金融監督院は4月1日、インターネット銀行など金融業界に対し、IT内部統制の強化と事故予防体制の整備を求めた。システム障害の再発防止に向け、変更管理やインフラ可用性の点検、障害時の消費者保護、サイバー対策の徹底を促した。

同院は、デジタル・IT部門のイ・ジョンオ副院長補佐の主宰で、インターネット銀行など5社の最高情報責任者（CIO）や監査担当者らとの懇談会を開いた。ITリスクの予防的管理に向け、内部統制上の留意事項を共有した。

会合では、プログラム変更時の事前影響分析やテスト、第三者検証といった基本的な統制手続きが適切に守られているかを重点的に点検するよう求めた。変更が他システムに及ぼす影響の分析、外部検証、IT部門と業務部門によるテスト、利用の少ない時間帯での反映など、全工程で統制水準を引き上げる必要があると指摘した。

また、取引量の急増に備え、電子金融サービスのインフラ可用性を確保し、実効性のある非常対応体制を改めて点検するよう要請した。中核サービスで処理遅延が起きていないかや、資源使用率の閾値を常時点検し、必要に応じて緊急増設を実施してシステム性能を確保すべきだと説明した。

システム障害が発生した場合には、迅速な復旧に加え、代替手段の提供や補償手続きの案内など、金融消費者保護措置も強化するよう促した。さらに、地政学リスクの高まりを踏まえ、DDoS攻撃やランサムウェアといったサイバー脅威にも万全を期すべきだとした。

イ・ジョンオ副院長補佐は、インターネット銀行などがこれまでアクセシビリティと利便性の向上を軸に成長してきた一方で、今後は事業規模に見合うITの安定性と事故予防体制を整える必要があると強調した。最近のシステム事故の多くは基本的統制の不備に起因しているとして、IT部門監査など自律的な統制活動を強化し、類似事故の再発を防ぐべきだと述べた。

会合に参加したインターネット銀行などの金融各社も、ITリスク管理体制を強化する必要性に同意した。内部統制と消費者保護の水準を高め、電子金融サービスをより安定的に提供していく方針を示した。

金融監督院は今後、IT事故の再発防止と金融消費者保護の強化に向け、監督・検査体制を事前予防重視へ見直す方針だ。基本的な内部統制の不備によって大規模なシステム事故が発生した場合には、厳正に対応するとしている。