開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • デジタル化が抱える“矛盾”、金融機関が「顧客ITリテラシー向上」を実現するには

  • 会員限定
  • 2020/12/14

デジタル化が抱える“矛盾”、金融機関が「顧客ITリテラシー向上」を実現するには

大野博堂の金融最前線(29)

国を挙げたデジタル化推進のなか、顧客接点にも新しい技術が導入され、併せて銀行内ではワークフローの見直しが進展しつつある。こうした中、新たなデジタルサービスを利用する顧客の中には、必ずしもITに精通していない方も多い中、こうした顧客層をターゲットとしたサイバー攻撃も増加傾向にある。ファイナンシャル・インクルージョン(金融包摂)をうたう金融庁では、あらゆる人々が金融サービスにリーチできることを金融機関に求めている。本稿では、デジタル化が進む昨今、金融機関に期待されるこの相いれない2つの要件をいかに実現するべきかを検討し、現実的な解を取り上げる。

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。

photo
顧客のITリテラシー向上のために金融機関ができることは?
(Photo/Getty Images)


DX推進下で金融機関に期待されるITガバナンス

 金融庁は2019年、「金融機関のITガバナンスに関する対話のための論点・プラクティス整理」を公表した。ここでは、ITシステム分野における当局におけるチェックの視点に大幅に改訂が加えられた(図1)。従来の検査・監督を大幅に見直す過程において、金融機関の重要インフラであるITシステムの検査・監督基準も併せて見直した格好だ。

画像
図1:金融庁公表資料
(出所・金融庁「金融機関のITガバナンスに関する対話のための論点・プラクティス整理」)

 ここで述べられている重要なポイントは2つである。

 1つ目は、ITガバナンスの発揮を主眼においた検査・監督の実施である。ITと経営戦略を連携させ、企業価値の創出を実現させるための仕組みである「ITガバナンス」の発揮について金融機関と対話することを主眼におく、としている。

 2つ目として、システムリスク管理態勢のモニタリングが再定義されている。システムリスク管理では一般的に流通している基準等を活用するとともに、システム統合リスク管理では金検マニュアルに代わる考え方・着眼点を定義している。

 その上で金融庁は金融機関のITガバナンスの実効性を確認する際の、「6つのチェックの視点」を挙げている(図2)。今後、金融機関との対話を通じ、これらの実装程度が個別に確認されていく予定である。

画像
図2:金融庁の定義するITガバナンスチェックの6つの視点
(出所:金融庁公表資料を基にNTTデータ経営研究所にて作成)

 なお、金融庁はITガバナンスを「経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現するための仕組み」として定義している。最近の長官や監督局長によるトップインタビューでは、経営者における認識そのものを問う場面も多いと聞くので、行内におけるこうした概念の整理や職員向けの浸透策も改めて必要となろう。


法人、個人問わず狙われるサイバー犯罪

 DX推進の側面で金融庁によるサイバーセキュリティの高度化要請とITガバナンス強化に向けた取組が奏功し、金融機関における「敵」からの防御態勢は整いつつあるように見える。

 他方、従来は「敵」の攻撃対象とはならなかったようなシーンにもその被害が及びつつある。それは、テレワーク環境である。以前に比べれば緩和傾向にあるものの、金融機関では依然としてテレワークの実践に制限が加わっている。

 ただし、間接部門を中心に徐々に実施に踏み切る金融機関が増えてきた。そこで敵は自宅のルーターなどの脆弱性をついた攻撃を仕掛けている。住宅街を乗用車で徘徊し、周囲から漏れているWi-Fiを察知。脆弱性が低いものに狙いを定めて侵入を試みる、といった手法も確認されている。

 この場合、金融機関職員がターゲットとなるのはあくまで偶然でしかない。しかし、公益性の高い業務や重要性の高い業務に就いていることが敵に知られた場合、あるいは、何らかの手段で職員の自宅(住所)が特定された場合、ターゲットとして認識される可能性があることは否定できない。

 政府職員の一部には暗号化されたモバイル端末などが配布されるなど、通信の保秘に向けた強固な取り組みは見られるものの、これは例外だ。

 多くの一般企業では、ほぼ「社員個人のリテラシー」にこうした取組みが委ねられているのが実態だろう。すでに大手金融機関の一角では積極的にテレワークを活用する、といった動きがみられるが、多くの金融機関が当たり前にテレワークに踏み切る上では、まだまだハードルが高いのだ。

【次ページ】もはや金融機関のセキュリティ高度化のみでは追いつけないサイバー犯罪への対処

お勧め記事

トピックス

IT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!