10月4日から適用開始、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表 金融庁

掲載:2024年10月11日

サイバー速報

         
目次

金融庁は10月4日、新たに策定した「金融分野におけるサイバーセキュリティに関するガイドライン」を公表するとともに同日から適用を開始しました。大手金融機関から小規模金融機関まで、また暗号資産交換業者や電子決済等取扱業者などのフィンテック事業者も対象にサイバーセキュリティの確保を求めています。

ガイドラインの公表および適用にあたり、先んじて金融庁はガイドライン案を公表するとともに、意見公募を実施しました。ガイドライン案に対して240件を超える意見が寄せられ、それら意見を踏まえて今般、ガイドラインは公表されました。なお、経過措置はなく、公表と同時に適用されました。

金融機関などを対象としたサイバーセキュリティ管理については従来、「主要行等向けの総合的な監督指針」に代表される監督指針等のなかで示されてきました。しかし、サイバー攻撃は深刻な脅威となってきているため、監督指針等から切り出し、より詳細な内容を定めたガイドラインが策定されました(ガイドラインを踏まえた対応を求めるとした改正監督指針等も4日から適用されました)。

ガイドラインは、経営陣の主体的な関与の重要性が強調されています。サイバーセキュリティは担当部署などだけでは確保できないため、経営陣の主体的な関与のもと組織全体で態勢構築と運営を行う必要があるとしています。

サイバーセキュリティ管理態勢は「基本的な対応事項」と「対応が望ましい事項」とに分けて示されました。例えば「2.3.サイバー攻撃の防御」にある「2.3.4.3.セキュリティ・バイ・デザイン」の項目では、基本的な対応事項として「セキュリティ・バイ・デザイン」を実践することや、重要なサードパーティも含めてリスクを検証し対策を講ずることなどが示されました。また、デジタル庁が今年1月に改定した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」(初版は2022年6月)を参考として紹介しました。一方、「対応が望ましい事項」としては、セキュアコーディングに係る基準を策定し実施することなどが記されています。