金融情報システムセンター 理事長 細溝 清史 氏
――フィンテック普及と共に金融機関のシステム対応が注目されている…。
細溝 当センターの業務は主に3点ある。もともと当法人が設立された理由は、金融機関のオンライン化が進捗するなかで、金融機関の情報システムの安全性確保が求められるようになってきたところにある。安全対策だけではなく、システム監査も含めた基準や指針を、中立的な組織が策定することが求められており、金融機関のみならず、コンピュータメーカーや情報ベンダー、政府など関係者が議論してコンセンサスが形成され、それがデファクトスタンダード(事実上の標準)になってきた。従って、従来通り金融機関の情報システム周りの基準設定が最重要事項だと考えている。2つ目は、金融機関の情報システムに関する調査研究と情報発信だ。足元ではブロックチェーンやスマートデバイス、AI、RPA(ロボティック・プロセス・オートメーション)などをテーマとしている。実証実験やユースケース(実際の使用例)が見られつつあるなか、今後、その技術や活用の仕方などの情報を収集し、会員等に還元していく。3つ目は、金融機関の情報システムにとって何が脅威であるか、そしてその脅威にどう対応していくかを検討することだ。端的に言えば、サイバーセキュリティが挙げられるだろう。最新のサイバー攻撃の手法やその対応方法などを発信していくことが必要だと考えている。
――今回の基準改定については…。
細溝 『金融機関等コンピュータシステムの安全対策基準・解説書』は30年程前に初めて策定された。当時は自前のメインフレームを持ち、自前で完結するのが主流だったが、その後、共同センターができ、最近ではクラウドの出現など外部委託が当たり前の時代になっており、その時代に応じた安全対策基準を策定する必要がある。このなか、フィンテックの有識者検討会やクラウドの有識者検討会など様々な外部団体との意見交換を通じ、今の時代に適合するために安全対策基準を抜本的に見直す必要が生じ、昨年1年間かけて見直しを図ってきた。今回の改訂では、金融機関の経営者に対してITガバナンスを効かせることを求め、そのうえで均一、一律の基準ではなく、リスクに応じた対策を立ててもらう。ただし、重大な外部性を有する情報システムや機微性を有する情報システムにおいてはシステミックな事態につながりかねないため、そういった情報を扱っているシステムについては相当程度のセキュリティを設けるよう求めている。こういったリスクベースアプローチを取り入れている点が従来の手法と全く異なる。リスクベースアプローチを採用しているため、各金融機関が自らのリスクを考え、対策を立てなければならないが、それは難しい作業であることから問い合わせが増えている。このため、ホームページ上にFAQ(よくある質問とその回答集)を設けたほか、規模や特性等に応じてリスク・対応が異なることから、個別具体例を収集し、発信していくことで金融機関等に参考にしてもらう。そして、6月から集中的に全国説明会を開催し本格的な普及に努めていく。また、安全対策基準を抜本的に改訂したことから、『金融機関等のシステム監査指針』も抜本的に見直す必要がある。システム監査指針を見直すなかで、議論の発展次第では指針から基準への変更もあるとも考えている。
――ブロックチェーンについては金融機関の活用が期待される…。
細溝 ブロックチェーンはもともと仮想通貨の中核技術として注目されたが、現在ではもっと広く分散型台帳(DLT)という形で、紙媒体の台帳を電子台帳に置き換えることができるものとの見方がされている。まだ実証実験段階ではあるが、例えば、送金や貿易金融、証券のアフタートレード処理など様々な活用方法が模索されている。当センターとしては、模索されている様々な活用方法を追いかけ、情報発信に努めていきたい。また、金融機関は今後、DLTを送金・貿易等に利用し始めると考えられることから、その際の固有の問題点があるか研究し、問題があれば注意喚起を行っていく。これはブロックチェーンに限らず、スマートデバイスにおいても同じことだ。スマートデバイスについてはQRコードや生体認証などのユースケースがすでに見られている。こういった新たなシステムを金融機関が取り込みビジネス展開する場合、どのような留意事項があるかを研究し、留意事項があれば早めに発信しなければならないと考えている。他方、AIやRPAについては実証実験段階のものもあれば、ロボアドバイザーなどのユースケースも見られている。これについても留意事項があるかどうか見極める必要がある。ただ、金融機関が自前でやるケースは少なく、ネットワーク化していないことから、当センターとして取り上げるにはもう少し先になるだろう。
――フィンテックを通じて金融と情報システムの連携が深まっている…。
細溝 金融と情報システムはもともとワンセットにある。銀行預金自体が日銀券ではなく、ようするに台帳にある架空通貨だということもできる。つまりは情報そのものであり、それを移転することで決済が行われるため、そもそも金融業界というのは情報産業そのものだとも考えられる。金融機関にしてみれば、情報システム自体は金融サービスを提供する際に不可欠なインフラとなっており、その情報システムに新しい技術が出てくることで金融機関のサービス提供の仕方やプロセス、商品が変化するという時代に入ってきている。
――サイバーセキュリティについては…。
細溝 サイバー攻撃は多様化し、巧妙化し、かつ産業化、国際化している。そのため、国内外のあらゆる事例を収集し、対応策を検討し、会員に向けて紹介していく。ただ、手の内を晒すことになるため一般公開することができず、あくまでも会員向けに限定している。現在、会員数は645社と徐々に増えており、金融機関と情報ベンダーに加えて電子決済代行事業者など金融関連サービス業の加入も見られている。金融そのもののサービスを提供しているわけではないものの、金融機関のシステムとつながることからセキュリティは重要となってくる。従って6月からの銀行法改正に伴いオープンAPI(アプリケーションプログラミングインタフェース)で接続するにあたっての金融機関側のチェックリストの試行版を提供している。現在は試行版を活用して支障がなかったのか、追加項目がないか等を確認しており、年内に確定版を出す方針だ。チェックリストは金融機関向けに出しているが、フィンテック企業も、チェックリストを確認し、準備することができるようになった。これによって皆が齟齬なく安全対策のレベルが上昇していくだろう。この点、規模の小さいフィンテック企業の加入を促すためにも、会費を抑えたスタートアップ会員制度を昨年11月に導入したところだ。
――今後の抱負は…。
細溝 金融機関が適切に業務運営していくには様々なリスクがある。そのリスクのうちの一つが情報システムに対するリスクだ。システムは金融サービスを提供するうえで必要不可欠なインフラとなっており、ビジネスモデルの革新や新商品の提供につながっていくかもしれない。このため、金融機関の情報システムが安全かつ安定し、効率的にそして効果的に活用されるとの観点から、当センターは基準を設定し、また新たな技術動向等を紹介し、また脅威になるようなものがあれば対応方法等を検討する。あくまでも金融という公共的な業務を行っている金融機関に対して側面的に支援することが当センターの役目だと認識しているが、同時にその役目は年を追う毎に大きくなっている。時代の流れにしっかり対応していけるようこれからも強力に側面支援していきたい。