Last Updated: April 19.2019
8月28日、筆者の手元にニューヨーク州金融サービス局(NYDFS)を受けたローファーム・サイト:Cyber Breach Centerからメール記事が届いた。当日が、米国の州として第一号となるサイバー・セキュリティ・コンプライアンス規則の第一次遵守期限であり、第二次遵守締切はさらに6か月以内とするもので、改めてその内容を解説するものである。
は、2016年12月28日に公布されたもので、NYDFSの規制対象企業やサイバーセキュリティのリスクに直面する企業にとって重要なものであり、筆者もその重要性は十分に認識していた。
同規則案については、わが国ではニューヨーク州弁護士(Pillsbury Winthrop Shaw Pittman LLPパートナー) 奈良房永氏が「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016 Legal Wire blog)」で取り上げている。
州立法の第一号ということもあり、内容の範囲の広さ、遵守に当たり検討すべき具体的な課題、さらには第三者たる委託先との関係等「効果的技術促進による反テロリズム支援法:Support Anti-terrorism by Fostering Effective Technologies Act:)(以下、「安全法)」 (注1)の適用可能性等、同弁護士が指摘している通り、今後の他州への影響だけでなく、これらの課題の検討はわが国の金融機関でも決して無視しえないこれからの重要課題といえる。
今回のブログは、ニューヨーク州のNYDFSのサイバーセキュリティ規則の内容、立法・運用上の課題等について、概観を試みるもである。
1.2016年12月28日、ニューヨーク州金融サービス局のサイバーセキュリティ規則(REGULATION)案を最終更新した旨のリリース
2016.12.28 ニューヨーク州金融サービス局リリース「DFSの問題は、消費者や金融機関を保護する提案されたサイバーセキュリティ規則(REGULATION)案を最終的に更新した。合衆国で第一号となるこの規則案は、テロ組織やその他の犯罪企業から消費者データおよび金融システムを保護することを目指す」の内容を以下、仮訳する。
本日、マリア T. ヴロ(Maria T. Vullo )NYDFS局長 (注2)は、ニューヨーク州金融局(Department of Financial Services:DFS)がサイバー攻撃の脅威から常にニューヨーク州民を守るために提案した第一次サイバーセキュリティ規制案を最終的に更新したと発表した。2017年3月1日に発効する予定のこの法案は、DFSによって規制されている銀行、保険会社、およびその他の金融機関に対し、消費者を保護し、ニューヨーク州の金融サービス業界の安全性と健全性を確保するためのサイバーセキュリティプログラムを確立するものである。
ニューヨーク州民は、信頼できる銀行、保険会社、その他の金融機関が機密情報のセキュリティとプライバシーを確保するために必要な手順を安全に処理し、確立していることを確信できなければならない。この更新された規則案は、規制監督対象金融機関が最終的になる前に規則内容を見直し、システムがサイバー脅威に関連するリスクを効果的かつ効率的に満たすことができることを確実にする適切な検討期間を許容するものである。
DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関して提出されたすべてのコメントを慎重に検討し、DFSが最新の草案に適切であると示唆した。 DFSは、以前のコメントプロセスでは提起されなかった新しいコメントについて、30日間の最終的なレビューの間に焦点を当てる。
DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関し提出されたすべてのコメントを慎重に検討し、DFSが最新のドラフトが適切であると示唆した。DFSは、元のコメントプロセスで以前には提起されなかった新しいコメントについて、最終的なレビューに焦点を当てた。
更新提案された規則案は、2016年12月15日にニューヨーク州公報局に提出、12月28日に公開され、30日間の通知およびパブリックコメント期間に続いて最終確定される。
2. NYDFSの規制対象となる金融機関へのサイバーセキュリティー規則の特定の条項の第一次遵守期限などの通告の内容と意義
NYDFSの告示
「NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES
23 NYCRR 500 :CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」
の内容を以下、仮訳する。 (注3) なお、規則の正確な理解のため、適宜条文を追記した。 (注4)
本日、 NYDFSのサイバーセキュリティー規則(以下「規則」という)の特定の条項を遵守するために、ニューヨーク金融サービス局(NYDFS)によって規制対象となる金融機関への第一次遵守期限日であることを告げる。
「規則」は、NYDFS規制対象企業やサイバーセキュリティのリスクに直面している企業にとって重要な出来事である。具体的には、次の事項の組み合わせである。
