DCEが開始された背景は、2012年に英国のRoyal Bank of Scotland（以下、RBSと称す）が所有するITシステムに大規模な障害が発生したことによります。支払処理に係るソフトウエアの更新処理が不適切であったことから、RBS及び同行のシステムを利用していたNatWest銀行並びにUlster銀行の窓口における残高照会、及び各銀行のATMにおける預金引き出し処理に支障が発生し、復旧までに数週間を要しました。この障害により当該銀行の利用企業や、約650万人の預金者の生活に大規模な支障が発生しました。

事態を重く見た英国金融当局は、RBS及びNatWest銀行並びにUlster銀行に約67億円の制裁金を課すとともに、主要金融機関の経営層に対してITに係るリスク管理状況と復旧計画の内容を確認することとしました。これがDCEが開始された背景です。

経営層が狙い撃ちされた理由は公にはされていないものの、本事態を踏まえた英国金融当局担当者のコメントとして、

• 銀行の各種業務は、それを支える情報システムの信頼性や回復力に左右され、システム障害によるサービスの停止は数百万人の顧客のビジネスや生活に影響する
• 金融機関がITに係る戦略及び方針を検討する際には、それらが顧客の要求に確実に応えうることを確認するよう期待する

旨が示されています。ITに係る戦略や方針は経営層の関与が求められることから、経営層が狙い撃ちされたものと推察されます。

国内では、2015年1月にサイバーセキュリティ基本法が施行され、同年7月に、「金融分野におけるサイバーセキュリティ強化に向けた取り組み方針」が公表されました。この方針においては、「経営陣によるサイバーセキュリティ管理の重要性の認識」を金融機関向けのアンケートにて確認することや、「サイバーセキュリティ強化には、対策の実装等を行う技術担当者だけでなく、経営層及びこれを支える管理部門の職員も、セキュリティに関する意識と一定の知見を有することが望まれる」等が明示されています。

これを受け、金融機関の中には、役員が出席する主要会議において自社のサイバーセキュリティ対応状況を統合的かつ具体的に確認・審議したり、ITに係る一定以上の専門知識や経験・判断力を有している上級社員等を取締役に任命したりする等の動きが見られるようになってきました。

また、最近発行・改訂された以下のようなガイドラインでは、明確に経営層がサイバーセキュリティをはじめとするITリスク管理やリスク対応に関与することを求めています。

「金融検査マニュアル」（金融庁）
2015年4月に改正された金融検査マニュアルでは、「経営陣によるシステムリスク管理態勢の整備・確立状況」において、次の内容が新設されています（下記抜粋）。

また、「取締役の役割・責任」について、次の内容が追加・新設されています（下記抜粋）。

従来、IT部門やリスク管理部門に任せていても比較的許容されていたことが、最近になって経営層自らが責任を持って取り組むことを強く求められるようになってきた理由は、社会において情報システムの担う役割が飛躍的に高まる一方で、サイバー攻撃が飛躍的に増加かつ狡猾化しており、その被害は企業内だけの問題ではなく社会的影響を及ぼす経営課題に直結しているからです。

例えば、仮に、通信・運輸・金融・物流・電気等の重要インフラにおいて甚大なサイバー被害が発生し、各種サービスの提供に重大な影響が生じた場合、企業間の事業に対する支障だけでなく、一般市民の生活に対しても甚大な支障が生じます。また、サイバー攻撃は地震や津波等の自然脅威と異なり、目に見えない脅威であり、かつ、被害が発生してもそれが発覚するまで数日~数カ月を要す場合もあることから、「気づいた時にはもう遅い」事態になりかねません。

このようなサイバー攻撃が及ぼす社会的な影響、及び特殊性等に鑑み、企業や組織の経営層の役割や責任が一層重要視されるようになってきたわけです。

以上を踏まえ、経営層が明日からなすべきことを次に例示します。ここに示す内容は、現状を確認するためのものです。確認結果に基づき、適切な対応・指示を行うことを推奨します。

• 自社のサイバーセキュリティに係る経営層、取締役会の役割と責任の確認
• サイバーセキュリティ方針、及びサイバーセキュリティの現状とあるべき姿の確認
• サイバーセキュリティの課題、あるべき姿に向けた計画及び実施状況の確認
• 自社のサイバーセキュリティ体制（リスクマネジメント体制、監視体制、被害が発生した場合の広報体制、CSIRT体制、情報共有・収集体制）の役割と責任の確認
• 前項に示す各体制の演習・訓練の計画、及び実施状況の確認