ページの本文へ

FISCとは

FISCは金融情報システムセンター(The Center for Financial Industry Information Systems)の略で、昭和59年11月に、当時の大蔵大臣の許可を得て、財団法人として設立されました。出捐者は、金融機関、保険会社、証券会社、コンピュータメーカー、情報処理会社等、多岐にわたります。

平成23年4月に、内閣総理大臣の認定を受け、公益財団法人に移行しました。金融情報システムに関連する諸問題の国内外における現状や課題、将来への発展性とそのための方策等について調査研究を行っています。

詳細は、FISCのご紹介を参照ください。

安全対策基準とは

安全対策基準はFISCより発刊される、「金融機関等コンピュータシステムの安全対策基準・解説書」のことで、金融機関等において必要な安全対策のガイドラインとなっています。2018年3月に最新版である第9版が発刊されました。新しい考え方が導入され、内容が大きく変更されました。

第9版では、適用範囲が拡大され、金融機関等が業法等に基づき顧客に商品・サービスを提供するために利用する金融情報システムのすべてが安全対策基準の適用対象となりました。また、金融情報システムの分類として、高い安全対策が必要な「特定システム」とそのほかの「通常システム」の2つが定義され、金融機関等自身が金融情報システムの安全対策の目標についてそのリスク特性をふまえ、自ら決定することになりました。

システムの分類

FISCでは、他金融機関に影響を与える決済等のシステムや、機微情報を扱うシステムを「特定システム」と呼んでいます。特定システムは外部性や機微性を持つシステムですので、相応の安全対策が求められています。

システムの分類表
FISC上の
システム分類
金融業法対象業務 外部性
他の金融機関に影響を与えるシステム
機微性
機微情報を扱うシステム
特定システム
通常システム
その他システム

リスクベースアプローチ

例えばサイバー攻撃に対して、金融情報システム全体を完全に防御し、リスクをゼロにするにはコスト的にも時間的にも非常に困難となります。そうした背景から、リスクに応じて適正な投資を行う考え方が必要となりました。これをリスクベースアプローチと呼びます。リスクベースアプローチを用いた検討は、次の様に段階的に進められます。

リスク特性の評価
はじめにリスク特性の評価を行います。安全対策基準の対象となるシステムの取り扱う情報の機密性、システム障害時の外部への影響度、システムに求められる可用性等のリスク特性を洗い出し、特定システムもしくは通常システムの分類を行います。そしてリスク特性に応じた安全対策を決定します。
リスク特性に応じた安全対策の決定
システムの分類に応じて、安全対策基準にて必須とされている対策を選定します。さらに、必須ではない対策の中でリスク特性から実施すべき対策を選定します。
選定した安全対策の実施要否の決定
次に、選定した安全対策を実施する場合と、リスクが顕在化した場合の対応費用を比較し、選定した安全対策の実施要否を決定します。リスクを許容する場合、あわせてコンティンジェンシープランの策定を行います。

なお、FISC安全対策基準では、システムの重要度に応じて必須とする基準を設けた上で、金融機関の裁量にまかせる部分はリスクベースアプローチを導入していますが、全ての基準がリスクベースアプローチ判断になる訳ではありません。

おわりに

FISC安全対策基準は長年の金融機関のノウハウの蓄積です。実績のあるFISC安全対策基準というフレームワークを利用して、効率よく網羅的な対策を検討し、今回のリスクベースアプローチをについても、システムの安全性を確保しながら投資の適正化を図ることが非常に重要となると考えます。