Digital ID World の Newsletter からの情報になりますが、FFIEC (Federal Financial Institutions Examination Council: 連邦金融機関検査委員会) が、"Authentication in an Internet Banking Environment" というガイダンスを出しています。Identity Theft (ID の盗難) や Identity Fraud (ID の流出) を防止するために、より強固な認証システムをインターネット・バンキングに導入せよ、という内容です。個人の資産や金融取引の情報を保護することを要求している Gramm-Leach-Bliley Act (GLBA) や、口座開設にあたって銀行や信用組合に必ずその本人を確認することを求めている US Patriot Act (米国愛国者法って訳すんだ、すごい。) へのコンプライアンスも、この背景にあると書いてあります。

Financial institutions engaging in any form of Internet banking should have effective and reliable methods to authenticate customers. An effective authentication system is necessary for compliance with requirements to safeguard customer information, to prevent money laundering and terrorist financing, to reduce fraud, to inhibit identity theft, and to promote the legal enforceability of their electronic agreements and transactions.
FFIEC Guidance: Authentication in an Internet Banking Environment October 12, 2005

ID / Password だけなどの Single Factor (一要素) の認証ではなく、インターネット・ベースのサービスには必ず Multi Factor (多要素) の認証システムを構築するべし、と言っています。

Account fraud and identity theft are frequently the result of single-factor (e.g., ID/password) authentication exploitation. Where risk assessments indicate that the use of single-factor authentication is inadequate, financial institutions should implement multifactor authentication, layered security, or other controls reasonably calculated to mitigate those risks.

多要素認証とは以下の「知っていること」「持っていること」「自身であること」の複数の要素の組み合わせによる認証になります。

• Something the user knows (e.g., password, PIN);

• Something the user has (e.g., ATM card, smart card); and

• Something the user is (e.g., biometric characteristic, such as a fingerprint).

さらに、USB Token, Smart Card, One Time Password や、Biometrics など具体的な認証方式や、顧客本人の特定方法なんかも書いてあって面白いです。

因みに、このような取り組みは 既に Bank of America などで始まってるみたいです。