ドクターQがお届けするIT統制ブログ　ITサプリ

さる2月21日、政府は現行の不正アクセス禁止法の改正案を閣議決定しました。同法案は、今国会に提出予定です。そこで今回は、同法の主な改正ポイントを分かりやすく解説したいと思います。

◎ポイント(1)改正目的
現在の不正アクセス禁止法では、残念ながらＩＤなどを不正取得する行為は違法ではありません。不正送金などの「実害」が発生しなければ、処罰対象にできません。そこで今回の改正で規制強化によって、被害発生の未然防止を最大の目的としています。

◎ポイント(2)他人のＩＤやパスワードの不正取得行為自体を罰則対象化
他人のＩＤやパスワードを取得し、保管する全ての行為を禁止します。いわゆるフィッシング用の偽サイトを立ち上げただけで、全て処罰対象となります。「不正利用する目的で」などの、前提条件の定義もありません。

◎ポイント(3)標的型メール、サイバー攻撃も処罰対象
フィッシングサイトの立ち上げだけでなく、IDなどの取得を目的とした標的型メール、ウィルスを利用したサイバー攻撃も禁止行為になります。メールが未送信の状況であっても、準備行為で処罰の対象になります。

◎ポイント(4)罰則強化
罰則が強化されます。現行法で最も重い罰則は、「懲役1年以下または罰金50万円以下」。改正案では「懲役3年以下または罰金100万円以下」となっています。
成立・施行時期は未定ですが、サイバー犯罪防止という社会的に最重要命題の一つでもあり、今国会で速やかに成立する可能性が高いと考えられます。不正アクセス禁止法改正を受けて、企業側は捜査機関への通報を含め、特に標的型メールやサイバー攻撃に対してスピーディで厳格な対応が可能になります。国会での審議に注目してください。

なお、クオリティソフトでは、機密情報・個人情報管理強化に最適なソリューションを豊富にご用意しています。
詳細は、クオリティのWebサイトにてご確認ください。

----------

Dr.QのITサプリは今回をもって終了となります。
長い間ありがとうございました。

1月に金融庁で公開されたレポート、「金融機関におけるシステムリスクの総点検の結果について」に着目している本シリーズ。今回は、前回に引き続き、レポートの結果から国内の主要金融機関がどのような点をシステムリスクとして認識し、どのような対策を整備しているのか、また未整備状態のポイントは具体的にどこにあるのかを考えたいと思います。
自社システムのウィークポイントを客観的に分析したいシステム管理者の方だけでなく、新たなビジネスチャンスを模索しているSIerの方も、きっとヒントを見つけることができるはずです。

■注目したい、レポートの内容(4)■

■不十分な取組事例

● 経営陣に対して点検結果の報告を行っていないうえ、経営陣も報告を求めていない事例。

● 形式的（表面的）な点検で、既存の規程やマニュアル等の整備状況の確認にとどまっており、ＰＤＣＡサイクルが回っていることを点検していない事例。

● 定期的なシステムリスクアセスメントの確認にとどまっており、あらためてシステムの十分性等を点検していない事例。

● システムの上限値を超えた場合に、システムがどのように作動するのかを把握していないほか、どのような事務処理を行うのかなどを定めていない事例。

● バッチ処理が安定的に稼働していることをもって、バッチ処理が大幅に遅延した場合の対応プランを検討していない事例。

■不十分な取組事例から学ぶべきポイント(1)■
システムダウンによるサービス停止は、実際に業の業績悪化や企業イメージ悪化に直結します。システムダウン＝経営リスクという認識が不可欠です。経営リスク管理の一つとして、システムダウン対策・防止を位置づけるべきでしょう。
事実、現在の会社法では「業務の適正を確保するための体制」の整備が義務付けられ、会社法の実施に即して必要な事項を定めた法務省令の会社法施行規則では、「損失の危険の管理に関する規程その他の体制」の整備が定義されています。この規定と体制の整備こそ、取締役の重要な責務なのです。

■不十分な取組事例から学ぶべきポイント(2)■
事前の対策を怠った結果としてシステムダウンなどが発生した場合、会社法に抵触する可能性もあります。定期的な点検結果を経営陣に対して確実に報告し、経営陣とシステム管理部門が共同で検証と改善を行う必要があります。収集された情報をシステム管理部門レベルでとどめ、経営陣に定期報告していない場合、結果として会社法に抵触してしまうかもしれません。

