日本銀行は10月21日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が策定した「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」について発表した。
サイバーリスクへの対応の一助としては、2016年10月に「金融セクターのサイバーセキュリティに関する G7 の基礎的要素」が、2017年10月には「金融セクターのサイバーセキュリティの効果的な評価に関する G7 の基礎的要素」が公表されていたが、金融セクターにおけるサードパーティのサイバーリスクマネジメントへの取組みをさらに支援するために、G7では 2018年に「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関する G7 の基礎的要素」を公表した。
G7では、2018年以降の業界の進展に対応するために基礎的要素を改訂。サードパーティとの関係の管理のみならず、ICTサプライチェーン管理にも焦点を当て、さらに脅威が絶えず変化する環境に対応するために、広範な情報共有と透明性の大切さを強調している。また、金融セクターにおけるサードパーティの役割がますます重要になっていることに注意喚起するために、新たな基礎的要素として要素7を追加している。
G7は、金融機関及びサードパーティは自身のサイバーリスクマネジメントのツールキットの一部として、本基礎的要素を活用し、金融機関とサードパーティとの関係の規模や特性、対象、複雑性及び潜在的な金融システムにとっての重要性を考慮した相応のアプローチをとるべきであるとしている。
金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素は下記の7つ。
要素1:ガバナンス
金融機関のガバナンス組織は、サードパーティのサイバーリスクマネジメントの効果的な監視及び実行に関する責任を有すること
要素2:サードパーティのサイバーリスクに対するリスクマネジメントプロセス
金融機関は、サードパーティのリスクマネジメントのライフサイクル全体を通じ、サードパーティのサイバーリスクを管理する有効なプロセスを有すること
要素3:インシデント対応
金融機関は特に重要なサードパーティを含むインシデント対応計画を策定し、演習を実施すること
要素4:コンティンジェンシープランと出口戦略
金融機関は、サードパーティがサイバー関連のパフォーマンスの期待要件を満たさない場合又は金融機関の許容範囲を超えるサイバーリスクをもたらす場合に備えて、適切なコンティンジェンシープランと出口戦略を有しておくこと
要素5:潜在的なシステミックリスクのモニタリング
金融セクター全体にわたるサードパーティとの取引がモニタリングされるとともに、潜在的にシステミックな影響を及ぼす可能性を有するサードパーティのサイバーリスクの要因が評価されていること
要素6:セクター横断的な調整
セクターを跨るサードパーティへの依存に関連したサイバーリスクは、それらのセクター間で特定のうえ、管理されていること
要素7:金融セクターのサードパーティ
金融機関と契約するサードパーティは、金融機関のリスク管理要件が、サービス・物品の提供に影響を及ぼす可能性を認識すべきである
