金融監督院が今年、金融会社に対するITセキュリティの脆弱性評価基準を拡大する方針だ。同時に、金融会社のセキュリティ体制を点検するための抜き打ち検査も実施する。金融監督院は今年、ITセキュリティリスクに早期対応するための事前予防を主要課題に挙げており、今回の措置はそれに沿ったものだ。
11日、金融当局によると、金融監督院は近く主要金融会社、各業種別の協会などと会い、ITセキュリティの脆弱性分析・評価基準の拡大について協議する方針だ。現行の電子金融取引法施行令上、金融会社は自ら実施したセキュリティ設備の脆弱性分析・評価結果を少なくとも年1回以上、金融当局に提出しなければならない。
評価基準は毎年補完しているが、今年は例年より評価項目をさらに細分化し増やす案を金融監督院は検討している。金融監督院は、各金融会社が保有中の電算機器の規模を正確に把握しているかどうかなど、基本的な事項から項目に詳細に反映する案を考慮している。セキュリティ体制を綿密に確認する方式で管理を強化する趣旨だ。
金融監督院は今年から、金融会社が提出した評価結果に基づきセキュリティ体制を適切に運用しているか確認するため、現場点検も強化する方針だ。金融監督院は今年の組織改編を通じ、デジタル金融総括局内にデジタルリスク分析チームを新設した。デジタルリスク分析チームは金融会社のセキュリティ状況に対する抜き打ち点検を専担する計画だ。金融監督院は今年、セキュリティ脆弱性分析の結果と現場点検の内容を踏まえ、金融業界に必要なセキュリティ強化策を策定し、ガイドラインなどとして公表する方針だ。
金融監督院は今年、セキュリティ事故の事前予防を主要課題に据えた。ITリスクを早期に識別し、事前予防的な監督・検査体制へ転換することが骨子だ。これに向けてセキュリティ情報を常時収集し、主要金融会社と非常連絡網も整える計画である。金融監督院関係者は「今年から金融会社を対象にしたセキュリティ評価項目を大幅に強化する方針だ」と述べた。