{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
IoTの浸透や社会のデジタル化に伴うオンラインサービスの普及は、人々の生活に利便性をもたらす一方で、システム障害によるサービス停止やサイバー攻撃、個人情報の漏洩など、システム利用に伴うリスクをはらんでいます。
日本ではこうした脅威について、金融庁が「システムリスク」という言葉を用いて金融業界に対して警戒および対応を求めてきましたが、他業界の企業はどのような意識を持ち、対策を検討しておくべきなのでしょうか。システムリスク管理の動向や基本的な考え方について解説します。
オンラインサービスや業務のデジタル化を進める企業がシステムリスクを考える際に参考になるのが、先行してシステムリスクに取り組んできた金融業界です。
金融庁の「金融商品取引業者等向けの総合的な監督指針」によると、システムリスクは以下のように定義されています。
「コンピュータシステムのダウン又は誤動作等、システムの不備等に伴い顧客や金融商品取引業者が損失を被るリスクやコンピュータが不正に使用されることにより顧客や金融商品取引業者が損失を被るリスク」
金融機関において、システムダウンにより取引が停止したり、コンピュータが不正に使用されたりした場合の影響の大きさは計り知れません。
日本の金融システムを振り返ってみると、初めて銀行のオンラインシステムが稼働したのは1960年代の半ば。ほどなくキャッシュディスペンサーが登場し、国家公務員を皮切りに給与が手渡しから振込へと移行していきます。さらに、70年代には金融機関同士がオンライン接続し、ATM機が誕生します。そして、80年代に入って決済サービスのオンライン化が進むと、高いレベルでのシステムリスク管理が必要となりました。
このニーズに応え、金融情報システムの課題や将来への発展性について調査・研究するために業界団体「金融情報システムセンター(FISC)」が1984年に誕生しました。翌85年にシステムリスク管理のガイドラインとして策定されたのが「金融機関等コンピュータシステムの安全対策基準(以下、FISC安全対策基準)」です。
FISC安全対策基準では、セキュリティポリシーの策定からシステム開発時の手順、監査の方法、事故対応や復旧手段など、システムリスクに関する幅広い項目について指針が示されています。これはまさにレジリエンスにつながる考え方であり、ミッションクリティカルが求められる金融機関において、誕生から約40年を経た現在でも、アップデートされながらデファクトスタンダードとして活用されています。
現在、サービスのデジタル化・オンライン化は、金融業界にとどまらずあらゆる業界に拡大しています。非金融業界、例えば小売業、製造業、運輸業、サービス業、さらには農業のような第一次産業ですら、もはやオンラインは当たり前のものになりました。これは約40年前、決済のオンライン化に対応するため、FISC安全対策基準を策定した金融業界に匹敵するほどの大きなインパクトを伴う変化といえるでしょう。
FISC安全対策基準は、いわばシステムリスク対策の“大先輩”であり“先駆者”です。目的や利用場面に応じてシステムリスク管理の在り方が体系的に整理されており、備えるべき対策がガイドラインとしてまとめられているため、参考にするにはもってこいなのです。
非金融業界のシステムリスク管理に対する解像度を高めるためにも、FISC安全対策基準がどういうガイドラインなのか、もう少し詳しく見ていきましょう。
FISC安全対策基準は、大きなくくりとして「統制基準」「実務基準」「設備基準」「監査基準」の4つの基準で構成されています。
1つ目の「統制基準」は、社内の規定や体制の基準と社外の委託管理などに関する基準を定めたものです。項目数が最も多く、半数近くを占めるのが2つ目の「実務基準」で、さまざまな実務を行ううえでの技術的対策を含む内容が記載されています。3つ目の「設備基準」は、各施設やセンター、提携チャネルなどについてそれぞれ対策を定めたもので、最後の「監査基準」は、その名のとおり、監査体制の整備に関する基準です。
FISC安全対策基準が最初に策定されたのは前述のとおり約40年前ですが、その後の社会環境の変化や技術の進化に伴い、対策すべきシステムリスクを随時取り込む形でアップデートを重ね、現在の形になっています。
このアップデートの過程で特に大きく変わったのは、ルールベースのアプローチからリスクベースのアプローチになったことです。リスク管理をするうえでルールを整備するのは重要なことではあるものの、あまりに厳しくなると企業の自由度が失われるというデメリットもあります。
これに対してリスクベースのアプローチは、個別のリスクそのものに着目し、金融機関自身が柔軟に対策をつくっていくべきだという考え方です。決められたルールを守るだけで良しとするのではなく、企業自身が自社にはどのようなシステムリスクが起こり得るのか、そしてそのリスクによってどのような影響が考えられるのかを考えて対策を講じるという動きになってきたわけです。
