金融監督院は29日、電子金融業務を手掛ける金融会社など491社を対象に「金融ITリスク対応会議」をオンラインで開き、2026年下期の重点点検方針を示した。電子金融事故の防止に向け、金融業界のIT基本統制の運用実態を集中的に点検し、事故対応力とITレジリエンスの強化を促す。

会議では、上期の現場点検と常時監視の結果を共有するとともに、下期の重点点検項目を周知した。対象は銀行、保険、金融投資、貯蓄銀行、与信金融会社、信用情報会社、相互金融機関、電子金融事業者など。

金融監督院は上期の点検で、プログラム変更管理や性能管理など、基本的なIT統制が不十分な事例を確認したと明らかにした。OSやIT機器の脆弱性発生時に迅速なパッチ適用や是正措置を行うこと、重要データのアクセス権限を適切に管理すること、バックアップデータの整合性を点検することなどを求めた。

下期は、データセンターの電源設備の運用実態も重点的に点検する。無停電電源装置、非常用発電機、火災予防設備の管理状況を定期的に確認し、老朽化した蓄電池の速やかな交換を含め、火災対応体制の見直しを促す方針だ。

無線ネットワークを悪用した不正アクセスへの対策も主要課題に位置付けた。IT機器の導入・搬入時に無線バックドアの有無を確認するほか、無許可の無線ネットワークの運用有無や、サーバー・端末の異常兆候のモニタリング強化を求めた。

こうした点検強化の背景について金融監督院は、最近の電子金融事故の一部が、プログラム変更時の影響度分析不足、機器の停止、処理容量不足、ファイアウォール設定の誤適用など、基本統制の不備に起因しているとの認識を示した。

あわせて、クラウド基盤上の業務支援向けSaaSに関する情報保護義務の遵守状況も確認する。電子金融監督規定施行細則の改正で例外的に認められたSaaS利用時のネットワーク分離例外を巡り、金融保安院の評価、接続端末の保護対策、情報保護統制の履行状況に関する半期ごとの評価が適切に行われているかを点検する。

金融監督院は「人工知能への転換などで規制緩和が進むほど、金融会社が自ら脆弱性要因を点検し、改善していくIT内部統制体制が重要になる」とした。その上で、「電子金融事故が多い金融会社には事故予防コンサルティングを実施し、IT基本統制の自己診断ツールも提供する計画だ」と説明した。

さらに、「自主是正に誠実に取り組んだ金融会社には、制裁の軽減などインセンティブ付与を検討する一方、形式的な自主是正や類似事故の再発には厳正に対応する」としている。