平成 27 年度事業報告書 - FISC 金融情報システムセンター

平成 27 年度事業報告書
1. 金融情報システムを巡る動きとその課題
(1)金融情報システムを巡る動き
わが国の金融情報システムを取り巻く環境は、年々急速に変化している。金融業務
の高度化や多様化に伴い、金融機関の情報システムはますます複雑化、精緻化してい
るなかで、情報システムは業務遂行上必要不可欠なインフラであるとの認識に立って、
そのあり方について不断の検討と見直しを行うことが重要な経営課題として金融機関
に求められている。
一方、金融情報システムを取り巻くリスク環境は、サイバー攻撃やマルウェア被害
の増大等、ますます厳しさを増しており、情報セキュリティ強化に向けた取組みが求
められている。
近年、クラウドコンピューティングやスマートフォン・タブレット端末等の新技術
の利用事例が金融機関でもみられつつある一方で、FinTech と呼ばれる IT 技術を活用
した革新的な金融サービス事業が注目されている。また、マイナンバー制度の運用が
開始され、顧客情報保護対策に向けた取組み強化もますます重要となっている。更に、
日本経済の活性化や競争力の強化に向けて、戦略的なIT投資が金融機関にも求めら
れている。
こうした環境下においては、強固なセキュリティ対策や適切なシステムリスク管理
と厳正なシステム監査の実施により、金融情報システムの安全性・信頼性を確保しな
がら、多様な利用者ニーズに対応する高度な金融商品・サービスの提供や複雑化する
リスク管理等のために、金融情報システムを効果的に活用することが必要である。
(2)金融情報システムの課題
金融庁から平成 27 年 9 月に公表された、平成 27 事務年度金融行政方針の重点施策
として、以下のような課題への取組みが重要となっている。
①活力ある資本市場と安定的な資産形成の実現、市場の公正性・透明性の確保
②金融仲介機能の十分な発揮と健全な金融システムの確保
③顧客の信頼・安心感の確保
・インターネット等を利用した非対面取引の不正送金、振り込め詐欺、偽造・盗
難キャッシュカード等への対応を通じた利用者保護の取組みの促進
④IT 技術の進展による金融業・市場の変革への戦略的な対応
・FinTech への対応
・サイバーセキュリティの強化
・アルゴリズム取引等への対応
⑤国際的な課題への戦略的な対応
- 3 -
⑥その他の重点施策
・業務の継続態勢の整備
・システムの安定稼働
・情報セキュリティ管理の徹底
当センターは、金融情報システム、ひいては金融システム全体の健全なる発展に
寄与するため、この 1 年間、これらを含むさまざまな課題についての活動を鋭意展
開した。
2. 平成 27 年度における当センターの主要活動
(1)金融情報システムの動向把握とセキュリティ対策
安全対策基準に関しては、平成 27 年 6 月末に『金融機関等コンピュータシステムの
安全対策基準・解説書 第 8 版追補改訂』を発刊した。今回の改訂では「金融機関等
におけるサイバー攻撃対応」及び「金融機関におけるクラウド利用」を二大テーマと
して捉え、平成 25 年度及び平成 26 年度に当センターで開催した「金融機関における
サイバー攻撃対応に関する有識者検討会」及び「金融機関におけるクラウド利用に関
する有識者検討会」の報告内容を全面的に盛り込むとともに、外部委託先による不正
な顧客情報窃取やカード偽装への運用面、技術面の対応等について検討を行い、安全
対策基準として追加・修正すべき基準の見直しを行った。改訂概要について全国 7 カ
所において全国説明会を開催した。
また、各業態における使い勝手を良くし、普及展開することを目的として、各業態
に適合した基準とすべく証券編、保険編を平成 28 年 3 月末に発刊した。
システム監査については、クラウドサービス利用について、どのような点に留意し
て実施すべきか(リスクやコントロールの状況等)を取りまとめたものとして、平成 28
年 5 月に『金融機関等のシステム監査指針 改訂第 3 版追補』を発刊する予定。
また、サイバー攻撃の手口は絶えず複雑化及び巧妙化するため、このような状況の
変化に応じて、
『金融機関等コンピュータシステムの安全対策基準・解説書』の解釈運
用について、FISC 会員等からの問い合わせを受け付け、必要がある場合には、
『金融機
関等コンピュータシステムの安全対策基準・解説書』の適切な解釈運用のために留意
点及び参考情報を「FISC サイバーセキュリティ参考情報」としてとりまとめ適時に公
表する運用を 7 月から開始した。
平成 25 年度に全 7 回開催し報告書の公表後に休会としていた「サイバー攻撃対応に
関する有識者検討会」を再開、平成 27 年 7 月に第 8 回開催をもって閉会とした。
- 4 -
金融業務の IT 化等については、主として次のような調査・研究を行った。
・インターネットバンキングにおけるスマートデバイスの利活用とセキュリティの強
化
・カード関連サービスの最近の動向とセキュリティ向上にむけた取組み
・業務継続態勢の実効性確保に向けた金融機関の取組み
・海外金融機関におけるシステム外部委託の最新動向
・金融機関における基幹システムの更改/統合について
・金融機関における AI 技術の活用状況
・アジア諸国における IT セキュリティ関連規制・ガイドラインの状況
金融機関等を対象として、次のアンケートを実施した。
・金融機関等のシステムに関する動向及び安全対策実施状況調査
・サイバー攻撃対応態勢にかかるアンケート調査
(2)刊行物・セミナー等
①刊行物等
・ニューズレター「FISC フラッシュ」(毎月)
・機関誌「金融情報システム」春号、秋号、増刊 79 号
・
「金融情報システムエグゼクティブサマリー」No.18 、№19