先にも述べたように、ミッションクリティカルが求められる金融業界のデファクトスタンダードとして長く活用され、度重なるアップデートで社会の変化にも対応してきたFISC安全対策基準は、安全対策基準として非常に分かりやすく、かつ有効性に対する信頼度も高いため、非金融業界がシステムリスク対策を検討するうえで有益な示唆を与えてくれます。
もちろん、非金融業界のシステムリスク管理を考えるうえでFISC安全対策基準をそのまま導入するだけで全てが解決するわけではありません。そこで有用になるのが、情報システム管理に関する国際規格やフレームワークです。
例えば、情報セキュリティマネジメントシステムであれば国際規格として「ISO/IEC 27000シリーズ」がありますし、経済産業省もサイバー攻撃対策の「サイバーセキュリティ経営ガイドライン」や、ITシステムの利活用について体系的にまとめた「システム管理基準」を策定するなど、指針として活用し得るフレームワークが多数存在しています。
これらは、ガバナンスやシステム障害、サイバー攻撃など、それぞれカバーする領域が特化されているため、FISC安全対策基準を軸にうまく組み合わせることでシステムリスクを網羅する形で管理体制を構築することが可能となります。
ただ、ここで大きなハードルとなるのが、「多数の国際規格やフレームワークの中からどれを選び、どのような組み合わせにすればいいのか判断が難しい」ということです。各企業の業種業態やビジネスの内容、システム構成によってリスクは異なり、当然ながら必要なフレームワークも変わってきます。多数のフレームワークを比較して効果を検討するのは、一般の企業にとっては時間の面でも手間の面でも大きな負担になります。
また、社会の変化や新たな脅威という点でここ数年を俯瞰すると、AIやブロックチェーンといった最新技術への対応、未知の感染症による世界的なパンデミック、国際的な紛争による地政学リスクの高まり、増え続けるサイバー攻撃など、考慮すべきことは多岐にわたります。
コンサルティングファームが企業のシステムリスク管理を支援する場合には、上記のようなことを念頭に置きながら支援を行っていますが、PwCの取り組みを例に挙げると、社内のリスクコンサルティングチームが専門的に「システムリスク管理の要素一覧」というリストを作成しています。これは、多数の国際規格やフレームワークの中からカバー領域に応じて有効なものを網羅的に選定し、最新技術や新たな脅威、さらには日々の業務実績を通じて蓄積したナレッジを整理したものです。
先ほども述べたように企業によってリスクは異なるため、企業のシステムリスク管理を支援する際には、ヒアリングを通して必要な要素を個別に整理します。これを踏まえ、「システムリスク管理の要素一覧」をベースに、各企業の特性に合わせたカスタマイズを行うことで、その企業にとっての最適なシステムリスク管理を定義し実施しています。
留意しておかなくてはならないのが、今後も社会は変化し、新たな技術が生まれ、リスクが増え続けていくという点です。FISC安全対策基準が何度もアップデートを重ねて金融業界のシステムリスク管理を支えてきたように、非金融業界のシステムリスク管理も常に新たなリスクに向き合い、アップデートを継続する必要があります。
企業サイドからすれば、顕在化していないリスクも含め、自社にとって必要な項目が網羅的に整理されているリストがあれば、システムリスク管理の体制づくりや具体的な施策に役立てることができます。AIなどの最新技術の場合、国内外の法令やルールへの対応も必要になりますが、PwC Japanグループには弁護士法人や税理士法人があるほか、サイバーインテリジェンスの専門チームもあるため、これらを踏まえた形でのカスタマイズも可能となっています。
デジタルレジリエンスの一環として、システムリスクに備えるにあたっての基本的な考え方について概説してきました。FISC安全対策基準をはじめ、国際規格やフレームワークといった既存の知見は、企業がシステムリスク管理を進めるうえで大きな助けになりますが、多数のフレームワークの取捨をどう見極めるかが課題であることも見えてきたと思います。
AIが台頭し、サイバー攻撃が増加する一方で、国内外を含め法的な整備は追いついておらず、各企業は現状に対応するだけでなく未来を予見しながらシステムリスクに備えることが求められています。そのためには、まずは自社のシステムリスク管理の実態をつかみ、十分な統制が効いているかどうかを把握したうえで、今後の対応を探る必要があります。システムリスクに備えることは、デジタルレジリエンスの向上にもつながる点は意識しておくべきなのではないでしょうか。
小菅 侑子
シニアマネージャー, PwCコンサルティング合同会社