金融機関におけるサイバーセキュリティ 検査マニュアルへの対応 | KPMG | JP

金融機関におけるサイバーセキュリティ 検査マニュアルへの対応

金融機関におけるサイバーセキュリティ 検査マニュアルへの対応

(平成27年7月2日 金融庁) 外部委託先が関わる情報漏えいの発生やサイバー攻撃の増加を受け、金融庁は、2015年4月6日に「金融分野における個人情報保護に関するガイドライン」、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の改正案を公表した他、4月22日に監督指針、検査マニュアルを改正しました。さらには7月2日には、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」が公表されました。

関連するコンテンツ

金融機関は、ますます高度化するサイバー攻撃や情報漏えいリスクの高まりに備えるために、従来のIT部門を中心とした対応にとどまらず、経営主導での部門横断的な取組が求められます。

金融庁のガイドライン

金融庁が2015年4月22日に改正した監督指針、検査マニュアルの主なポイントは以下のとおりです。

  1. サイバーセキュリティ事案の項目新設
  2. 上記に対する経営陣の課題認識と態勢整備
  3. 情報セキュリティ管理(旧:安全対策)の拡充
  4. 金融機関が責任を負うべき顧客の重要情報の管理項目の新設
  5. サイバーセキュリティ管理項目の新設
  6. 外部委託管理項目の強化

金融機関の経営陣に求められる、より組織横断的な対応

監督指針・検査マニュアルの改訂は、金融モニタリング基本方針の「顧客の信頼・安心感の確保等」を踏まえたものであり、従来のシステムリスク対応、外部委託管理、障害発生対応といった個別対応ではなく、経営陣の関与も含む、より組織横断的な対応が求められています。

1.業務の継続性の確保

サイバーセキュリティ事案等に見舞われた場合でも、業務を安定的に継続できる態勢を経営が確保しているか?

2.情報セキュリティ管理の徹底

金融機関が責任を負うべき顧客の重要情報に関するセキュリティを経営陣は適切に確保しているか?

3.サービスの不正利用の防止

不正送金、振り込め詐欺、偽造・盗難キャッシュカード、盗難通帳への対応、サイバー攻撃、マネー・ローンダリング、テロ資金供与、反社会的勢力などによって金融機関およびその顧客が悪用されることのないような態勢を経営陣は確保しているか?

顧客の信頼・安心感の確保

金融庁の金融モニタリング基本方針では、「顧客重視の経営のためには、顧客が金融サービスをいつでも安心して利用できることが重要」であり、「金融システムは経済の重要なインフラであり、不正利用防止も含め金融サービスの適正かつ安定的な提供を確保することは経済の発展や顧客の日常生活に不可欠である」と強調されており、サイバーセキュリティ対応は、インターネットバンキング不正送金、振り込め詐欺、偽造・盗難キャッシュカード、盗難通帳、マネー・ローンダリング、テロ資金供与、反社会的勢力の対応とあわせて、「顧客の信頼・安心感の確保」という観点で位置づけられています。

  • 特定の技術要素に依存し、当該要素の実効性を業務所管部門が把握していない。
  • IT部門と業務所管部門のコミュニケーションが悪く、IT部門の対応について顧客説明が十分にできない。
  • 経営がIT部門、あるいはIT部門がベンダーに任せており、自社のサイバーセキュリティの状況を適切に把握していない。
  • 事象発生時に金融機関としての迅速・適切で一体的な対応ができない。

などの失敗事例は、経営によるガバナンス、IT部門・業務所管部門・コンプライアンス部門の横断的な取組が不可欠であることを示しています。さらには役職員一人ひとりの意識醸成も重要な課題です。

金融機関に関する最新情報

お問合せ

 

RFP(提案書依頼)

 

送信