■不十分な取組事例から学ぶべきポイント(3)■
経営陣のシステムリスクに対する積極的な取り組みが必要です。また、システム管理のPDCAサイクルの中に、経営陣の意志決定を盛り込む必要があります。経営陣が核となって組むべき経営リスク管理の一環として、システムリスク管理を捉えるべきです。

■不十分な取組事例から学ぶべきポイント(4)■
システムリスクを見直さない期間が長ければ長いほど、実は見えない部分でシステムリスクが肥大化している可能性があります。万一システムダウンが生じた場合、影響があるシステムはどこにあるのか…各業務の特性と重要性を踏まえて、定期的な検証が必要でしょう。

■不十分な取組事例から学ぶべきポイント(5)■
万一システムダウンが生じた場合、復旧までの時間を短くして被害を最小限に抑えるために、特にバックアップシステムの検証と見直しも急務だと考えられます。

いかがでしょうか。システム分析のヒントや、ビジネスのヒントを、感じていただくことができましたでしょうか。
なお、クオリティソフトでは、BCP/BCM強化に最適なソリューションを豊富にご用意しています。
詳細は、クオリティのWebサイトにてご確認ください。

Dr.QがITサプリをお届けしました。
次回から新シリーズがスタートします。ご期待ください。

1月に金融庁で公開されたレポート、「金融機関におけるシステムリスクの総点検の結果について」に着目している本シリーズ。シリーズ3回目は、レポートの結果から国内の主要金融機関がどのような点をシステムリスクとして認識し、どのような対策を整備しているのか、また未整備状態のポイントは具体的にどこにあるのかを考えたいと思います。
自社システムのウィークポイントを客観的に分析したいシステム管理者の方だけでなく、新たなビジネスチャンスを模索しているSIerの方も、きっとヒントを見つけることができるはずです。

◎総点検の実施目的

金融庁が実施した、国内金融機関を対象にしたシステムリスク対応力調査です。各機関のシステムと体制に関して、自ら総点検を行い、その結果を金融庁に提出するフローで実施されました。本調査では、次の5点のリスクに関する点検を各機関に要請しました。

1)システムリスクに対する認識等
2)外部環境の変化を踏まえたシステムの十分性の確保等
3)システム投資（人材配置・人材教育を含む）に関する経営戦略
4)障害発生時等のリスク管理態勢のあり方
5)適切な監査体制の確保

◎システムリスク総点検の全体的な評価
今回、金融庁で公開されたレポートには、注目したい内容が随所にあります。

■注目したい、レポートの内容(3)■
(2) システムリスク総点検への取組事例
各金融機関には、更なるシステムリスク管理態勢の改善に向けた取組みに資する観点から、今回のシステムリスク総点検により把握された取組事例を還元しておりますが、そのうち代表的な事例を挙げると、次のとおりです。

■十分な取組事例

○ 当局の要請を待たずに、システム障害の調査報告書等を入手し、独自にシステムリスクに係る自主点検を行い、経営陣を交え討議している事例。

○ 自行の自主点検に併せて、委託先ベンダーに点検を要請し、点検結果を入手し、それらの結果を総合的に評価している事例。

○ 要請した点検項目だけでなく、自行の特性に応じたリスクを洗い出し、点検している事例。

○ システムの上限値を把握し、上限値に達しないように監視するルールを定めるとともに、当該ルールの定期的な見直しに取り組んでいる事例。

○共同センターに加盟している金融機関において、共同センター、加盟金融機関などの関係者が全て参加する訓練を毎年実施している事例。

■取組事例から学ぶべきポイント(1)■
運用中のシステムの「上限値」を正確に把握すること、また現在のデータトラフィックのボリュームを定期的に分析し、システム障害につながる危険域まで及ばないように、事前に整備しておくことが重要です。

■取組事例から学ぶべきポイント(2)■
データトラフィックに対する、監視体制の強化も重要です。ただし、監視対象となるトラフィックは、業種、業務によって異なることが予想されます。業務の重要性も、重要な判断基準になるでしょう。システムダウンによるサービス停止、業務停止を防止するために、定期的な監視対象の見直しも必要です。

いかがでしょうか。システム分析のヒントや、ビジネスのヒントを、感じていただくことができましたでしょうか。
なお、クオリティソフトでは、BCP/BCM強化に最適なソリューションを豊富にご用意しています。
詳細は、クオリティのWebサイトにてご確認ください。

Dr.QがITサプリをお届けしました。