・平成 28 年版金融情報システム白書
・
『金融機関等コンピュータシステムの安全対策基準・解説書』(第 8 版追補改訂)
・
『金融機関等コンピュータシステムの安全対策基準・解説書』(第 8 版追補改訂
英訳版)
・
『金融機関等コンピュータシステムの安全対策基準・解説書』
(証券編・保険編)
・FISC ガイドライン検索システム Ver5.3(ダウンロード)
②セミナー等
・会員経営者層に対する情報提供の場として「FISC 講演会」を 12 月 18 に開催した。
・外部講師を招き、7 月 27 日に「IT ガバナンスに関する平成 26 事務年度金融モニタ
リングの結果について」と「決済業務等の高度化に関する検討等について」
、11 月 4
日に「平成 27 事務年度金融行政方針について」と「FISC 安全対策基準にみる高度サ
イバー攻撃」をテーマとして「FISC セミナー」を開催した。
・
『金融機関等のコンピュータシステムの安全対策基準・解説書(第 8 版追補改訂)』
の概要について、7 カ所(8 回)において全国説明会を開催した。
・安全対策基準等について解説する「安全対策基礎セミナー」を全国 7 カ所(9 回)開催
した。
- 5 -
・当センターで蓄積してきた研究成果や最新動向等の解説及び情報交換を行う「地区
別セミナー」を、全国 18 カ所(18 回)で開催した。
・システム監査人育成のための「金融機関等のシステム監査セミナー」については、
実務者コースを 2 回、アドバンストコースを 2 回開催した。
・当センターで蓄積してきた研究成果や最新動向等の解説及び情報交換を行う「訪問
サービス」を計 42 回実施した。
・金融機関等の IT 関係部門の新任者を対象とした「新任システム担当者セミナー」を
10 月 8、9 日に開催した。
・金融機関のシステム担当役員及び次世代の CIO を担うマネジメント層を対象とした
「エグゼクティブセミナー」を 2 月 18 日に開催した。
・当センター職員による講演を 12 回実施した。
(3)関係外部機関との連携
・金融庁総括審議官等幹部との意見交換会を 6 月 5 日、12 月 10 日に実施した。
・金融庁検査局による「IT ガバナンスに関する平成 26 事務年度金融モニタリングの結
果について」
、
「決済業務等の高度化に関する検討等について」に関する講演を 7 月 27
日、
「平成 27 事務年度金融行政方針について」に関する講演を 11 月 4 日に開催した。
このほか、以下のような関連する各種外部委員会・研究会等に積極的に参加した。
・重要インフラ専門調査会(主催:内閣サイバーセキュリティセンター)
・セプターカウンシル総会・幹事会(主催:セプターカウンシル事務局)
・暗号技術検討会(主催:総務省、経済産業省)
・情報システム用設備専門委員会(主催:電子情報技術産業協会(JEITA))
・資格認定委員会(主催:日本セキュリティ監査協会(JASA)
)
・デジタルフォレンジック研究会(主催:NPO Institute
of
Digital
Forensics)
・国連 CEFACT 日本委員会及び同総会(主催:国際連合)
・金融 ISAC アニュアルカンファレンス(主催:一般社団法人金融 ISAC)
・ISO/TC68 国内委員会/国内検討委員会(主催:日本工業標準調査会(JISC))
・ISACA 年次総会(主催:情報システムコントロール協会(ISACA))
・次世代個人認証技術コンソーシアム準備委員会(主催:東京大学情報理工学研究科
ソーシャル ICT 研究センター)
・IT を活用した金融の高度化に関するワークショップ(主催:日本銀行)
・業態に応じた IT 戦略に関するワークショップ(主催:日本銀行)
・第 12 回デジタル・フォレンジック・コミュニティ 2015 in Tokyo (主催:特定非営
利活動法人 デジタル・フォレンジック研究会)
・2015 年度分野横断的演習 演習見学会(主催:内閣サイバーセキュリティセンター)
- 6 -
(4)組織運営事項
・平成 27 年 5 月 27 日に平成 27 年度第 1 回理事会を開催し、平成 26 年度事業報告及
びその附属明細書と平成 26 年度貸借対照表、正味財産増減計算書、財産目録等の承
認を得るとともに、顧問の選任を行い、平成 27 年度定時評議員会招集を決定した。
・6 月 16 日に平成 27 年度定時評議員会を開催し、平成 26 年度事業報告及びその附属
明細書の報告を行い、平成 26 年度貸借対照表、正味財産増減計算書、財産目録等の
承認を得るとともに、評議員及び理事の選任を行った。
・6 月 30 日に平成 26 年度事業報告等の定期提出書類を内閣総理大臣(内閣府)に対
し電子申請により提出した。
・期中、評議員及び理事変更の都度、変更登記申請を行い、登記完了後、変更届出書
を内閣総理大臣(内閣府)に対し、電子申請により提出した。
・9 月 30 日に平成 27 年度第 2 回理事会を「決議の省略の方法」により行った。
・11 月 2 日に平成 27 年度臨時評議員会を「決議の省略の方法」により行った。
・11 月 26 日に平成 27 年度第 3 回理事会を開催し、理事長及び常務理事の職務執行報
告を行うとともに、設備投資計画の実施状況の報告を行った。
・3 月 16 日に平成 27 年度第 4 回理事会を開催し、平成 28 年度の事業計画、収支予算
投資計画の承認を得た。
・3 月 30 日に平成 28 年度事業計画等の定期提出書類を内閣総理大臣(内閣府)に対し、
電子書類により提出した。
・期中、評議員及び理事変更の都度、変更登記申請を行い、登記完了後、変更届出書
を内閣総理大臣(内閣府)に対し、電子申請により提出した。
- 7 -