開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • 「16項目」で同業パートナーを確認、金融機関のサードパーティリスクの論点は?

  • 会員限定
  • 2020/11/16

「16項目」で同業パートナーを確認、金融機関のサードパーティリスクの論点は?

大野博堂の金融最前線(28)

金融機関と提携先企業たるサードパーティとの間には、サイバーセキュリティの問題もさることながら、サプライチェーンそのものにまつわるリスクも生じる。本稿では、金融機関がフィンテック企業や金融業務に進出しようとする大手企業と連携する際の留意点を解説する。金融機関が抱えるさまざまな「サードパーティリスク」の論点はどこにあるのか?

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。

photo
金融機関のサードパーティリスクを「16項目」で確認しよう
(Photo/Getty Images)

PJパートナーの「顧客情報の取扱い体制」は万全か?

 これまでは金融機関が中心となり外部からの情報システムへのアクセスをチェックしたり、顧客情報管理の手法を高度化したりしてきた。ただし、金融機関の顧客情報が、外部企業の提供するサービス基盤(クラウド、SaaS)を利用して流通・管理されている場合、従来とは異なる視点での点検が重要性を帯びてくる。

 提携先企業そのものが敵の攻撃対象となったり、提携先企業の管理体制の不備が原因で顧客情報が外部に漏えいするリスクに備える必要があるからだ。

 たとえば、自行庫は金融庁からの通達を遵守し、顧客情報を国内にて厳格に管理していたとしても、顧客データのバリューチェーンに位置付けられる提携先企業がサーバを国外に設置し、そこで顧客情報を一時的にせよ管理していたらどうだろうか。

 当該国がワイヤータップ(電話などに盗聴器を接続すること)などで自国内の情報システムに容易にアクセスすることができ、意図的ではないにせよ、自行庫の顧客情報の一部が漏えいする恐れが否定できない。

 日本の金融機関では顧客情報の取扱いについて金融庁から厳しく指導されてきたこともあり、厳格な管理態勢が備わっている。

 ただし今後は、金融機関として顧客情報のバリューチェーンを俯瞰のうえ、これに介在する連携先企業すべてにおいてこうしたリスクを排除する必要がある。クラウドの利用が進む中、従来にも増してデータのバリューチェーンが複雑化しており、金融機関における日々のチェックが欠かせないのだ。


バックアップシステムの設置状況は適切か

 筆者が理解している範囲内で見る限り、フィンテック企業は、金融機関ほどシステムの設置場所にこだわりを持っていないようだ。

 FISC(金融情報システムセンター)の安全対策基準や、かつての金融検査マニュアルで定義されていたバックアップシステムの要件を満たさないケースも少なくない。これは業務システムだけでなく、メールサーバやファイル共有サーバの類も同様である。そのため、大規模震災などのリスクが生じた際、業務データを喪失する恐れもある。

 もちろん、当局検査時のデジタルフォレンジック(法的証拠能力を持つデジタルデータの保全)にも影響を与えることだろう。さらに、企業の中には、バックアップシステムを海外に設置している企業もある。

 こうした企業はそもそも悪意をもってこうした判断を下したわけではないのだろう。その多くが、金融庁の通達やFISCの安全対策基準を確認していないことがこうした事態を引き起こしている。改めて国内ルールに準拠した指導と改善を継続的に促すことが肝要なのだ。

「システム管理の実態とセキュリティ」は把握が難しい

 筆者はPCを外部で人目につく場所で利用することは極力避けており、会社貸与のスマホでさえ、外部で利用する際には接続先ネットワークの利用にも留意している。だが、喫茶店やホテル、空港のロビーなどでは、周りを気にせずにPC操作をしているビジネスパーソンが多く、場合によっては業務上の会話なども耳にすることが多いと感じている。

 公衆の場でも、無料でWi-Fiが利用できることも多く、この傾向を助長している。フリーWi-Fiは通常のインターネット利用やホビー需要のためのツールとして無料開放されているのであり、業務上の情報を格納した端末を接続するという発想は筆者にはない(厳しすぎるとは決して思っていない)。

 また、フリーWi-Fiの中には、「敵」があえて情報窃取を目的に設置したものも存在すると言われているほか、セキュリティの緩いフリーWi-Fiに接続しつつターゲットの端末への侵入を試み、端末内の情報を窃取せしめる事例も多発している。

 喫茶店などでの会話を聞いていると、取引先とのシステム開発の進捗に関するやりとりを複数名で実施している様子が伺えることも珍しくない。オフィスを持たずに業務の進行、顧客への納品といった“デリバリー”を実現するベンチャー企業もみられる中、セキュリティの視点が抜け落ちている「危機感のない企業」の存在を、我々は十分に認識する必要がある。

 テレワークがコロナ禍で注目されているとはいえ、所属先企業はこうしたリモートワークの実態を果たして認識しているのか、不安である。

 筆者ならば、自身のプロジェクトのカウンターパートが当方の業務情報をこのように取り扱っていることが判明した段階で、その後は契約に基づいて厳格に解除要件を確認することだろう。働き方改革とは決してこのような「都合の良い作業」を後押しするための施策ではないことに改めて留意せねばならない。

画像
「フリーWi-Fiの中には、情報窃取を目的に設置したものも存在すると言われている」
(Photo/Getty Images)

【次ページ】対象企業を詳細に分析するための「16項目」とは

お勧め記事

トピックス

IT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!