(1)具体的なサイバーセキュリティ要件(アクセス・コントロールなど)、(2)上級役員・シニアレベルの認証義務、(3)72時間以内の通知義務要件の独自の組み合わせは、サイバーセキュリティの規制と期待に永続的な影響を与える可能性がある。本規則の対象金融機関は現在、次の措置を講じている必要がある。
① 最高情報セキュリティ責任者(Chief Information Security Officer :CISO)の指名(Section 500.04 Chief Information Security Officer)。
② サイバーセキュリティプログラム、サイバーセキュリティ・ポリシー、事故対応計画に必要な要素の実装。
③ 情報システムに対する規制されたアクセス特権の明確化(Section 500.07 Access Privileges)。
④ 必要なサイバーセキュリティ・スタッフが確保されていることの確認(Section 500.10 Cybersecurity Personnel and Intelligence)。
⑤ 特定のサイバーセキュリティ・事故が発生してから72時間以内にNYDFSに通知するように準備ができていること。(Section 500.16 Incident Response Plan.)(Section 500.17 Notices to Superintendent )
また、規則では、金融機関は「リスク・アセスメント(Section 500.09 Risk Assessment.)」を実施することが求められているが、その遵守期限(CISOの取締役会への報告、研修トレーニング(Section 500.14 Training and Monitoring.)、侵入テスト(penetration testing)(Section 500.05 Penetration Testing and Vulnerability Assessments)、多要素認証(multifactor authentication)(Section 500.12 Multi-Factor Authentication)の対応の遵守期限とともに)は、2018年3月1日ではない。その「リスク・アセスメント」と規則に定められている多くの義務との関連性を考慮すると、多くの金融機関は2018年2月15日までに完了しなければならない認証プロセスにそのリスク・アセスメントを含めることを目指している。
72時間以内の通知要件を求めるサイバーセキュリティ事故には、次のものが含まれる。
①他の政府機関、自主規制機関、監督機関に通知することを要求する事故。
②あなたの会社の通常の業務のいかなる部分にも重大な損害を与える妥当な可能性を作成する事故。
その他、本規則を直接遵守義務を負うNYDFS規制対象金融機関以外にも、数千社の受託ベンダーがこの規則を遵守する必要がある。なぜなら、規則の定めにより、それら金融機関がベンダーに規則の則った要件を課す義務があるからである。
すなわち、より広義にいうとは、2017年6月15日に開催した「NYDFSのサイバーコンプライアンスに関するのWebキャスト」で議論されているように、本規則はサイバーセキュリティの関係業界ベストプラクティスになる可能性がある。その結果、直接的に規則に従わない多くの企業ども、様々な理由によりNYDFSの要件を満たしていると言えるようになりたいと考えている。
3. 奈良房永氏が指摘されるNYDFS規則の主な内容、課題といえる問題
(1)前述した「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016 Legal Wire blog)」で取り上げている内容を中心に、筆者なりにフォロー、補足して説明する。
A.この規則の対象となる組織
この規制は、対象となる組織を銀行法、保険法または金融サービス法に基づいて、免許、登録、設立、認証、許可、認可などを受けて運用されているすべての法人、と定義しています。但し、適用除外として、過去3年につき、顧客数が平均1,000人以下、年間総所得が各年500万ドル以下、年度末総資産が1,000万ドル以下の場合は、適用対象外となっている。(Section 500.19 Exemptions.)
B. サイバーセキュリティ計画全体について、年に最低一度は取締役会(またはそれに同等の経営組織)で見直した上
で、上級幹部役員による承認を受けなければならない。
C. 事故対応計画を作成し実行する。
D.最高情報セキュリティー責任者(CISO)を設け、半年に1度、会社のサイバーセキュリティの全体的状況を、取締役
会またはこれに同等する場に報告しなければならない。
E. 対象組織はサイバーセキュリティ担当者を雇うか、「資格のある第三者を利用して要件を満たす」ようにしなければ
ならない。
F. 年に1度の侵入テストとリスク評価に加え、四半期毎の脆弱性評価と定期的な訓練を実施しなければならない。
G. サイバーセキュリティの監査記録は少なくとも6年保管しなければならない。
H. サイバーセキュリティ計画は、アプリケーションソフトやアプリについてセキュリティ対策を施すものでなければな
らない。
I. 取引関係にある第三者のサイバーセキュリティ方針と手続きは、正式に記録として残さなければならない。第三者の
セキュリティー方針は、最低限次の要件を満たさなければならない。
*第三者取引先のサイバーセキュリティのリスク評価
