金融監督院は4月7日、ハッキングやシステム障害の再発防止に向け、内部統制の強化を軸に、事後制裁中心の監督から事前予防型のデジタルリスク監督へ転換する方針を明らかにした。高リスクの金融会社を重点管理し、基本義務の不履行や内部統制の不備があるまま事故が起きた場合は、ゼロトレランスの原則で厳正に責任を問う。

同院は同日、国会、金融協会、金融保安院、学界、国内外のセキュリティ業界の関係者を招き、金融セキュリティのパラダイム転換に向けた懇談会を開いた。現行のセキュリティ認識やリスク管理水準、監督手法のままでは、IT・情報セキュリティ事故の根絶は難しいとの問題意識から開催したという。

懇談会には、国会政務委員会のイ・ジョンムン議員のほか、銀行、金融投資、生命保険、損害保険、与信専門金融の各協会長、金融保安院長、学界やセキュリティ業界の関係者が参加した。金融監督院が示した予防型のデジタルリスク監督案をもとに、IT・セキュリティリスクの統制策や国内外の先行事例を議論した。

参加者は、脅威が高度化・巧妙化するなか、事故防止には金融セキュリティを組織文化として定着させる必要があるとの認識で一致した。経営陣の責任意識の強化、組織文化の改善、人材・設備への投資拡大など、抜本的な見直しが必要だとの見方を示した。

イ・チャンジン金融監督院長は、足元で相次ぐ金融業界の侵害事故やシステム障害について、「基本的義務の不履行や内部統制の不備に起因するケースが多い」と指摘。そのうえで、「金融セキュリティのパラダイムを根本から変える必要がある」と強調した。

監督手法については、事後制裁中心の監督から事前予防中心へ切り替え、金融会社による先制的なリスク管理の定着を促す考えを示した。

金融監督院は今後、高リスク先を選別して重点管理するほか、事故対応体制の整備も進める。侵害事故が発生した際の消費者被害を最小限に抑える狙いだ。基本義務を果たしていない、あるいは内部統制が不十分な状態で事故が起きた場合には、厳しく責任を追及する方針も打ち出した。

あわせて国会には、電子金融取引の安全性強化に向けた電子金融取引法改正案の早期処理を要請した。金融協会に対しては、業界全体で金融セキュリティを重視する文化の定着と、IT・情報セキュリティ投資の拡大を求めた。

イ・ジョンムン議員は、金融業界でハッキングなどのIT事故が頻発しているとして、電子金融取引の安全性確保を通じた消費者信頼の強化が重要だと指摘した。金融監督院の予防型監督への転換は時宜を得た措置だと評価し、国民が安心してデジタル金融を利用できるよう、徹底したITリスク管理が必要だと強調した。

中小金融会社の内部統制支援も課題に

金融監督院が示した監督案は、（1）金融セキュリティに対する認識の転換（2）先制的リスク管理の定着（3）事前予防型監督への転換（4）事故対応体制の確立（5）制度改善――の5本柱で構成する。

まず、金融会社の役職員の認識を高めるため、経営陣向け懇談会や実務者向けワークショップなど、対象別のコミュニケーションを拡充する。IT資産の識別・管理や脆弱性の分析・評価も強化し、金融会社が自らリスク要因を早期に把握して対応できる体制づくりを促す。

脆弱性点検も強化し、高リスクの会社は重点的に管理する。金融セキュリティ統合監視システム「FIRST」を活用して脅威情報を迅速に共有するとともに、自主点検と是正の仕組みの高度化も進める。

共同の災害復旧切り替え訓練や模擬ハッキング、バグバウンティなど多様な訓練も実施し、デジタルレジリエンスの向上を図る。事故発生時でもサービスを迅速に再開できるよう、対応体制の整備を進める。

金融協会、金融保安院、学界も、事前予防中心の監督が必要だとの認識を共有し、協力方針を示した。金融協会は業界ごとの取り組みを後押しするとし、金融保安院は脅威情報の共有と対応訓練の高度化を通じて、金融会社のセキュリティ対応力の向上を支援するとした。

カイストのカン・ビョンフン教授は、大規模な侵害事故を防ぐには、IT資産の徹底した識別と管理が前提になると指摘した。とりわけセキュリティが脆弱な中小金融会社については、内部統制の構築を支援する必要があると訴えた。

金融監督院は、今回の懇談会を起点に、事前予防型の監督体制が現場で実効的に機能するよう、関連課題を速やかに進める方針だ。金融業界全体のセキュリティ意識の向上と先制的リスク管理の定着に向け、継続的に関係先と意思疎通を図るとしている。