そもそもオプション対応の取り扱いはどう認識すべきか？

　金融庁が6月に公開、パブリックコメントを求めていた「金融分野におけるサイバーセキュリティに関するガイドライン（案）」の正式版が、この10月にリリースされた。

　そもそもガイドラインと言えばマネー・ロンダリングおよびテロ資金供与対策（AML/CFT）が挙げられる。すなわち、すでにマネロン対応はガイドラインに沿って当局による検査監督が実施されているわけだ。

　本年4月以降は2回目となる検査が財務局により実施されており、2028年にオンサイト審査が予定されているFATF第5次対日相互審査に向けた高度化対応が進んでいるのは周知の事実である。

　他方、サイバーセキュリティについては、監督指針等を通じて主要要請事項は下達されてきたものの、仔細な要件について金融庁はこれまで定義、公表してこなかった。

　このため、金融庁、財務局で「拠り所となる検査マニュアルが存在しない」状況にあったといえる。そこで、検査官が横並びで評価可能な当局としての事務マニュアルを用意することとした、というのが背景にあるものと考えられる。

　今回発表された金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」は、どの金融機関でも対応が必須となる「基本的な対応」と、規模の大きい金融機関のみが対応することとされる「望ましい対応」に記述が分かれている。

　「基本的な対応」事項は、業態や規模を問わず、すべての金融機関に対応が義務付けられた項目だ。他方、「望ましい対応」事項とされたものは、「インシデント発生時に、地域社会・経済等に大きな影響を及ぼし得る」金融機関は対応が求められる事項とされた。

　一部では「当方は基本な対応事項のみを対応すれば良いと解釈している」とする金融機関もみられる。ただし、これは自ら「当金融機関はサイバー攻撃などによる混乱が生じた場合であっても、地域社会や経済に影響を与えない」と公言することとなる。


　一般的な理解として、地域経済の血流となる資金供給を担う預金取扱金融機関の場合、一部を除けば必ずや「地域社会・経済等に大きな影響を与える」ものと認識される。

　すなわち、少なくとも信金大手、地銀は「望ましい対応」事項も含め対応せざるを得ないものと受け止めるべきであろう。

【次ページ】新たな項目「SBOM対応」の要諦は？