FISC安全対策基準（第9版）における主な改定ポイント

2018年3月に金融情報システムセンター（以下「FISC」）から「金融機関等コンピュータシステムの安全対策基準・解説書」（以下「安全対策基準」）の第9版（以下「新基準」）が公表されました。昨今のFinTechやクラウドサービス（以下「クラウド」）によるビジネス環境の変化に対応し、従来の「安全対策基準第8版追補改訂」（以下「旧基準」）から大幅な改定が行われています。本コラムでは、今回の改定の全体像とともに、主な改定のポイントや金融機関に求められる対応について概説します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

リスクベースアプローチの導入

新基準では、金融機関等が各基準項目を適用するにあたって、リスクベースアプローチの考え方が導入されています。金融機関は、以下に示す3つの観点で、自らのリスク評価結果に応じて、基準項目の適用要否、および適用範囲の判断が可能となりました。

（1）対象システムの選定

金融機関等は多数の情報システムを保有していますが、よりリスクの高いシステムに重点的に高い安全対策を適用することを可能とするために、新基準では、「特定システム」と「通常システム」という分類の考え方が示されています。具体的には、「特定システム」は、重大な外部性（障害発生時などによる社会的影響の高いもの）や機微情報（人種、信条などの要配慮個人情報を含むもの）を有するシステム、「通常システム」はそれ以外として定義されています（図表4参照）。

（2）基準の分類（基礎／付加）の設定

新基準では、上記（1）の対象システムに応じて適用する基準項目に対して、「基礎」と「付加」の2つの区分が設けられ、「設備」を除く「統制」「実務」「監査」の基準項目に設定されています。
特定システムの場合は「基礎」と「付加」の両方の基準が適用対象となっていますが、通常システムの場合は、「基礎」の基準は最低限実施すべき要求事項、「付加」の基準はリスク評価結果に応じて選択的に実施（適用）すべき事項となっています（図表5参照）。

（3）基準項目内の対策内容の必須／任意の明確化

各基準項目には、その解説文に複数の対策が記述されています。旧基準においては、文末に「～望ましい」などの表現が多用されており、どこまで適用すれば良いのかの判断基準が曖昧でした。新基準では、このような曖昧さを排する観点より、解説文の末尾の表現が改定されることで、どの対策が必須で、どの対策が任意であるかが明確化されています。そのため金融機関等では、基準項目ごとの複数の対策案をリスク評価結果に応じて取捨選択し、自機関のリスクプロファイルに適した観点より、具体的な目標設定ができるようになりました（図表6参照）。

なお、上記（1）～（3）で挙げている「対象システム」「基準」「対策」の関係性を整理すると、図表7の通りとなります。

終わりに

直近の金融庁等の動向を鑑みると、自社のビジネスリスクに即した、リスクベースでのシステムリスク管理を自分たちで考えることが求められるようになっていると言えます。簡単に言えば、従来のチェックリスト型の対応を脱し、自社が有するリスク要因を踏まえた、効果的かつ効率的なリスクマネジメントプロセスの整備が求められる状況が到来しています。ケースによっては、必要に応じて外部の有識者を利活用することも有用です。

加えて、今回の改定でもフォーカスされているクラウドについては、「特定システム」に位置付け、「統制」／「実務」の観点からしかるべき基準項目を適用しても、当初想定していた計画通りの効果を得ることは容易ではありません。

今回の改定で、新基準の「統制」の中に中長期的なシステム計画策定が新設されていますが、クラウドの効果的な利用に際しては、クラウド事業者との責任分界点の整理等の一般的な問題に加え、中長期的な計画に即した費用対効果が生じているか、人材面の問題解決が図られているか等、ITガバナンスの観点からプロジェクト推進支援／モニタリングを図るためのさまざまな仕組みの整備が不可欠です。

PwC Japan有限責任監査法人では、このような仕組み整備の支援も含め、クラウド活用を成功に導くための「クラウド アドバイザリー＆アシュアランスサービス」を提供しており、上述してきた観点より、皆様の取り組みを効率的・効果的にサポートさせていただきます。