FISCは金融情報システムセンター(The Center for Financial Industry Information Systems)の略で、昭和59年11月に、当時の大蔵大臣の許可を得て、財団法人として設立されました。出捐者は、金融機関、保険会社、証券会社、コンピュータメーカー、情報処理会社等、多岐にわたります。
平成23年4月に、内閣総理大臣の認定を受け、公益財団法人に移行しました。金融情報システムに関連する諸問題の国内外における現状や課題、将来への発展性とそのための方策等について調査研究を行っています。
詳細は、FISCのご紹介を参照ください。
安全対策基準はFISCより発刊される、「金融機関等コンピュータシステムの安全対策基準・解説書」のことで、金融機関等において必要な安全対策のガイドラインとなっています。2018年3月に最新版である第9版が発刊されました。新しい考え方が導入され、内容が大きく変更されました。
第9版では、適用範囲が拡大され、金融機関等が業法等に基づき顧客に商品・サービスを提供するために利用する金融情報システムのすべてが安全対策基準の適用対象となりました。また、金融情報システムの分類として、高い安全対策が必要な「特定システム」とそのほかの「通常システム」の2つが定義され、金融機関等自身が金融情報システムの安全対策の目標についてそのリスク特性をふまえ、自ら決定することになりました。
FISCでは、他金融機関に影響を与える決済等のシステムや、機微情報を扱うシステムを「特定システム」と呼んでいます。特定システムは外部性や機微性を持つシステムですので、相応の安全対策が求められています。
| FISC上の システム分類 |
金融業法対象業務 | 外部性 他の金融機関に影響を与えるシステム |
機微性 機微情報を扱うシステム |
|---|---|---|---|
| 特定システム | ○ | ○ | ○ |
| ○ | − | ||
| − | ○ | ||
| 通常システム | ○ | − | − |
| その他システム | − | − | − |
例えばサイバー攻撃に対して、金融情報システム全体を完全に防御し、リスクをゼロにするにはコスト的にも時間的にも非常に困難となります。そうした背景から、リスクに応じて適正な投資を行う考え方が必要となりました。これをリスクベースアプローチと呼びます。リスクベースアプローチを用いた検討は、次の様に段階的に進められます。
なお、FISC安全対策基準では、システムの重要度に応じて必須とする基準を設けた上で、金融機関の裁量にまかせる部分はリスクベースアプローチを導入していますが、全ての基準がリスクベースアプローチ判断になる訳ではありません。
FISC安全対策基準は長年の金融機関のノウハウの蓄積です。実績のあるFISC安全対策基準というフレームワークを利用して、効率よく網羅的な対策を検討し、今回のリスクベースアプローチをについても、システムの安全性を確保しながら投資の適正化を図ることが非常に重要となると考えます。