*第三者取引先が従うべきサイバーセキュリティ手順を特定し、これを遵守しているかについてのデューデリジェンス
*第三者取引先セキュリティ対策の年次見直しと評価
*第三者取引先との契約には下記項目を含むこと
・マルチファクター認証の採用
・暗号化
・サイバーセキュリティ事故発生時の即時通報
・第三者取引先のサイバーセキュリティ体制に対する監査を実行する権利
・第三者取引先から規制対象組織に提供されるサービスと製品がサイバーセキュリティの脅威に対応している旨の、当
該第三者による表明保証
・システムとアプリケーション開発およびその品質保証
・警備・施錠設備および空調設備
J.「サイバーセキュリティ事故」(既遂、未遂に関わらず、また成功・不成功に関わらず、情報システムおよびそのシ
ステムに保存されているデータに対する不正なアクセス、妨害、不正操作と定義される)は、その発生から72時間以内
にDFSに報告されなければいけない。
(2) 規則の適用、遵守、運用にあたり考えられる課題
① 「サイバーセキュリティ事故」の定義があまりにも広い。
② 第三者取引先のサイバーセキュリティ規則遵守に責任を持つことはほとんど不可能といえる。
4.筆者から見た今後の検討課題
筆者は従来からサイバーセキュリティ問題として、EUのサイバーセキュリティ指令やこれを受けた国内法立法例としてドイツの動きを取り上げている。再度、引用する。
(1) 2016.8.31 ブログ「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)を採択と今後の課題」(その
1)」、「同(その2完)」
(2) 2014.9.1 ブログ「ドイツ連邦内務省等がEUのNIS指令等に準拠するサイバーセキュリティ法案の新バージョ ン草稿を公開」
ニューヨーク州の規則をこれらと比較すると対象となる範囲が大きく異なる点は言うまでもないが、これらを比較した検討作業がわが国でも行なわれるべきであることは必須であるし、筆者も引き続き何らかの寄与ができれば幸いである。
*********************************************************************************
(注1) いわゆる「安全法(Support Anti-terrorism by Fostering Effective Technologies Act: 効果的技術促進による反テロリズム支援法」)は、賠償責任を限定・管理するための法律で、2002年国家安全保障法の一部として成立した。
2002年、国土安全保障法(Public Law 107-296)の一環として、連邦議会は、「2002年効果的技術促進法(以下「安全法」という)による反テロリズム企業支援制度を創設した。この安全法は、テロ対策技術の開発と展開にインセンティブを与えるリスク軽減と訴訟回避システムを作り出すことにある。この法律の目的は、企業の賠償責任を負うことへの脅威が、効果的なテロ対策技術の潜在的な製造業者または売り手が人命を救う可能性のある技術の開発および商業化を阻止しないようにすることにある。このプログラムは、DHSの科学技術局(Science and Technology Directorate)8/31(21) の安全法部が管理する。科学技術局次長は、安全法の適用にかかる決定責任者であるである。(DHSサイトの原文をもとに翻訳ならびに補足を行った)
(注2) ごく一般的説明ではあるが、DFSのサイトから局長の任務に関する説明文を仮訳しておく。
局長は、保険法および銀行法の規定に従い、金融商品およびサービスのよりよい監督を行うために次の任務を行う。
① ニューヨーク州での金融業界の発展を促進し、思慮深い規制と慎重な監督を通じた州の経済発展を促進する。
② 金融商品やサービス提供者の持続的な支払い能力(solvency)、安全性、健全性、慎重な行動を確保する。
③ それら提供者の財務上の義務につき、公正でタイムリーかつ衡平な履行を確保する。
④ 金融商品やサービスの利用者につき、それらサービスに関し、金銭的に損失を受けた業者または破産した業者から保護
する。
⑤ 誠実さ、透明性、公正なビジネスの実践および公的責任につき高い基準を推進する。
⑥ 金融業界の金融詐欺、その他の刑事上の不正行為や非倫理的行為を排除する。
⑦ 金融商品とサービスの利用者を教育、保護し、また金融商品やサービスに関する責任ある意思決定を行うためのタイム
リーかつ理解可能な情報をユーザに提供する。
(注3) 奈良房永氏のレポートから「『規則』の要旨」部を一部抜粋する。
2017年より、対象となる企業は、広範囲にわたるサイバーセキュリティ計画および方針の設定、トレーニング体制、リスク分析と脆弱性評価、事故対応能力、およびその他の管理体制を構築することを求められています。さらにこの規則はサイバーセキュリティに関する方針、手順そしてさまざまなテスト計画と評価を定期的に行い、更新するよう求めています。
(注4) ”23NYCRR500”について、protiviti「サイバーセキュリティ規制(概要)ニューヨーク州金融サービス局 23NYCRR500」が詳しく解説している。
*****************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます