・発生している事象について
・現時点での業界対応について
・業界がやるべきことについて
ごきげんよう、ぺいぱです。
このブログの内容は動画でも解説しています。
今回も証券口座への不正アクセス被害に関してです。被害を受けた利用者(個人投資家)への補償については、その方針が示されましたが、まだまだ不透明な点も多いです。
ぺいぱはオルカン(全世界株式)の塊をじっと握っているような、実にクソつまらない個人投資家であり、投資や業界、セキュリティの専門家でもなんでもありません。しかし、あまりにひどい日本の証券業界の状況を見るに見かねて、大変僭越ながら業界団体である日本証券業協会への提言をしたいと思います。
今回の記事は2025年5月5日時点の情報で構成しています。
発生している事象のおさらい
金融庁によると、不正アクセスは2025年2月から4月16日まで3ヶ月間弱で
不正アクセス件数:3,312件
不正取引件数:1,454件
売却金額:約506億円
買付金額:約448億円
と発表されています。
犯行グループは、
・株価が変動しやすい「低位株」を事前に保有しておく。
↓
・フィッシングやウイルス感染などの手口で第三者の証券口座IDやパスワードを盗み出す。
↓
・第三者の口座に不正アクセスし保有銘柄を売却した資金で「低位株」を大量購入。
↓
・価格が釣り上がったところで手持ちの「低位株」を売り抜けて売却益を得る。
概ねこうした手口だと言われています。
ここからは推測にはなりますが、不正アクセスした口座で速やかに「低位株」を大量買い付けする必要がありますから、基本的には課税口座だろうがNISA口座だろうが、投資信託ではなく個別株を保有している人の多くが被害に遭っていると考えられます。投資信託の場合は売却しても入金まで数営業日かかるためです。
証券業界の対応をおさらい
2025年3月22日に楽天証券が不正アクセス被害を公表して以降、同様の被害が判明している会社はこれら計9社。
<被害発生が判明している会社>
野村証券
大和証券
SMBC日興証券
三菱UFJモルガン・スタンレー証券
SBI証券
楽天証券
マネックス証券
松井証券
三菱UFJeスマート証券
(2025年4月30日時点)
各社ともに、自社からの情報流出が原因であると公表しているところはなく、被害補償についても原則約款の定めに基づくとされていました。こちらの回「証券口座の不正アクセス被害は補償されないの?ネット証券3社の約款を読んでみる」でも取り上げています。
各社の約款には多少の差異はあるものの、
・不正アクセスだとしても行われた取引は有効
・誰の過失で取引に必要な情報が漏れたのかにより補償判断が分かれる
こうしたことが書かれており、
・証券会社の自社調査では会社からの漏洩はないという判断。
・そのため利用者側に問題があったと考えられる。
・つまり被害額の補償はしない。
従来はそうしたスタンスでした。
それが一転して5月2日。証券会社で構成される業界団体、日本証券業協会が本事案に関する被害について、一部補償する方針を申し合わせた10社を公表をしました。先ほどの一覧から、みずほ証券が増えていますが、これは被害が新たに確認されたのか、それとも被害は確認できていないけど名を連ねたのかは把握できませんでした。
<名を連ねた10社>
野村証券
大和証券
SMBC日興証券
みずほ証券
三菱UFJモルガン・スタンレー証券
SBI証券
楽天証券
マネックス証券
松井証券
三菱UFJeスマート証券
【出典】今般のインターネット取引サービスにおけるフィッシング詐欺等による証券口座への不正アクセス等による対応について(日本証券業協会)
こちらの回「不正アクセス被害の補償方針に動き:ネット証券3社のステートメントを読み比べ」でも取り上げています。
日本証券業協会によると、今年1月以降の被害が補償の対象で、検討にあたっては利用者のパスワード管理状況などが考慮されることになりますが、具体的な補償水準は各社が事例ごとに個別判断するとのことです。
利用者の不安を分解する
ここからは、利用者がこの件をどう受け取っているのかに目を向けます。
・被害に遭った際に全額補償されるのかどうか?
・そもそも不正アクセスの原因は何なのか?
