三井住友、みずほ、三菱UFJの各フィナンシャルグループ(FG)が6月26日までに、それぞれ「サイバーセキュリティ経営宣言」を策定したと発表した。日本経済団体連合会(経団連)が3月に公表した「経団連サイバーセキュリティ経営宣言」に賛同した形となる。
各FGの宣言発表日と対象グループ企業は、次の通り。
- 三井住友(3月19日)……三井住友銀行、SMBC信託銀行、三井住友ファイナンス&リース、SMBC日興証券、三井住友カード、セディナ、SMBCコンシューマーファイナンス、日本総合研究所、三井住友アセットマネジメント
- みずほ(6月25日)……みずほ銀行、みずほ信託銀行、みずほ証券、アセットマネジメントOne、みずほ総合研究所、みずほ情報総研、みずほプライベートウェルスマネジメント、資産管理サービス信託銀行
- 三菱UFJ(6月26日)……三菱UFJ銀行、三菱UFJ信託銀行、三菱UFJ証券ホールディングス、三菱UFJニコス、アコム
経団連の宣言は、(1)経営課題としての認識、(2)経営方針の策定と意思表明、(3)社内外体制の構築・対策の実施、(4)対策を講じた製品・システムやサービスの社会への普及、(5)安心・安全なエコシステムの構築への貢献――の5つの項目で構成されており、各FGの宣言もこれに準じた内容となっている。
(1)では、いずれもサイバー攻撃などを「トップリスクの1つ」と位置付け、経営者がリーダーシップを発揮して自らの責任で対策に取り組むとし、(2)では「防御」「検知」「対応」「復旧」を重視した被害からの早期回復も含むサイバーセキュリティ観点の事業継続計画(BCP)を策定するとし、経営者が利害関係者への説明責任を果たすと同時に、この方針に基づくCSIRTなどの体制整備を推進すると表明している。
(3)では予算や人員などのリソース確保や教育など必要な対策を講じるとし、特に取引先や業務委託先、海外などを含む「サプライチェーン」の対策を掲げる。(4)では、一例としてインターネットバンキングでのユーザー向けウイルス対策ツールや多要素認証の提供や不正取引の監視といった対応を示す。
(5)では、金融庁、内閣サイバーセキュリティセンター、情報処理推進機構、JPCERT コーディネーションセンター、警察などの機関や、業界ごとのISAC(Information Sharing and Analysis Center=アイザック)との情報共有を中心とする連携体制を構築していくとした。
経団連は、会員企業にサイバーセキュリティ経営宣言を呼び掛けており、3大メガバンクを抱える主要FGがこれに賛同を表明したことで、今後は他業界にも波及するかが注目される。
