Home > ニュース > システムニュース > FISC、外部委託に関する有識者検討会の報告書を公開

FISC、外部委託に関する有識者検討会の報告書を公開

金融情報システムセンター(FISC)は7月1日、昨年10月から開催していた「金融機関における外部委託に関する有識者検討会」の報告書を公表した。

今回の有識者検討会では、外部委託に関する提言の前に、まず、米英などの海外先進諸国において、安全対策の共通認識となっている「リスクベースアプローチ」について、日本でも安全対策の基本原則として採用することを提言している。

また、その安全対策における基本原則に則って、金融機関等の経営層が果たすべき役割と責任などの「IT ガバナンスの強化」についても提言を行っている。

今回の報告書では、この2つの提言だけで報告書の半分以上を割くという特殊な構成になっている。

肝心の外部委託に関しては、経営層が情報システムの外部委託に関する方針を決定することや、再委託先の事前審査を行うこと、再委託先への監査権を明記することなどが提言されている。

もともと、地銀の共同センター等で発生した、外部委託先によるセキュリティ事案を契機に開催された今回の有識者検討会。今回の報告書を受けて、金融機関とベンダー双方において、再委託先を含む外部委託に関する一層の管理が求められそうだ。

以下に、金融情報システムセンターのニュースリリースを引用する。

『金融機関における外部委託に関する有識者検討会』報告書の公表および『FinTech をテーマとした有識者検討会』の開催について

公益財団法人 金融情報システムセンター(FISC)
平成28年7月1日

当センターで開催しておりました『金融機関における外部委託に関する有識者検討会』の報告書を公表いたします。

『有識者検討会』とは、わが国金融機関の情報システムの安全対策推進に資することを目的に、当センター理事長の諮問機関として設置し、学識経験者及び各業界団体並びに各金融機関の代表等で構成される検討会です。検討の成果を報告書として公表するとともに、最終的には当センター発刊の『金融機関等コンピュータシステムの安全対策基準・解説書』(以下「安対基準」という)等各種ガイドラインにその内容を反映し、金融機関の皆様にご利用いただいております。

これまでに、『サイバー攻撃対応』『クラウド利用』をテーマに開催してきましたが、これらに続いて、昨年10月からは、近年、その依存度が非常に高い水準で推移している『外部委託』をテーマに取り上げました。6回にわたる検討会(座長は岩原紳作早稲田大学 大学院法務研究科 教授)での議論を経て、報告書をとりまとめ、今般、当センターホームページ(https://www.fisc.or.jp)で公表いたします。

【報告書のポイント】
・リスクベースアプローチの採用・・・安全対策の基本原則の提言
・IT ガバナンスの強化・・・金融機関の経営層が果たすべき役割と責任を提言
・外部委託に関するルールの整備・・・再委託先の事前審査、監査権の明記 等

※詳細については【別紙1】を参照

続いて本年10月からは、『FinTech』をテーマに取り上げ、有識者検討会を開催します。(座長は外部委託と同じ) これは、FinTech と総称される高度IT を活用した金融サービスの利用要請が高まっていることを受けたもので、我が国金融機関が、顧客のニーズに適応しイノベーションの成果を最大限享受しうることを目指して、その安全対策の在り方について検討を行う予定です。

※概要については【別紙2】を参照

以上

【報告書のポイント】
〇リスクベースアプローチの採用
「リスクベースアプローチ」(リスク特性を分析した結果を、対策の優先順位等の合理的な意思決定に活用する考え方)が、米英をはじめとした海外先進諸国において、監督当局及び金融機関等における共通認識となっていることから、「リスクベースアプローチ」を金融情報システムに対する安全対策の考え方として採用し、「安全対策における基本原則」を提言した。また、その基本原則に従った安対基準の適用方法を提言した。

〇IT ガバナンスの強化
「安全対策における基本原則」に則って、金融機関等の経営層が果たすべき役割と責任等を提言した。
・安全対策における経営責任の在り方
・IT に関する重要事項に係る経営層の意思決定の在り方

〇外部委託に関するルールの整備
上記の「リスクベースアプローチ」「IT ガバナンス」を踏まえて、以下の外部委託に関するルール整備を提言した。

・外部委託におけるIT ガバナンス
-経営層が情報システムの外部委託に関する方針を決定すること
-重要な個別情報システムの外部委託については、経営層が決定すること 等
・再委託で新たに追加すべきリスク管理策
-重要な情報システムの運用の外部委託において、再委託先の事前審査を行うこと
-重要な情報システムの運用の外部委託において、委託先との委託契約の締結にあたっては、再委託先への監査権を明記すること 等
・共同センター固有のIT ガバナンス
-利用金融機関の経営層は、「有事対応における時間性の問題」(注)の深刻化を認識するとともに、その問題を解決するために、速やかに検討をすすめること

(注)「有事対応における時間性の問題」とは、サイバー攻撃の活発化・社会的な情報拡散のスピードの高速化・決済の24 時間365 日化を背景に、日中深夜を問わず、信用不安が瞬く間に深刻化しうる環境にあることをいう。

(以下、省略)

 

(参照)金融情報システムセンターのニュースリリース

https://www.fisc.or.jp/isolate/?id=874&c=topics&sid=311