◆SH1067◆金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(13) 木嶋謙吾(2017/03/17)

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第13回 Report on Cybersecurity Practices  FINRA(7)
―—ベンダー・マネージメント(5) 我が国のベンダー管理に関するガイドライン

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木 嶋 謙 吾

 

監督指針「顧客等に関する情報管理態勢」のベンダー管理規程について

 我が国の金融機関に対するベンダー管理に関するガイドラインとして、金融商品取引業者等向けの総合的な監督指針(以下「指針」という)を紹介したい。指針III-2-4(顧客等に関する情報管理態勢 (1)顧客等に関する情報管理態勢に係る留意事項④)の中で、ベンダー管理に関して以下のように規程されている。

顧客等に関する情報の取扱いを委託(注)する場合は、以下の措置を講じているか。

  1. (注) 「委託」とは、契約の形態や種類を問わず、金融商品取引業者が他の者に顧客等に関する情報の取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。
     
  2.  イ.  外部委託先の管理について、責任部署を明確化し、外部委託先における業務の実施状況を定期的又は必要に応じてモニタリングする等、外部委託先において顧客等に関する情報管理が適切に行われていることを確認しているか。
  3.  ロ.  外部委託先において漏えい事故等が発生した場合に、適切な対応がなされ、速やかに委託元に報告される体制になっていることを確認しているか。
  4.  ハ.  外部委託先による顧客等に関する情報へのアクセス権限について、委託業務の内容に応じて必要な範囲内に制限しているか。その上で、外部委託先においてアクセス権限が付与される従業員及びその権限の範囲が特定されていることを確認しているか。更に、アクセス権限を付与された本人以外が当該権限を使用すること等を防止するため、外部委託先において定期的又は随時に、利用状況の確認(権限が付与された本人と実際の利用者との突号を含む。)が行われている等、アクセス管理の徹底が図られていることを確認しているか。
  5.  ニ.  二段階以上の委託が行われた場合には、外部委託先が再委託先等の事業者に対して十分な監督を行っているかについて確認しているか。また、必要に応じ、再委託先等の事業者に対して自社による直接の監督を行っているか。

続きはこちらから

バックナンバーはこちらから

 

(きじま・けんご)

1989年中央大学法学部卒、1993年デュークロースクールLL.M卒。
ゴールドマン・サックス証券株式コンプライアンス部長、リーマン・ブラザーズ証券取締役、同グループ、アジア・オセアニア地域コンプライアンス統括責任者を経て、その後もみずほ証券国際コンプライアンス室長、シティグループ証券執行役コンプライアンス本部長、Citi Global Market Incテクノロジー&オペレーションコンプライアンス北米統括責任者兼同グループ新商品開発ステアリングコミッティ・シニアコンプライアンスアドバイザーを歴任する。ニューヨーク在住。

 



メールで情報をお届けします
(毎週火曜日・金曜日)

サイト内検索

TMI総合法律事務所
森・濱田松本法律事務所
長島・大野・常松法律事務所
アンダーソン・毛利・友常法律事務所外国法共同事業2021年10月8日セミナー
アンダーソン・毛利・友常法律事務所外国法共同事業

slider_image1
slider_image2