米国当局動向情報Vol.3 サイバーセキュリティ規則-最初の2年間と次のステップについての抄訳

1.はじめに

アビームコンサルティングから今月の当局関連情報の抄訳をお届けします。
今月は2018年12月にニューヨーク州金融サービス局(the New York Department of Financial(以降「DFS」とする)が発表した“サイバーセキュリティ規則(23 NYCRR 500)-最初の2年間と次のステップについて“の抄訳となります。抄訳は3種類となり本覚書、サイバーセキュリティ規則(Attachment1_SR18-11(23 NYCRR 500))の全文とサイバーセキュリティの免除条項(Attachment2_SR18-11a(Cybersecurity Regulation Exemptions))についてとなります。

2.考察

2017年3月にDFSより発効されたサイバーセキュリティ要件(以降「DFS 500」とする)は、下表のとおり、段階的に適用項目を増やし、2019年3月1日の外部委託先に対するセキュリティ方針の適用を経て、移行期間を完了します。
DFS 500とは、NY州で金融サービスを営むほぼすべての金融機関(銀行、証券、保険会社などライセンス取得、事業者登録、法人設立認可等を得ている企業)を対象としたサイバーセキュリティに関する規制要件です。

サイバーセキュリティ要件適用スケジュール

ご高承のとおり、一部の例外を除いた金融機関はこの2年もの間かなりの体力を本規制に削がれてきました。そしてその理由は、必ずしも規制の内容そのもののハードルが高すぎるからではなく、対象範囲があまりにも広範で且つ定義が不明瞭な点に起因しているといえます。なぜならDFS 500本文の抄訳(“Attachment1_ drsrf.500”参照)をご覧いただければお分かりの通り、要件内容そのものは監査証跡、アクセス権限、多要素認証、暗号化など、目新しいものではなく、日本でも取り組んでいるテーマばかりです。しかしDFS 500が規制対象とする範囲はあまりに膨大です。例えば、DFS 500では、システムと非公開情報を保護することを定めているのですが、DFS 500.01項の対象システムの定義をそのまま読み取ると、企業に存在するすべてのシステムが規制の対象となります。また、保護すべき非公開情報とは、公開情報ではない電子情報を指しますが、要はすべての業務関連情報と受け取った情報、個人情報などが規制対象となります。つまり、“個人情報にアクセスするシステム”や“内部統制上コントロールが求められるシステム”のようにスコープが限られた規制ではなく、全てのシステムのアクセス権限とすべてのデータの暗号化といった“広範さと曖昧さ”がDFS 500のハードルを押し上げています。

更にその範囲の広さは、システムやデータのみではありません。500.11の“外部委託先に対するセキュリティ方針”においては、あらゆる外部委託先を対象としたセキュリティ管理や定期的な評価の実施が求められます。この委託先には、システム関連の委託先、ビジネスアウトソース先のみならず、システムやデータに触れる可能性があれば、企業に出入りする清掃業者まで含めた委託先を指します。

一方、NY州のみではなく、世界に目を向けると、G7財務大臣・中央銀行総裁会議では、2015年に「G7サイバーエキスパートグループ」が設置され、以降サイバーセキュリティに関する国際的な討議がなされてきていますが、2018年の個別重要テーマは、「脅威ベースのペネトレーションテストに関するG7の基礎的要素」と「金融セクターにおけるサードパーティのサイバーセキュリティリスクマネ ジメントに関するG7の基礎的要素」でした。こういった動向から、(500.05) 侵入テストと脆弱性評価、(500.11) 外部委託先に対するセキュリティ方針は、特に注目されるテーマになると思われます。

その他にも2017年3月のDFS 500発効時から2年の間に、人口知能(AI)やクラウドの活用は、金融機関においても加速的に進み業務の効率化やコスト削減効果を生み出してきました。また、フィンテック企業などの非金融機関を外部委託先とするビジネスの可能性も広がっています。それと同時にクラウドからのデータ漏洩や人工知能(AI)を悪用したサイバー攻撃、外部委託先管理などのリスクも高まってきています。今後はこれらデジタライゼーションへの移行によって生じるサイバーセキュリティの脅威についても検討する必要がでてくると思います。

3.サイバーセキュリティ規則-最初の2年間と次のステップについての抄訳

ニューヨーク州金融サービス局

覚書

TO: DFS規制対象金融機関の各CEO
FROM: Maria T. Vulloニューヨーク州金融サービス局局長
DATE: 2018年12月21日
RE: DFSサイバーセキュリティ規則-最初の2年間と次のステップについて

2017年3月1日に発効し、2年間の移行導入期間を設けたニューヨーク州金融サービス局 (DFS) のサイバーセキュリティ規則である、23 NYCRR 500に関する最新情報を本覚書にて提供します。本覚書を貴社のサイバーセキュリティ・コンプライアンス担当者と共有してください。

一部例外はあるものの、当該規則は、全てのDFS規制対象企業にサイバーセキュリティ方針、有効なアクセス権限付与、サイバーセキュリティ・リスク評価、全ての正規ユーザー向け研修やモニタリング、そしてその他の要件を含むサイバーセキュリティ・プログラムの中核的な要件の導入を求めます。また、上級管理職が確実に注意を払う、ガバナンスプロセスの確立も求めます。当該規則の最終発効日は、2019年3月1日であり、その日までにDFS規制対象企業は、第500.11項に基づいて、非公開情報や外部委託先がアクセスする又は保有する情報システムの安全性を確実にする、リスク評価に基づいた、方針書や手順書を作成する必要があります。

続きの抄訳をご希望の際は以下「米国当局動向情報抄訳 メール配信サービス」よりお申込み下さい(有料)

執筆者

米国当局動向情報

page top