セキュリティおよび詐欺対策の専門家たちは、英国の会社取締役を対象とした本人確認制度について、マネーロンダリングや金融犯罪の抑止を目的としているものの、懸念を示しています。
Companies Houseは、英国における有限会社の設立、管理、解散を担当する政府機関です。火曜日、同機関は11月18日から、すべての取締役および「重要な支配権を持つ者(PSC)」が法律により本人確認を行う必要があると発表しました。
政府は、この取り組みにより透明性が向上し、消費者や投資家に安心感を与えることで投資を呼び込み、詐欺からの保護も強化できると主張しています。
「本人確認は、当社のデータの質と信頼性を高め、会社登記簿の悪用に対処する上で重要な役割を果たします」とCompanies HouseのCEO、ルイーズ・スミス氏は述べました。
英国の金融犯罪についてさらに読む:マネーロンダリングが英国の詐欺事件を席巻
しかし、マネージドサービスプロバイダーEkcoのディレクター、マイケル・ペレス氏は、政府が使用する「One Login」本人確認サービス自体がセキュリティリスクであると警告しています。
彼は、このサービスが政府のサイバー評価フレームワークのすべての要件を満たしておらず、過去にはソフトウェアの脆弱性や安全でないログインなどの問題が頻発していたと主張しています。
「何百万人もの個人に対し、セキュア・バイ・デザインの原則を完全に採用していないプラットフォームを通じて機密性の高い本人確認書類の提出を求めることは、重大なリスクをもたらします」とペレス氏は述べました。
「それは脆弱性を集中させ、デジタルシステムへの信頼がすでに揺らいでいるこの時期に、ユーザーが情報漏洩の被害に遭う可能性を高めることになります。」
一方、BioCatchのグローバルアドバイザリーEMEAディレクター、ジョナサン・フロスト氏は、この制度の12か月間の導入期間が「犯罪者による悪用の明確な隙間」を生むと警告しています。
今週発表された規則によると、既存の取締役は次回の年次確認書提出時に本人確認を完了する必要があり、既存のPSCは11月18日から12か月以内に本人確認を行う必要があります。
「Companies Houseは、この脆弱性の窓を閉じ、銀行のデューデリジェンスの信頼性を損ない、経済犯罪を助長するような不正な申請の入り口とならないよう、迅速に強固な管理策を導入すべきです」とフロスト氏は主張しました。
「銀行と同様に、この機関も、会社のライフサイクル全体にわたるデバイスの利用状況や行動パターン、異常値の監視など、行動インサイトに注目し、正当なユーザーに負担をかけずに不審な活動を検知すべきです。」
詐欺対策の基盤
しかし、専門家の間では企業詐欺への対策が必要であることに異論はありません。
「銀行は、Companies Houseのデータを二重に確認するために莫大な資金を投じており、経済犯罪への対策の妨げとなっています」とフロスト氏は述べました。
「国家経済犯罪センターも、最近のパブリック・プライベート脅威アップデートでこの問題を指摘し、企業の悪用が重大なマネーロンダリングリスクを生み出していると警告しています。」
RedCompass Labsの金融情報部門ディレクター、シルヴィヤ・クルペナ氏もこれに同意し、政府の計画を「遅すぎたが不可欠な措置」と評しました。
彼女はさらに次のように述べました。「しかし、紙の上の規制だけでは不十分です。本当の効果は、どれだけ効果的に実施されるか、民間部門がどれだけ積極的に対応するかにかかっています。金融機関やテクノロジー企業は、従来のチェックで見逃される行動上の警告サインやパターン、異常値を分析する姿勢が求められます。」
翻訳元: https://www.infosecurity-magazine.com/news/experts-alarmed-companies-house-id/