まぁ、強いて言えば業界全体の気の緩みとか、緊張感・スピード感の無さなども不安なんですが、これは一旦置いておきましょう。利用者はつまりシンプルに「不安」ということです。
資産運用は人生をより豊かに、そして安心・安全に過ごすためにお金を育てていく一手段です。それは老後のためかもしれない。お子さんの教育のためかもしれない。自分や家族の住まいのためかもしれない。そうしたことのために日々の生活の中で努力して原資を捻出し、運用に回しているわけです。
そんな大切な運用資産が危険に晒されており、万が一の際に補償すらされない可能性がある。それが不安で仕方がない。すべての利用者がこう思っていることでしょう。では、その不安をどうすれば払拭できるのか。
5月2日に発表があった補償に関する各社のステートメントは、実は新しいことを言っているようでほぼ以前と何も変わっていないです。なぜならば約款の定めにある通り「誰の過失で取引に必要な情報が漏れたのかにより補償判断が分かれる」というのが原則で、今回「一定の補償」を謳っているものの、その判断は証券会社に委ねられているからです。
だからぼくから言わせれば「前向きに取り組んでる風」を装っているだけ。いますよね、会社の中にもこうした「仕事してる風」の人。これと同じです。そのため「全額補償への不安」の回答には全然なっていないわけです。ただ、より重要なのは「原因が分からないことへの不安」です。
結局、問題の大元を根絶しないと利用者の不安は今後も払拭されません。通常こうした問題の対処は順番が非常に明快で、
① 原因究明(発生要因を探す)
② 対策実施(発生要因を潰す)
③ 被害対応(発生済み事案への対処)
こうなります。
これはどんな分野の問題でも同様です。金融に限った話ではありません。なので現状は、①の話が曖昧で、②は多様素認証必須という線でお茶を濁し、③を取り組んでいる風を装う。順番も内容もめちゃくちゃで、当事者である証券会社自体もかなり混乱している異常事態であることが分かります。
例えるなら、お風呂のお湯がどんどん減っている!だけど栓はちゃんとされてる!どこから漏れてるのかよう分からんけど、きっとあなたの入浴の仕方が悪いよね!しょうがないから少しだけお湯足すわ。
いま、こんなんですよ。風邪ひくよ。マジで。先にどこから漏れてるのかの確認を最優先に動く必要ありませんか?
おしらせ
キャラクター”ぺいぱ”がデザインされた「資産運用学園やわらか中学校」公式アイテムがついに販売開始!トイレットペーパーを模したキャラデザの由来は、古くなったお札が再利用されてトイレットペーパーになることや、ウン(運)がつく縁起ものだからなど、諸説あり。いずれのアイテムも日常使いできるシンプルデザインです!ぜひお買い求めください!
ぺいぱから日本証券業協会への提言
ようやく本題です。
① 原因究明について
→ 第三者委員会による原因調査(被害のあった証券会社・利用者双方に対して)
② 対策実施について
→ ①の結果によって対策を実施(パスワードに頼る本人認証のあり方は要検証)
③ 被害対応について
→ 補償評価のガイドラインを策定・公表(証券会社の独自判断には委ねない)
本当に利用者のことを考えているのであれば、これを掲げて動いて欲しい。別にそこまでおかしなことは言ってないと思います。行政(金融庁など)が無理矢理にでも業界団体へやらせるぐらいあってもいい。準備が必要だろうからすぐに着手じゃなくてまずは意思表明だけでもいい。
ただ、ぼくも大人です。もちろん色々な事情でこれらに取り組むことが難しいこともあるでしょう。なので、利用者が安心できる代案ももちろんあります。
・不正アクセスで発生した被害を無条件で全額補償(複利効果が削がれた分の補填も含む)
これを表明してくれれば当面は十分です。本質的な解決にはまったくなりませんが。
やるべきことはこれだけハッキリしているのに、なぜやれないのか。これはコミットすればするほど自分たちの首を絞めるから。ぼくも長らく会社員をやってましたから分かります。証券会社も業界団体もその苦しい心中はお察しします。でも、これをやり切らず喉元過ぎれば熱さ忘れるでやり過ごしたら、日本における「貯蓄から投資へ」とか「資産運用立国」とかはもう諦めた方がいいです。二度と口にしないでもらいたい。
ぼくの株式投資は2004年から始まりました。途中辞めていた時期もありましたが現在に至るまでマネックス証券を信用してやってきました。しかし今回の対応を見て気持ちが冷めてしまいましたので、引越し先の証券会社を探します。きっとどこかには顧客視点のちゃんとした会社があることを信じています。
さいごに
最後の最後にお知らせ! YouTubeで「ぺいぱのひとりごと」というサブチャンネルをやっていまして、原則、平日の朝7時からライブ配信しています。お金や仕事の話題を中心に、直近の出来事でぺいぱが興味のあるものを取り上げ、好き放題喋り倒すラジオみたいな内容です。通勤・通学のお供に最適だと思いますので、ぜひこちらもチェックしてみてください。
人生はノーコンティニュー!悔いのないようにやっていきましょう。
では、ごきげんよう。
保身だけ考えていると結果、身を滅ぼす。
