金融監督院は、下半期に金融会社のIT基本統制の実施状況を集中点検する。最近、金融業界で発生したシステム障害や侵害事故は、プログラム変更管理の不備、処理能力不足、ファイアウォール設定の誤りなど、基本的な統制の不十分さに起因していると報告されており、システムセンターの電源設備やクラウドベースの業務用ソフトウェアのセキュリティ義務についても調査することにした。
金融監督院は29日、電子金融業務を行う491社を対象に「金融ITリスク対応会議」をオンラインで開催し、下半期の点検方針を共有した。対象には、銀行、保険、金融投資、貯蓄銀行、信用金融、信用情報、相互金融、電子金融業者などが含まれる。
金融監督院は、上半期の現場点検とIT常時監視の結果、プログラム変更管理や性能管理など基本的なIT統制が不十分な事例を確認したと述べた。システム障害や侵害事故が継続的に発生する中で、生成型人工知能(AI)の活用拡大やサイバー攻撃の高度化により、金融会社の事故対応能力とIT内部統制の強化が求められているという。
金融監督院が示した最近の電子金融事故の主な原因は大きく三つである。プログラム変更過程で影響分析が不十分で一部のロジックが欠落したり、十分なテストが行われなかった場合、機器の動作不能・通信回線の断絶・処理能力不足が発生した場合、ファイアウォールなどのシステム変更作業時にポリシーを誤って適用した場合などである。
これにより、金融監督院は下半期にIT基本統制の実施状況を重点的に点検する。システムセンターの火災予防のために無停電電源装置(UPS)、非常用発電機、老朽化した蓄電池などの電源設備の運用状況も併せて確認する予定である。
クラウドベースの業務管理・業務支援用ソフトウェア(SaaS)に対する情報保護義務の遵守状況も点検対象に含まれる。これは、昨年4月に電子金融監督規則の施行細則が改正され、一部のSaaS利用が例外的に許可されたことによるものである。金融監督院は、金融保安院の評価結果が「充足」となっているSaaSの使用状況、接続端末の保護対策、半期ごとの情報保護統制評価及び情報保護委員会への報告の有無などを確認する計画である。
金融監督院は、AIへの移行などで規制が緩和される傾向が強まる中、金融会社自身が脆弱要因を点検し改善するIT内部統制体制が重要であると強調した。特に下半期には金融会社の自主点検が多数予定されているため、最高経営責任者(CEO)など経営陣の関心と責任の下でリスクを点検し、発見された問題を迅速に改善する全社的な自主是正体制を整えるよう求めた。
* この記事はAIによって翻訳されました。
