトに誘導し、IDやパスワードを盗み取るフィッシングの手口のほか、デバイスをコンピューターウイルスに感染させ、IDやパスワードを盗み出して顧客に成り済まし、勝手に株を売買しているとみられています。
株価が変動しやすい低価格の株を大量に買い付けて相場をつり上げ、高値で売り抜けたとみられていることから、金融商品取引法が禁じる相場操縦に当たる可能性があります。楽天証券では不正取引の疑いがある中国株や米国株について取引を一時停止する措置を取っていますが、抜本的な対策は進んでいないのが現状です。
そんな中、全国の証券会社を構成員とする社団法人日本証券業協会が4月18日に「【重要】インターネット取引サービスを利用する投資家の皆様へ」とステートメントを出しました。
内容としては「多要素認証を使いましょう」「公式サイトをブックマークしましょう」といった、すでに証券各社が利用者(個人投資家)へ行っている注意喚起が中心。再発防止に向けて業界全体としての調査・対策に言及するような内容は見受けられませんでした。
すでに被害に遭っている方は、証券会社側から「被害の補償はできない」と伝えられているそうですが、我々も今後こうした被害に遭った場合、本当に被害の補償はされないのか? ここが焦点になります。
今回の記事は2025年4月19日時点の情報で構成しています。
ネット証券大手3社の約款はどうなってるか
ここからは実際に、楽天証券、SBI証券、マネックス証券の取引約款を確認してみましょう。「約款」は、証券会社と顧客間の取引に関するルールや契約内容をまとめたものです。
約款の役割:
顧客と証券会社間の権利義務を明確にする。
取引内容、手数料、リスクなどを詳細に定める。
紛争発生時の解決方法を定める。
総合証券取引約款で免責事項について触れられた52条に「当社は、次に掲げる事由により生じたお客様の損害または費用については、その責を負いません」とあります。不正アクセスに関連しそうな部分をピックアップします。
「お客様ご自身が入力したか否かにかかわらず、第11条に規定するお客様の認証コード、ワンタイムパスワード、追加認証コード、お問い合わせ番号(以下、「認証コード等」)の一致により当社が本人認証を行い取引注文の申込みを受け付け、当社が受託したうえで取引が行われた場合」
「お客様の認証コード等の本人認証のための情報または取引情報等が漏洩し、盗用されたことにより生じた損害につき、当社の故意または重大な過失に起因するものでない場合」
【出典】総合証券取引約款(楽天証券)
つまり、たとえ不正アクセスだとしても行われた取引は有効で、「認証コード等」が誰の過失で漏れたのかによって補償の判断が分かれる。と受け取れます。
約款・規程集が2025年4月21日付で改定されます。第3章 インターネット取引取扱規程(免責事項)「当社及び証券投資情報等の発信元は、次に掲げる事項により生じるお客様の損害については、その責任を負わないものとします」とある中から、不正アクセスに関連しそうな箇所をピックアップします。
「本サービスの利用の受付けに際し、お客様ご自身が入力したか否かにかかわらず、入力されたお客様のユーザーネーム及びパスワード等と、あらかじめ当社に登録されているものとの一致を確認して行われた取引」
「お客様のユーザーネーム、パスワード、取引情報等が漏洩し、盗用、不正使用(インターネット通信回線、コンピュータ等のシステム機器を介したもの等を含む)されたことにより生じた損害で、当社の故意又は重大な過失に起因するものでない場合」
【出典】約款・規程集(SBI証券)
改定後は「お客様ご自身が入力したか否かにかかわらず」の箇所と、2つ目の箇所が丸々追加となっています。結果として、楽天証券の約款と言っていることは同じ。つまり不正アクセスだとしても行われた取引は有効で、誰の過失で取引に必要な情報が漏れたのかによって補償の判断が分かれると受け取れます。
証券総合取引約款の第30条(免責事項)に「当社は、次の事由によりお客様および第三者に生じた損害について、その責を負わないものとします。」とあります。不正アクセスに関連しそうな箇所をピックアップします。
「お客様の認証番号をお客様ご自身が入力したか否かにかかわらず、予め当社に届け出られている認証番号と一致することを当社が確認して本人認証がなされたうえで行われた本サービスの利用により生じた損害。」
「お客様の認証番号、取引情報等が漏洩し、盗用されたことにより生じた損害で、当社の故意または重過失に起因するものでないもの。」
先の2社の約款と言っていることは同じ。つまり不正アクセスだとしても行われた取引は有効で、誰の過失で取引に必要な情報が漏れたのかによって補償の判断が分かれると受け取れます。
なお、第32条(補償)のくだりに「お客様が、不正利用に気づいた日から3営業日(ただし、社に通知することができないやむを得ない事情があることをお客様が証明した場合は、3営業日に当該事情が継続している期間を加えた日数とします。)以内に、当社に不正利用の事実について通知を行わなかった場合。」とありますので、異変を感じたら速やかに会社へ連絡を行った方が良いですね。
結局、自己責任の世界?
