【問題17】
貸金業者向けの総合的な監督指針において、システムリスク管理態勢について、監督当局が留意して検証することとされている事項等に関する次の①〜④の記述のうち、その内容が適切でないものを1つだけ選び、解答欄にその番号をマークしなさい。
① 「サイバーセキュリティ事案」とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS 攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。
② サイバーセキュリティ管理として、サイバー攻撃に備え、例えばファイアウォールの設置や抗ウィルスソフトの導入等の「入口対策」、例えば特権ID・パスワードの適切な管理や不要なID の削除等の「内部対策」、例えば通信ログ・イベントログ等の取得と分析や不適切な通信の検知・遮断等の「出口対策」といった多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じているか。
③ 障害発生時の対応として、システム障害等が発生した場合に、資金需要者等に無用の混乱を生じさせないための適切な措置を講じているか。また、システム障害等の発生に備え、最悪のシナリオを想定した上で、必要な対応を行う態勢となっているか。
④ 貸金業務に影響を及ぼすシステム障害が発生した場合、監督当局は、直ちに、貸金業法第24条の6の4に基づく業務停止命令を発出するものとし、更に、資金需要者等の利益の保護の観点から重大な問題があると認められるときには、同法第24条の6の3に基づく業務改善命令を発出するとともに、同法第24 条の6の10 に基づき追加の報告を求めるものとする。
【正解】 ④
①(○)「サイバーセキュリティ事案」とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。
②(○)サイバー攻撃に備え、入口対策、内部対策、出口対策といった多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じているか。
•入口対策(例えば、ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入 等)
•内部対策(例えば、特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視 等)
•出口対策(例えば、通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断 等)
③(〇)10.障害発生時等の対応
イ.システム障害等が発生した場合に、資金需要者等に無用の混乱を生じさせないための適切な措置を講じているか。また、システム障害等の発生に備え、最悪のシナリオを想定した上で、必要な対応を行う態勢となっているか。
ロ.システム障害等の発生に備え、外部委託先を含めた報告態勢、指揮・命令系統が明確になっているか。
ハ.貸金業務に重大な影響を及ぼすシステム障害等が発生した場合に、速やかに経営陣に報告するとともに、報告に当たっては、最悪のシナリオの下で生じうる最大リスク等を報告する態勢(例えば、資金需要者等に重大な影響を及ぼす可能性がある場合、報告者の判断で過小報告することなく、最大の可能性を速やかに報告すること)となっているか。また、必要に応じて、対策本部を立ち上げ、経営陣自らが適切な指示・命令を行い、速やかに問題の解決を図る態勢となっているか。
ニ.システム障害等の発生に備え、ノウハウ・経験を有する人材をシステム部門内、部門外及び外部委託先等から速やかに招集するために事前登録するなど、応援体制が明確になっているか。
ホ.システム障害等が発生した場合、障害の内容・発生原因、復旧見込等について公表するとともに、資金需要者等からの問い合わせに的確に対応するため、必要に応じ、コールセンターや相談窓口を設置するなどの措置を迅速に行っているか。また、システム障害等の発生に備え、関係業務部門への情報提供方法、内容が明確になっているか。
ヘ.システム障害等の発生原因の究明、復旧までの影響調査、改善措置、再発防止策等を的確に講じているか。また、システム障害等の原因等の定期的な傾向分析を行い、それに応じた対応策をとっているか。
ト.システム障害等が発生した場合に、書面交付義務違反や指定信用情報機関への個人信用情報提供義務違反等の法令違反が発生していないかを検証する態勢となっているか。また、法令違反が認められるときには、真正な書面の再交付や指定信用情報機関に提供した個人信用情報の訂正など、速やかに問題が解消される態勢となっているか。
チ.システム障害等の影響を極小化するためのシステム的な仕組みを整備しているか。
④(×)コンピュータシステムの障害やサイバーセキュリティ事案の発生を認識次第、直ちに、その事実についての当局あて報告を求めるとともに、「障害発生等報告書」にて当局あて報告を求めるものとする。直ちに業務停止命令が発出されるわけではない。