「基本的な対応事項」「対応が望ましい事項」の違い

　これまで監督指針では業態ごとの特性に応じて「大手行向け」「中小金融機関向け」といったように業態別の括り（くくり）で公表されてきた経緯がある。

　今回はサイバーセキュリティ対策として、マネー・ロンダリングおよびテロ資金供与対策（AML/CFT）のガイドラインと同様、公表文書としては業態共通のものに一本化されているのが特徴である。

　その上で特徴的なのは「基本的な対応事項」と「対応が望ましい事項」を明確に区別して定義している点だ。


　サイバーセキュリティやAML/CFTといったセキュリティに関する規制は、規模の大小や業態を問わず一律定義に近い様態で原則を示してきたのが通例だ。したがって、この点において本ガイドラインにおける対応の二分化ともとらえられる書き振りは、特異なものに見えてならない。

　この背景としては、当初案が各業界団体に示され、業界からの意見を事前徴求したところ「対応の難易度が高い」といった声が寄せられたことによるとされる。ただし、AML/CFTのガイドラインについても同様の声は上がっていた。

　また、2023年6月公表の「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」（第二版）」に際しても、金融庁は「検査や監督において、本文書の個々の論点を形式的に適用したり、チェックリストとして用いたりすることはしない」と記載しており、「金融機関の規模・特性を十分に踏まえた議論を行う」と付言していた。

　こうした表記も、各業界団体からの意見が反映された結果であると理解されている。

　しかしながら、ガイドラインの整備そのものの目的を考察すると話は変わる。これまでも金融庁本庁を中心に、さまざまな検査・監督や水平レビューが実施されてきた。

　筆者は、ガイドラインのそもそもの目的とは「本庁が財務局検査官の拠り所となるチェックリストを用意し、全国単位で横並びの検査・監督を効率的かつ基準にしたがって実施すること」と想像している。

　また、「対応が望ましい項目」についても、一定規模の金融機関には実効性の観点からも欠かせない論点が取り上げられている。

　このことを踏まえれば、サイバーセキュリティガイドラインについて地銀上位行はもとより、上位信用金庫も能動的に取り組むべき項目として認識すべきものと考えている。 【次ページ】金融庁が義務付けた「セキュリティ取り組み状況の外部公表」