金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第4回 米国のサイバーセキュリティ関連法令とガイドライン
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
米国金融機関を標的にしたサイバー攻撃
スマートフォンの普及により投資家が安全性より利便性を追求し、金融機関は顧客ニーズを満たすためにデジタル化を強力に推進する一方で、米国ではフィッシング詐欺などの金融犯罪、更にはDoS攻撃、DDoS攻撃を含むサイバー犯罪という新たな脅威に直面した。例えば、2014年にはJP Morgan Chaseがサイバー攻撃を受け、8,300万口座の顧客情報が盗搾された。盗搾された顧客情報にはソーシャル・セキュリティ・ナンバーやパスワードは含まれていなかったが、氏名、メールアドレス、郵便番号、電話番号が含まれていて、これらの情報を利用したフィッシング詐欺に利用される可能性が指摘された。JPモルガンは当初、盗搾された可能性のある口座はおよそ100万口座と発表したが、実際に8,300口座(7,600万世帯と700万の小規模事業者)の情報が盗搾されていた。全容を把握するには事件発覚から数ヵ月を要した。同時期にCitigroup, HSBC Holdings, E*Tradeを含む他の金融機関にもサイバーテロ/サイバー攻撃の試みがあったことも発覚した[1]。
従来の米国のサイバー関連法
当時米国にはサイバーセキュリティに関して以下の3つの連邦法が存在し、ヘルスケア、金融機関、連邦政府機関に対して保有するシステムと情報を保護することが定められていた。
- 1996 Health Insurance Portability and Accountability Act (HIPAA)
- 1999 Gramm-Leach-Bliley Act
- 2002 Homeland Security Act, which included the Federal Information Security Management Act (FISMA).
FTC(Federal Trade Commission/連邦取引委員会)が導入したThe Gramm-Leach-Bliley Act はローン、投資助言、ファイナンシャルアドバイスを含む個人投資家向け商品を提供する金融機関に対して、Non Public Personal Information(NPI)保護の徹底と、金融機関が集めたNPIデータのセーフガードに関して基準を定めていた。同法の中では「Threats/脅威」の定義の中にMalicious Code(システムに不作動、侵害等を引き起こすソフトウェア)が含まれた。我が国の場合、個人情報保護法とサイバー基本法が別立てで立法化されたので、サイバーセキュリティが保護すべきものはNPIというように明確に保護する目的が定義されていないが、米国では同法の施行からサイバーセキュリティで保護されるものはNPIであることが明記された。
米国の新サイバー関連法案の頓挫
2012年4月、The Cybersecurity Act of 2012はサイバー脅威に関する国家重要インフラストラクチャーと連邦政府の各省庁の責任を明記、そして国家重要インフラストラクチャーを管理・運営する企業と連邦政府間の情報共有の義務化を盛り込んだ。同法案はホワイトハウス及び民主党の支持を受け下院を可決したが最終的には上院で共和党の反対で否決された。同法案に関しては経済界、人権団体による不支持が表明されていた。電力施設、石油・天然ガスパイプライン業者、金融業者など国家重要インフラストラクチャーを運営・管理する事業者はDHS(Department of Homeland Security/国土安全保障省)が同法案に基づきシステム等の保護に関するミニマムスタンダードを事業者に要求することは連邦政府による過剰な介入であると反発した。オンライン・コミュニティは連邦政府が企業を通じてインターネットの個人情報をスパイする目的に悪用される懸念を表明して同法案に反対した。
オバマ大統領は2013年2月12日にExecutive Order(以下「大統領令」という)第13636号「Improving Critical Infrastructure Cybersecurity(重要インフラストラクチャーのサイバーセキュリティの向上)」を発布した。この大統領令は、米国の重要インフラストラクチャーのセキュリティを高めると同時に、効率性やイノベーションを促進する環境を維持するためのポリシーである。大統領令は、企業におけるサイバーセキュリティリスクの管理を支援するための、業界スタンダードおよびベストプラクティスをまとめた自主参加型かつリスクベース・アプローチに基づく「サイバーセキュリティフレームワーク(以下「フレームワーク」という)を策定することを要求した。政府と民間部門との連携により策定されたフレームワークは、企業に新たな規制を課すことなく、ビジネスニーズに基づいてコスト効率よくサイバーセキュリティリスクに対処しすることを基本原則にしている。フレームワークはNIST(National Institute of Standards and Technology/米国国立標準技術研究所)が作成し、DHSが運用することになった。
米国の新サイバー関連法案の可決
2014年11月、金正恩を揶揄する内容のアニメ映画を製作したSony Pictures Entertainment社に対する報復として同社データのハッキングが半ば公然と繰り返して行われたことに対して、サイバーセキュリティの重要性と個人情報保護の重要性が再認識される結果となり、個人情報保護の為に規制を強化することを正当化する追い風となった。Cyber Security Enhancement Act of 2014(2014年12月18日施行)が議会を通過して、サイバーセキュリティ強化の官民の協力体制がようやく確立した。また、Cybersecurity Information Sharing Act(CISA 2015年10月27日施行)によりサイバー脅威に関する情報共有体制を強化した。
米国金融当局によるサイバー関連ガイドラインの導入
Cyber Security Enhancement Act of 2014の施行を受け、米国金融当局が関連ガイドラインの導入に踏み切った[2]。
FINRAはReport on Cybersecurity Practices(2016)(以下「手順書」という)の中でサイバーセキュリティを以下のように定義している。「サイバーセキュリティはデジタル電子媒体(例:コンピュータ、スマートフォン、IP)の顧客情報、会社情報(全部または一部)を盗搾から保護すること。盗搾には情報の機密性、完全性、可用性の喪失を含む」。
FINRAは手順書の冒頭でサイバーテロに関して以下のような決意表明を行なっている。「他の金融サービスや他の業界同様、証券会社はサイバー攻撃のターゲットである。攻撃の頻度と精密さは高まり、それぞれの証券会社及び証券業界全体への脅威となっていることからこの脅威を最重要課題と認識して対抗措置を講じる必要がある」[3]。
FINRAはSmall Firm Cybersecurity Check List(中小証券会社向けのサイバーセキュリティチェックリスト)を公表して、資金力及びリソースが大手金融機関と比較して不足する中小証券会社に対して、防御の為の具体的なチェックリストを提示した。
[1] 2004年10月4日CNN(http://money.cnn.com/2014/10/02/technology/security/jpmorgan-hack/)
[2] 2015年2月3日ウォールストリートジャーナル(http://www.wsj.com/articles/most-brokerages-and-advisory-firms-targeted-by-cyber-criminals-1422993463)
[3] 2015年2月FINRA Report on Cybersecurity Practices
(https://www.finra.org/sites/default/files/p602363%20Report%20on%20Cybersecurity%20Practices_0.pdf)