ご高承のとおり、一部の例外を除いた金融機関はこの2年もの間かなりの体力を本規制に削がれてきました。そしてその理由は、必ずしも規制の内容そのもののハードルが高すぎるからではなく、対象範囲があまりにも広範で且つ定義が不明瞭な点に起因しているといえます。なぜならDFS 500本文の抄訳(“Attachment1_ drsrf.500”参照)をご覧いただければお分かりの通り、要件内容そのものは監査証跡、アクセス権限、多要素認証、暗号化など、目新しいものではなく、日本でも取り組んでいるテーマばかりです。しかしDFS 500が規制対象とする範囲はあまりに膨大です。例えば、DFS 500では、システムと非公開情報を保護することを定めているのですが、DFS 500.01項の対象システムの定義をそのまま読み取ると、企業に存在するすべてのシステムが規制の対象となります。また、保護すべき非公開情報とは、公開情報ではない電子情報を指しますが、要はすべての業務関連情報と受け取った情報、個人情報などが規制対象となります。つまり、“個人情報にアクセスするシステム”や“内部統制上コントロールが求められるシステム”のようにスコープが限られた規制ではなく、全てのシステムのアクセス権限とすべてのデータの暗号化といった“広範さと曖昧さ”がDFS 500のハードルを押し上げています。
更にその範囲の広さは、システムやデータのみではありません。500.11の“外部委託先に対するセキュリティ方針”においては、あらゆる外部委託先を対象としたセキュリティ管理や定期的な評価の実施が求められます。この委託先には、システム関連の委託先、ビジネスアウトソース先のみならず、システムやデータに触れる可能性があれば、企業に出入りする清掃業者まで含めた委託先を指します。
一方、NY州のみではなく、世界に目を向けると、G7財務大臣・中央銀行総裁会議では、2015年に「G7サイバーエキスパートグループ」が設置され、以降サイバーセキュリティに関する国際的な討議がなされてきていますが、2018年の個別重要テーマは、「脅威ベースのペネトレーションテストに関するG7の基礎的要素」と「金融セクターにおけるサードパーティのサイバーセキュリティリスクマネ ジメントに関するG7の基礎的要素」でした。こういった動向から、(500.05) 侵入テストと脆弱性評価、(500.11) 外部委託先に対するセキュリティ方針は、特に注目されるテーマになると思われます。
その他にも2017年3月のDFS 500発効時から2年の間に、人口知能(AI)やクラウドの活用は、金融機関においても加速的に進み業務の効率化やコスト削減効果を生み出してきました。また、フィンテック企業などの非金融機関を外部委託先とするビジネスの可能性も広がっています。それと同時にクラウドからのデータ漏洩や人工知能(AI)を悪用したサイバー攻撃、外部委託先管理などのリスクも高まってきています。今後はこれらデジタライゼーションへの移行によって生じるサイバーセキュリティの脅威についても検討する必要がでてくると思います。