金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第11回 Report on Cybersecurity Practices FINRA(5)
―—ベンダー・マネージメント(3) 契約
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
サイバーセキュリティに関する契約実務のケーススタディ
FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)はReport on Cybersecurity Practices の中で、ベンダー契約に関するケーススタディを紹介している。
ある金融機関でベンダーへの業務委託を検討している部門(以下「ユーザー部門」という)が審査部門に承認を求めた。ユーザー部門は審査部門に契約書と20~30項目の質問票を提出する必要がある。個人情報が社外で保管される場合、またはクラウド業者を利用する場合は追加質問の入った質問票が利用される。更にベンダーが個人情報または会社機微情報を取扱う場合はSOCレポート等の監査証明書の添付が必要となる。 IT コントロール・リスクアセスメント・チームは質問票の結果をスコアー化(ローリスクの0からハイリスクの100)する。審査部門はすべての情報を分析してどの程度のリスクが内在するか審査する。審査部門はリスクが大きい場合はステアリング・コミッティー(構成メンバー:テクニカル・アーキテクチャー部門、テクノロジー・コントロール・リスクアセスメント部門、経理部門、法務部門、コンプライアンス部門、ビジネスコンティニュイティ管理部門の担当者)に契約を締結するかどうかの判断を委ねる。ユーザー部門がハイリスクと認定されたベンダーとの取引を希望する場合はエンタープライズ・リスク・マネージメント部門の承認が必要になる。 クラウド業者が個人情報を取扱う場合は自動的にハイリスクベンダーと分類される。
ベンダーとの取引の承認が下りた段階で、法務部門はデューデリジェンス・チームの助けを借りながら契約書の精査を行う。契約書には内部統制、検査権限、守秘義務、セキュリティ方針、法令遵守体制、サイバー保険、事業継承計画、再委託管理、データの暗号化、出口計画を含む28項目に関して法務部門が作成した基本タームが採用される。 もし法務部門が作成した基本タームが採用されない場合は、例外承認のプロセスが必要となり、エンタープライズ・リスク・マネージメント部門及びリスク・マネージメント部門が承認したタームが利用される。
ベンダーとの契約で確認が必要な条項
FINRAは契約書審査における典型的な契約条項を参考として挙げている。
- ① 顧客情報、委託元の機微情報についての守秘義務条項について定める。
- ② データ保持、データ配信に関して暗号化の要件、暗号化方法、サーバロケーション、事業継承計画等を定める。
- ③ 情報漏洩の定義を定め、情報漏洩時の委託元への報告方法、タイミングを定める。顧客の個人情報等の漏洩の場合、誰がどのように顧客に通知するかと、その費用負担について定める。
- ④ データストーレッジと内部統制プロセスに対する委託元の検査権限を定める。
- ⑤ 第三者機関によるベンダーシステムに対するテスト(例 脆弱性診断)に関して定める。
- ⑥ 委託元の個人情報等やシステムへのアクセス権に関して、誰がアクセス権をもち、誰がアクセス権を承認できるかを具体的に定める。
- ⑦ 業務委託内容の再委託に関して、 どの委託業務に関して再委託を行うのか、再委託先に対してベンダーがどのような内部統制プロセスがあるのかを明記する。
- ⑧ 契約終了時の、ベンダーに保持されているデータの削除、返還の方法及びタイミングを定める。
- ⑨ 契約終了時の、ベンダーの委託元システムへのアクセス権の終了方法及びタイミングを定める。
- ⑩ 契約締結後の継続デューデリジェンスに対する情報提供義務について定める(継続デューデリジェンスが必要かどうか、継続デューデリジェンスの内容はリスクベース・アプローチで委託元が決める。質問票の提出だけでいいのか、監査証明書の提出が必要か、オンサイト・モニタリングが必要かどうかの判断はベンダーがアクセスできる委託元金融機関のシステム、取扱う情報の機密性等によって決定する)。