◆SH1056◆金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(11) 木嶋謙吾(2017/03/10)

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第11回 Report on Cybersecurity Practices  FINRA(5)
―—ベンダー・マネージメント(3) 契約

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木 嶋 謙 吾

 

サイバーセキュリティに関する契約実務のケーススタディ

 FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)はReport on Cybersecurity Practices  の中で、ベンダー契約に関するケーススタディを紹介している。

 ある金融機関でベンダーへの業務委託を検討している部門(以下「ユーザー部門」という)が審査部門に承認を求めた。ユーザー部門は審査部門に契約書と20~30項目の質問票を提出する必要がある。個人情報が社外で保管される場合、またはクラウド業者を利用する場合は追加質問の入った質問票が利用される。更にベンダーが個人情報または会社機微情報を取扱う場合はSOCレポート等の監査証明書の添付が必要となる。  IT コントロール・リスクアセスメント・チームは質問票の結果をスコアー化(ローリスクの0からハイリスクの100)する。審査部門はすべての情報を分析してどの程度のリスクが内在するか審査する。審査部門はリスクが大きい場合はステアリング・コミッティー(構成メンバー:テクニカル・アーキテクチャー部門、テクノロジー・コントロール・リスクアセスメント部門、経理部門、法務部門、コンプライアンス部門、ビジネスコンティニュイティ管理部門の担当者)に契約を締結するかどうかの判断を委ねる。ユーザー部門がハイリスクと認定されたベンダーとの取引を希望する場合はエンタープライズ・リスク・マネージメント部門の承認が必要になる。 クラウド業者が個人情報を取扱う場合は自動的にハイリスクベンダーと分類される。

続きはこちらから

バックナンバーはこちらから

 

(きじま・けんご)

1989年中央大学法学部卒、1993年デュークロースクールLL.M卒。
ゴールドマン・サックス証券株式コンプライアンス部長、リーマン・ブラザーズ証券取締役、同グループ、アジア・オセアニア地域コンプライアンス統括責任者を経て、その後もみずほ証券国際コンプライアンス室長、シティグループ証券執行役コンプライアンス本部長、Citi Global Market Incテクノロジー&オペレーションコンプライアンス北米統括責任者兼同グループ新商品開発ステアリングコミッティ・シニアコンプライアンスアドバイザーを歴任する。ニューヨーク在住。

 



メールで情報をお届けします
(毎週火曜日・金曜日)

サイト内検索

森・濱田松本法律事務所
長島・大野・常松法律事務所
アンダーソン・毛利・友常法律事務所外国法共同事業セミナー
アンダーソン・毛利・友常法律事務所外国法共同事業

西村あさひ法律事務所セミナー
西村あさひ法律事務所
TMI総合法律事務所