【問題 4】
貸金業者向けの総合的な監督指針(以下、本問において「監督指針」という。)におけるシステムリスク管理態勢に関する次のa〜dの記述のうち、その内容が監督指針の記載に合致するものの組み合わせを①〜④の中から1つだけ選び、解答欄にその番号をマークしなさい。
a 「サイバーセキュリティ事案」とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動等のサイバー攻撃のほか、データセンター建屋への不正侵入といったサイバー空間を経由せずに行われる行為等のセキュリティが脅かされる事案をいう。
b サイバーセキュリティについて、組織体制の整備、社内規程の策定のほか、サイバー攻撃に対する監視体制、サイバー攻撃を受けた際の報告及び広報体制、組織内CSIRT(Computer Security Incident Response Team)等の緊急時対応及び早期警戒のための体制、情報共有機関等を通じた情報収集・共有体制等のようなサイバーセキュリティ管理態勢の整備を図っているか。
c コンティンジェンシープランは、他の貸金業者におけるシステム障害等の事例を考慮することなく自社の貸金業務の実態やシステム環境等に即して作成及び見直しを実施し、その実効性が維持される態勢となっているか。
d 外部委託契約において、外部委託先との役割分担・責任、監査権限、再委託手続、提供されるサービス水準等を定めているか。また、外部委託先の役職員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記しているか。
① ab
② ac
③ bd
④ cd
【正解】 ③
a(×)「サイバーセキュリティ事案」とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDos攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう(監督指針Ⅱ-2-4注意書き)。
b(〇)サイバーセキュリティについて、組織体制の整備、社内規程の策定のほか、以下のようなサイバーセキュリティ管理態勢の整備を図っているか(監督指針Ⅱ-2-4⑤ロ)。
・サイバー攻撃に対する監視体制
・サイバー攻撃を受けた際の報告及び広報体制
・組織内CSIRT(Computer Security Incident Response Team)等の緊急時対応及び早期警戒のための体制
・情報共有機関等を通じた情報収集・共有体制等
c(×)コンティンジェンシープランは、他の貸金業者におけるシステム障害等の事例や中央防災会議等の検討結果を踏まえるなど、想定シナリオの見直しを適宜行っているか(監督指針Ⅱ-2-4⑨ホ)。
d(〇)外部委託契約において、外部委託先との役割分担・責任、監査権限、再委託手続、提供されるサービス水準等を定めているか。また、外部委託先の役職員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記しているか(監督指針Ⅱ-2-4⑧ロ)。