ここまでの情報を整理すると、
楽天証券
・不正アクセスだとしても行われた取引は有効
・誰の過失で取引に必要な情報が漏れたのかによって補償の判断が分かれる
SBI証券
・不正アクセスだとしても行われた取引は有効
・誰の過失で取引に必要な情報が漏れたのかによって補償の判断が分かれる
マネックス証券
・不正アクセスだとしても行われた取引は有効
・誰の過失で取引に必要な情報が漏れたのかによって補償の判断が分かれる
・不正利用に気づいた日から3営業以内に会社へ通知が必要
このように大手ネット証券3社で、そこまで大きな違いはありませんでした。誰の過失なのかが補償の是非を決める重要なポイントになるわけですが、報道ベースでの情報を踏まえると
・証券会社の自社調査では会社からの漏洩はないという判断。
・なので利用者側に問題があったと考えられる。
・つまり被害額の補償はしない。
こういうロジックなのでしょう。
しかしながら現状では、不正アクセスの被害要因が利用者側にあるのか証券会社側にあるのかはハッキリしていないと言わざるを得ません。なぜならば当事者側の言い分しか情報がないからです。
利用者側はネットリテラシーも様々でしょうから、隙が多いであろうことは想像がつきますが、フィッシングやウイルス感染のリスクにあるのは個人だけではありません。証券会社側での情報が正しく管理されているかどうかも疑うべきです。
近年、暗号資産の流出や貸金庫の窃盗など、想像もし得なかった金融機関での不祥事が起こっています。だからこそ第三者にちゃんと調査をしてほしい。そして業界団体はそういうことを率先して旗振りしてくれるところなんじゃないの?と思います。
おしらせ
キャラクター”ぺいぱ”がデザインされた「資産運用学園やわらか中学校」公式アイテムがついに販売開始!トイレットペーパーを模したキャラデザの由来は、古くなったお札が再利用されてトイレットペーパーになることや、ウン(運)がつく縁起ものだからなど、諸説あり。いずれのアイテムも日常使いできるシンプルデザインです!ぜひお買い求めください!
さいごに
今回は「証券口座の不正アクセス被害は補償されないの?ネット証券3社の約款を読んでみる」をテーマにお届けしてきましたがいかがだったでしょうか?
もしかしたら、ぼくが読み飛ばしていた部分や解釈違いがあるかもしれませんので、ぜひお気づきの方はコメント欄に情報をいただければ幸いです。
セキュリティ対策はいたちごっこの面もあります。どこまでやってもきりがないのかもしれませんが、明らかに本人の売買でないと考えられる事案の責任を、利用者本人がすべて背負う、といったような血の通っていない対応では困ります。資産運用は長期に渡り行なっていくものです。そこには安心・安全がなければいけません。
せっかくNISA制度の認知が高まったことで貯蓄から投資への流れができ始めています。この流れに水を差すような形にはしたくない。金融庁や日本証券業協会をはじめ、業界全体での調査・対策・補償基準の明確化を速やかに進めてほしいです。個人のせいだけにして啓発活動で行動してる感出してるだけだと、被害はさらに広がります。日本証券業協会の目的を紹介しておきます。
日本証券業協会の目的:
本協会は、協会員の行う有価証券の売買その他の取引等を公正かつ円滑ならしめ、金融商品取引業の健全な発展を図り、もって投資者の保護に資することを目的としています。
【出典】日証協とは(日本証券業協会)
ということで、利用者(個人投資家)の皆さんはまず自身でのセキュリティ対策をしっかりして過ごしましょう。
そんなぺいぱは、マネックス証券でオルカン(全世界株式)の保有を行っていますが、今後の対応方針はこうです。
①・「ログインパスワード」「取引パスワード」を一ヶ月ごとに更新。
・「二要素認証設定」をする。(アプリ認証の方がよりベター)
+
②・パスワードをブラウザに記憶させない。
・証券口座へログインする環境(端末とブラウザ)を1つに固定する。
・不明なログイン通知を受け取ったら速やかにパスワード変更する。
+
③・複数の証券会社に資産を分ける。
①は証券会社側が用意しているセキュリティ対策です。ここは最低限やっておきたいところ。
②は自身での証券口座の運用方針。使い方といったところです。アクセス元や回数を極限まで絞り込みます。ログイン時にはeメールでログイン通知が届きますから、不審な通知が来たらまずはすぐにパスワードを変更。その上で、保有商品に異常がないかを確認する、といったマイルールです。
③は「たまごは1つのカゴに盛るな」。万が一被害を受けた際に、その影響を限定的にさせようという考え方です。ここについては、① ② の対応をしっかりしつつ、証券会社側の今後の対応状況を見て、実施するかを決めます。
最後の最後にお知らせ! YouTubeで「ぺいぱのひとりごと」というサブチャンネルをやっていまして、原則、平日の朝7時からライブ配信しています。お金や仕事の話題を中心に、直近の出来事でぺいぱが興味のあるものを取り上げ、好き放題喋り倒すラジオみたいな内容です。通勤・通学のお供に最適だと思いますので、ぜひこちらもチェックしてみてください。
人生はノーコンティニュー!悔いのないようにやっていきましょう。
では、ごきげんよう。
証券業界の誠意をぜんぜん感じない。
