​Column Back number

■保険システムよもやまばなし

第3回:「システムとセキュリティ(1)」

前回は、「オリンピックとセキュリティ」をテーマにしました。
「平昌オリンピック」では、羽生、小平をはじめとする日本選手の活躍に心動かされ、獲得メダルも冬季五輪史上最多13個となりました。3月9日からは「平昌パラリンピック」の場で、今もアスリートたちの戦いが続いています。熱い戦いぶりを見守り、応援していきたいと思います。

さて、前回、オリンピックでのセキュリティ取組についてお伝えし、また、セキュリティの脅威は、このメールを読まれている皆さんお一人お一人にも係ることで、リスク認識や対応策の必要性をお伝えしました。
そこで、こういった時代において、何をどうしておくべきか、お伝えしたいと思います。

皆さんが、セキュリティ対策として、なすべきことは以下のようなことと思います。
1.環境を知る : 何が起きているか理解する
2.自分を知る : 守るべきものを理解、明確化する
3.守る    : 守り方を決める(すること、しないこと)、実行する
4.確認する  : 決めたことを確実に実行しているか確認する
5.回す・見直す: 環境を知る ⇒ 自分を知る ⇒ 守る ⇒ 確認 ⇒ 見直す

まずは、「環境を知る: 何が起きているか理解する」をお伝えします。

「標的型攻撃メールによる情報流出」や「ランサムウェアによる被害」、「ビジネスメール詐欺」等が生じていることは前回お伝えしました。こう言ったことが皆さんの身の回りで起きていることを認識・ご理解ください。
  ⇒ 情報処理推進機構 (IPA)「情報セキュリティ10大脅威2018」
        https://www.ipa.go.jp/security/vuln/10threats2018.html

セキュリティに係るテーマは、技術や社会環境の進化・変化に伴って、大きく変わってきています。少し、これまでの歴鋭的経緯等を紐解きたいと思います。実はそんなに長い歴史ではありませんが、セキュリティに係る脅威は時代と共に変化・進化し、各組織における情報セキュリティ対策も環境変化に伴って的確・適切に対応していくことが求められています。
まずは、この流れを知ることが、セキュリティ対応の第一歩!
以下、知っておきたい「世の中の流れ」、「金融庁の動き」をまとめてみました。


【世の中の流れ】
●個人情報保護法
ITの進展によって大量の個人情報が処理され始めたことを背景に、欧米各国では個人情報を保護する法律が制定された。我が国においては、2005年4月になって個人情報保護法が制定・施行され、各企業は情報セキュリティリスク管理強化に取組んだ。当初は日々「個人情報漏えい」記事が新聞に掲載されるなど大きな社会的事象となっていたが、その後、各企業の取組の成果からか情報漏えい事件は収束していった。
●情報セキュリティ事案新たな展開
しかしながら、近年になって情報セキュリティに係る事件は新たな展開を迎えた。
・地銀でのキャッシュカード偽造事件、教育事業会社における個人情報流出事件といった外部委託先社員や悪意を持った内部管理者による犯罪発生(2014年)
・クラウドサービス業者からの情報漏えい事案発生(2014年)
・日本年金機構等における標的型攻撃等のサイバーセキュリティ脅威の顕在化(2015年)
●サイバーセキュリティ基本法
2015年には、サイバーセキュリティの脅威の高まりを背景に、国のセキュリティ対策についての責務と必要な施策を推進するための法律として、「サイバーセキュリティ基本法」が施行された。
●特定個人情報
さらに、2016年1月には、マイナンバー制度開始に伴い「個人情報」よりさらに厳格なルールが求められる「特定個人情報」の扱いが始まった
●改正個人情報保護法
2017年5月には、技術的・社会的環境の変化を踏まえて、2005年に施行された個人情報保護法も改正・施行された。(「個人識別符号」の追加(規制強化)、「匿名加工情報」の新設(規制緩和)、「要配慮個人情報」の新設(規制強化)、トレーサビリティ(追跡可能性)の確保(規制強化)等 )

【金融庁の動き】
●個人情報漏洩への対応
個人情報保護法が全面施行時、金融機関においては、個人情報保護法に加え、「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」が金融庁によって金融機関等が講ずべき措置として明確化され、必要に応じて金融庁への報告が求められた。
●サイバーセキュリティへの取組
金融庁では、サイバーセキュリティ脅威の高まりの中で、各社の対応策にも関心を高く有し、2014年度頃からメガバンクや大手生損保社を対象にヒアリングを行い、2015年には水平的アンケート調査を実施し各社の取組の高度化を促してきた。平成28事務年度金融行政方針において、「V.IT技術の進展による金融業・市場の変革への戦略的対応」の具体的重点施策として、「サイバーセキュリティの強化」を掲げた。
●金融行政方針
金融行政方針では、平成28事務年度では、「Ⅷ.その他の重点施策」の中で「情報セキュリティ管理の徹底」を重点施策とした。平成29事務年度金融行政方針では、「Ⅵ.IT技術の進展等へ対応 」の中で、「(3) 金融機関のIT ガバナンス」、「(4) サイバーセキュリティ 」、「(5) 情報セキュリティとシスムの安定稼働」として取り上げている。

 K System Planning
島田洋之