金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第5回 我が国のサイバーセキュリティに関する法令・ガイドライン
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
官邸主導の取組み
米国と比較してサイバーテロ/サイバー攻撃の被害件数が少ないという状況に関わらず、サイバーセキュリティ対策のアーキテクチャの構築は迅速に行われた。2014年11月、サイバー攻撃対策に関する国の責務などを定め、政府及び重要インフラ事業者にサイバーセキュリティ確保のための施策を講じることを求めた「サイバーセキュリティ基本法」が制定された(2016年4月改正)。同法第二条[1]においてサイバーセキュリティの定義が以下のとおり定められた。
- 「この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。」
2015年1月には、同法に基づき、内閣に「サイバーセキュリティ戦略本部」が設置され、内閣官房組織令に基づき、「情報セキュリティセンター」を改組し、内閣官房に「内閣サイバーセキュリティセンター(NISC)」が設置された。同年、政府はサイバーセキュリティ政策の年次計画である「サイバーセキュリティ2015」、翌年には「サイバーセキュリティ2016」を公表した。同年次計画は、サイバーセキュリティ基本法のもと、政府が閣議決定した「サイバーセキュリティ戦略」を踏まえて、経済発展に向けたセキュリティ施策をはじめ、国民や社会の安全確保、国際平和や安全保障について、各省庁がそれぞれ工程表を制作して推進するほか、研究開発や人材育成では横断的な取り組みを推進している。経済発展の施策では、制度整備や技術開発などを踏まえた「安全なIoTシステムの創出」、経営者の意識改革や人材育成を踏まえたセキュリティマインドを持った企業経営の推進、セキュリティ関連産業の振興などを盛り込んでいる。
金融庁の取組み
サイバーセキュリティ基本法の施行を受け、金融庁は2015年7月「金融分野におけるサイバーセキュリティ強化に向けた取組方針」[2]を取りまとめ、以下の5つの方針を定めている。
- ① サイバーセキュリティに係る金融機関との建設的な対話と一斎把握。
- ② 金融機関同士の情報共有の枠組みの実効性向上。
- ③ 業界横断的演習の継続的な実施。
- ④ 金融分野のサイバーセキュリティ強化に向けた人材育成。
- ⑤ 金融庁としての態勢構築。
金融庁は同時に「サイバーセキュリティ対策企画調整室」の新設を決定し、ハッキング対策などに詳しい外部の専門家を参与として登用している。同部署では各省庁を含む、内外からの関連情報を収集し、金融機関のサイバーセキュリティ強化を牽引している[3]。
金融商品取引業者向けの総合的な監督指針の改正と課題
金融商品取引業者向けの総合的な監督指針(以下「監督指針」という)は2015年4月に改正された。監督指針の中でサイバーセキュリティに関連する新設の規程は主にIII-2-8(以下「システム管理ガイドライン」という)に主要な規程があるがIII-2-4(以下「顧客等に関する情報管理ガイドライン」という)の中の一部にも、サイバーセキュリティに関連する規程がある。例えば、III-2-4③では
- 「内部関係者による顧客等に関する情報の持ち出しの防止に係る対策、外部からの不正アクセスの防御等情報管理システムの堅牢化などの対策を含め、顧客等に関する情報の管理状況を適時・適切に検証できる体制となっているか。」
と規程されている。これは、顧客等に関する情報管理ガイドラインは「個人情報の保護に関する法律」を根拠法として、システム管理ガイドラインの中のサイバーセキュリティに関する規程は「サイバーセキュリティ基本法」を根拠法としてそれぞれが独立していることに起因する。システム管理ガイドラインはそもそも発注システムのシステム障害の防止対策が主要な目的であったが、2015年4月にサイバーセキュリティに関する新設規程をシステム管理ガイドラインの中で整理したことから、システム障害とサイバーセキュリティに関する規程が一つの規定の中で共存する二重構造になっている。その為III-2-8⑤に関してはサイバーセキュリティだけに適合する規程であるが、残りのIII-2-8① システムリスクに対する認識等、② 適切なリスク管理態勢の確立、③ システムリスク評価、④ 情報セキュリティ管理、⑥ システム企画・開発・運用管理、⑦ システム監査、⑧ 外部委託管理、⑨ コンティンジェンシープラン、⑩ システム統合リスク、⑪ 障害発生時の対応、の各規程はシステム障害とサイバーセキュリティの両方に適合するので内容を咀嚼して分類して考える必要がある。監督指針と同時期に改正された金融商品取引業者等検査マニュアルも監督指針と改正点は基本的に同じ2重構造になっている。サイバーセキュリティが保護するべき最も重要な情報は個人情報なので、監督指針のサイバーセキュリティに関する規程の中で保護すべき目的物を明確にするのも一案だと考える。システム障害とサイバーセキュリティに関しては、どちらもシステムに関係する重要な問題ではあるが、前者はあくまで金融機関の内部管理の問題であり、後者は国際的サイバー犯罪に対応すべき国家的問題なので、近い将来、監督指針の中でサイバーセキュリティが独立した規程として個人情報を保護すべき目的物として整理されるのが合理的ではないかと考える。
経産省の取組み
2015年12月、経済産業省は大企業及び中小企業(小規模事業者除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象としたサイバーセキュリティ分野の経営指針となる「サイバーセキュリティ経営ガイドライン」(以下「経営ガイドライン」という)を策定した(2016年12月改訂)。経営ガイドラインは経産省と独立行政法人情報処理推進機構(以下「IPA」という)が取りまとめたサイバー攻撃のリスクに備えるための指針である。投資家に対する同分野の情報開示方法や企業内の組織体制、技術的対策の手法などを記している。経営ガイドラインは、経営者が認識する必要がある「3原則」と、情報セキュリティ対策実施上の責任者となる担当幹部に指示すべき「重要10項目」を柱としている。具体的には、情報セキュリティ対策を統括するCISO(最高情報セキュリティー責任者)の設置や、被害が拡大しない社内ネットワークの構築などを企業に促している。
経営ガイドラインの内容
経営ガイドライン[4]の3原則は以下の通りである。
- ① 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要。
- ② 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要。
- ③ 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要。
重要10項目には、リーダーシップの表明と体制の構築(表の1、2)、リスク管理の枠組み決定(同3、4、5)、攻撃を防ぐための事前対策(同6、7、8)、攻撃を受けた場合に備えた準備(同9、10)を掲げている。それぞれの項目ごとに、対策を怠った場合の最悪のシナリオと対策例が記載されている。
IPAによる中小企業対策
2016年12月、IPAは「中小企業の情報セキュリティ普及に関する委員会 ガイドライン検討ワーキンググループ」を開催し、有識者の御意見を踏まえ、2009年に策定した「中小企業の情報セキュリティ対策ガイドライン」[5]の改訂版を公表した。同改訂版の中で、情報セキュリティポリシーを策定し、これをもとに対策を実践していくための手順について説明している、また、企業や個人などに最低限求められる「情報セキュリティ5か条」、「診断シート」、「5分でできる!情報セキュリティ自社診断」、「わが社の情報セキュリティポリシー」が添付されている。
[1] http://law.e-gov.go.jp/htmldata/H26/H26HO104.html
[2] http://www.fsa.go.jp/news/27/20150702-1.html
[3] http://www.nikkei.com/article/DGXLASFS02H4H_S5A700C1EE8000/
[4] http://www.meti.go.jp/policy/netsecurity/mng_guide.html
[5] https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html