そもそもシステムリスクアセスメントが実施されていない

　FISCでは「金融機関のためのコンティンジェンシープラン策定のための手引書」を公表しており、金融機関は当該手引書を用いたリスクアセスメント作業を要請されている。

　FISCでは金融機関を取り巻くリスクを原因系に着目し、「内部起因のリスク」「外部起因のリスク」と峻別して定義。それぞれの発生確率やリスク発現時に金融機関が受ける影響の大きさを評価するよう促している。

　発生確率が高く、影響が甚大なリスクについては優先的に対応方針を整えることになるのだが、中には「10年前に実施したアセスメント結果をそのまま採用している」といった金融機関もみられるのが実態だ。

　すなわち、リスクアセスメントが陳腐化した結果、リスクへの対応がおざなりになってしまっている。

　金融機関が利用するITシステムは多岐にわたり、多くはIT部門が直轄で管理下に置いている。これらはIT資産台帳にも掲載され、管理対象として厳格視されている。

　ところが昨今、業務部門や営業部門が外部のフィンテックベンチャーなどとダイレクトに契約を締結し、当該企業が提供するソリューションを利用する、といった形態が一般化している。これらのソリューションは顧客と金融機関との間に位置付けられ、顧客情報が流通するにも拘わらず、IT部門が関与しないケースもあるようだ。

　結果として従前のITシステムのように「厳格な管理対象」として見なされず、セキュリティチェックも外形的なものにとどまっている可能性が否めない。

接続先事業者や業務委託先のセキュリティレベルは確認しているか

　金融機関が提携するフィンテック企業は、創業からの日も浅く、内部体制も必ずしも充実しているとはいえない企業も少なくない。ところが、フィンテックブームの熱狂の中で、与信管理どころか「信用情報」の捕捉にも問題が生じている。

　黎明期の企業ではラウンドといった形で資本政策が短期間で進捗し、資本関係はもとより、実質支配者を捕捉することも困難になりかねない。

　金銭消費貸借契約における財務制限条項のように、「何かあったらアラームが鳴るように」といった対応や、期末時点でのデルタ（変化内容）の報告受領、といった情報収集の頻度では心もとない。

　「真の経営者は誰なのか？」といった点も含め、提携先ベンチャー企業の継続チェックは金融機関として欠かせないミッションとなっている。

　これらはサイバーセキュリティどころか信用リスク管理の問題なのだが、意外と見過ごされてしまっているのが実態だ。

　金融庁もこの点は憂慮しているようで、昨今では「サードパーティーリスク対応」といった視点でこうした動きに警鐘を鳴らしつつある。

　これまでフィンテックの活用を推進する立場一辺倒であった当局も、ようやく行き過ぎたフィーバーの是正に動き出した、といったところだろう（サードパーティーリスク対応については別の機会に論じてみたい）。

【次ページ】そのマニュアルはいつ策定したのか？