金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第13回 Report on Cybersecurity Practices FINRA(7)
―—ベンダー・マネージメント(5) 我が国のベンダー管理に関するガイドライン
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
監督指針「顧客等に関する情報管理態勢」のベンダー管理規程について
我が国の金融機関に対するベンダー管理に関するガイドラインとして、金融商品取引業者等向けの総合的な監督指針(以下「指針」という)を紹介したい。指針III-2-4(顧客等に関する情報管理態勢 (1)顧客等に関する情報管理態勢に係る留意事項④)の中で、ベンダー管理に関して以下のように規程されている。
顧客等に関する情報の取扱いを委託(注)する場合は、以下の措置を講じているか。
-
(注) 「委託」とは、契約の形態や種類を問わず、金融商品取引業者が他の者に顧客等に関する情報の取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。
- イ. 外部委託先の管理について、責任部署を明確化し、外部委託先における業務の実施状況を定期的又は必要に応じてモニタリングする等、外部委託先において顧客等に関する情報管理が適切に行われていることを確認しているか。
- ロ. 外部委託先において漏えい事故等が発生した場合に、適切な対応がなされ、速やかに委託元に報告される体制になっていることを確認しているか。
- ハ. 外部委託先による顧客等に関する情報へのアクセス権限について、委託業務の内容に応じて必要な範囲内に制限しているか。その上で、外部委託先においてアクセス権限が付与される従業員及びその権限の範囲が特定されていることを確認しているか。更に、アクセス権限を付与された本人以外が当該権限を使用すること等を防止するため、外部委託先において定期的又は随時に、利用状況の確認(権限が付与された本人と実際の利用者との突号を含む。)が行われている等、アクセス管理の徹底が図られていることを確認しているか。
- ニ. 二段階以上の委託が行われた場合には、外部委託先が再委託先等の事業者に対して十分な監督を行っているかについて確認しているか。また、必要に応じ、再委託先等の事業者に対して自社による直接の監督を行っているか。
監督指針「システム管理態勢」のベンダー管理規程について
指針III-2-8(システムリスク管理態勢(1)主な着眼点⑧外部委託管理)でベンダー管理に関して以下の規程がある。
- イ. 外部委託先(システム子会社を含む。)の選定に当たり、選定基準に基づき評価、検討の上、選定しているか。
- ロ. 外部委託契約において、外部委託先との役割分担・責任、監査権限、再委託手続、提供されるサービス水準等を定めているか。また、外部委託先の役職員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記しているか。
- ハ. システムに係る外部委託業務(二段階以上の委託を含む)について、リスク管理が適切に行われているか。システム関連事務を外部委託する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか
- ニ. 外部委託した業務(二段階以上の委託を含む)について、委託元として委託業務が適切に行われていることを定期的にモニタリングしているか。また、外部委託先における顧客データの運用状況を、委託元が監視、追跡できる態勢となっているか。
顧客等に関する情報管理態勢は「個人情報の保護に関する法律」を根拠法としてガイドライン化され、システム管理態勢の一部は「サイバーセキュリティ基本法」を根拠法としてそれぞれが独立して補完しあっている。重複する内容が多いが、委託元への報告義務とアクセス管理に関してはシステム管理態勢では明示的な規程はないが、情報管理態勢では規程がある。反対に選定基準に基づく評価、検討、外部委託契約、リスク管理に関しては情報管理態勢では明示的な規程はないが、システム管理態勢に規程がある。二重構造の構成になっていることから、近い将来、独立したサイバーセキュリティ管理規程の中で整理されることを期待したい。
経営ガイドライン「経営の3原則」のベンダー管理規程について
経済産業省が取りまとめた「サイバーセキュリティ経営ガイドライン」(以下「経営ガイドライン」と言う)では、ベンダー管理に関してサイバーセキュリティ経営の3原則の中に以下の記載がある。
自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要。
- (解説)
- • サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。
- • 自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要。
更に経営ガイドラインのサイバーセキュリティ経営の重要10項目中で以下の記載がある。
サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、IT システムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか? また、IT システム管理を外部委託する場合、当該委託先へのサイバー攻撃も 想定し、当該委託先のサイバーセキュリティの確保をさせていますか?
- 対策を怠った場合のシナリオ
- • IT システムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高ま る。
- • 委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。
- 対策例
- • 自組織の技術力を踏まえ、各対策項目を自組織で対応できるかどうか整理する。
- • 委託先のサイバーセキュリティリスク対応を徹底するため、委託先のセキュリティレベルを契約書等で合意し、それに基づいて委託先の監査を実施する。
更に経営ガイドラインの添付資料「技術対策の例:IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保」の中で以下の記載がある。
-
• 対応可能作業の整理
ログの定期的なチェックや監視、インシデント対応のプロセスを漏れなく整理し、各対策項目が自組織の 要員または、システム運用の委託先のみで対応できるか、できないか整理する。 -
• リスクマネーの確保
インシデント対応等、緊急の作業外注が必要な場合に備えて、あらかじめ必要な費用の検討を行い、予算等をリスクマネーとして確保しておく。
独立行政法人情報処理推進機構(以下「IPA」という)は「中小企業の情報セキュリティ対策ガイドライン 第2版」を公表している。ベンダー管理に関しては基本的に経営ガイドラインと同じ内容が規程されているので同ガイドラインの規程を掲載することは省略する。
金融庁が2015年7月に取りまとめた「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の5つの方針の中に「金融機関同士の情報共有の枠組みの実効性向上」として情報共有の必要性が掲げられている。監督指針、経営ガイドラインの指針に対応して既に効果的な内部統制プロセスを構築している金融機関が採用しているベンダー管理に関する具体的対策例や手順書を金融機関同士で情報共有できる仕組みがあれば金融業界全体のサイバーセキュリティ強化につながると考える。
システム障害で金融庁から業務改善命令等の行政処分を複数の金融機関が受けているが、サイバー攻撃は犯罪者の手口が巧妙であれば、深度ある多重構造の防御壁があったとしても犯罪を防げない場合もある。例えば、国家レベルのサイバーテロで金融機関やベンダーのインサイダーが手助けをした場合は深度ある多重構造の防御壁でも侵入を許すことは大いにありえる。行政処分の発動に関しては、被害の規模を基準にするのではなく、当該金融機関にどのような効果的な内部統制フレームワークが構築されていたかを基準にして判断されることが望ましい。特に犯罪の検知から初期対応、当局、顧客等への報告の速さ、正確さを含めて総合判断されるべきだと考える。