【問題 19】
貸金業者向けの総合的な監督指針におけるシステムリスク管理態勢に関する次の①~④の記述のうち、その内容が適切でないものを 1 つだけ選び、解答欄にその番号をマークしなさい。
① サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行や DDoS 攻撃等の、いわゆるサイバー攻撃により、サイバーセキュリティが脅かされる事案をいう。
② システムリスク管理態勢の検証については、貸金業者の業容に応じて、例えば、システムリスクに対する認識等として、経営陣は、システムリスクの重要性を十分に認識した上で、システムを統括管理する役員を定めているかに留意して検証することとされている。
③ システムリスク管理態勢の検証については、貸金業者の業容に応じて、例えば、情報セキュリティ管理として、貸金業者が責任を負うべき資金需要者等の重要情報を網羅的に洗い出す必要があるが、資金需要者等の重要情報の洗い出しにあたっては、通常の業務では使用しないシステム領域に格納されたデータを除くすべてのデータ保存領域について、障害解析のためにシステムから出力された障害解析用データ、現金自動設備(店舗外含む。)等に保存されている取引ログ等のようなデータを洗い出しの対象範囲としているかに留意して検証することとされている。
④ システムリスク管理態勢の検証については、貸金業者の業容に応じて、例えば、システム監査として、システム部門から独立した内部監査部門において、システムに精通した監査要員による定期的なシステム監査が行われているか(外部監査人によるシステム監査を導入する方が監査の実効性があると考えられる場合には、内部監査に代え外部監査を利用して差し支えない。)に留意して検証することとされている。
【正解】 ③
①(〇)「サイバーセキュリティ事案」とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう(監督指針Ⅱ-2-4)。
②(〇)システムリスクに対する認識等
イ.システムリスクについて経営陣をはじめ、役職員がその重要性を十分認識し、定期的なレビューを行うとともに、全社的なシステムリスク管理の基本方針が策定されているか。
ロ.経営陣は、システム障害やサイバーセキュリティ事案(以下「システム障害等」という。)の未然防止と発生時の迅速な復旧対応について、経営上の重大な課題と認識し、態勢を整備しているか。
ハ.経営陣は、システムリスクの重要性を十分に認識した上で、システムを統括管理する役員を定めているか。なお、システム統括役員は、システムに関する十分な知識・経験を有し業務を適切に遂行できる者であることが望ましい。
ニ.経営陣は、システム障害等発生の危機時において、果たすべき責任やとるべき対応について具体的に定めているか。また、自らが指揮を執る訓練を行い、その実効性を確保しているか。
③(×)システムリスク管理態勢
イ.経営陣は、システムリスクが顕在化した場合、資金需要者等や自社の貸金業務に影響を与える可能性があるほか、指定信用情報機関を通じて他の貸金業者の貸金業務にも影響を与える可能性があることを踏まえ、システムリスク管理態勢を整備しているか。
ロ.システムリスク管理の基本方針には、セキュリティポリシー(組織の情報資産を適切に保護するための基本方針)及び外部委託先に関する方針が含まれているか。
ハ.システムリスク管理態勢の整備に当たっては、その内容について客観的な水準が判定できるものを根拠としているか。また、システムリスク管理態勢については、システム障害等の把握・分析、リスク管理の実施結果や技術進展等に応じて、不断に見直しを実施しているか。
問題文の記述は④情報セキュリティ管理に関する記述である。
④(〇)システム監査
イ.システム部門から独立した内部監査部門において、システムに精通した監査要員による定期的なシステム監査が行われているか。
(注) 外部監査人によるシステム監査を導入する方が監査の実効性があると考えられる場合には、内部監査に代え外部監査を利用して差し支えない。
ロ.監査の対象はシステムリスクに関する業務全体をカバーしているか。
ハ.システム監査の結果は、適切に経営陣に報告されているか。