リスクベースアプローチ

リスクベースアプローチ

FISC安全対策基準第9版では、前回の版(第8版追補改訂)とは大きく異なり、リスクベースアプローチが採用されました(それ以外にも、設備、運用、技術、という分類が大きく変更されていますが、それは別の記事で取り上げることにします)。

これまで、FISC安全対策基準では「実施すること」または「実施することが望ましい」といった表現だけで必須項目と任意項目を使い分けていました。さらに、「必要に応じて」「以下のような例がある」といったキーワードを入れることで、基準の濃淡や粒度を調整していました。

そして、求められるセキュリティレベルの高さや、信頼性の高さによらず、すべて一律の基準となっていました。このため、金融機関のシステムであれば、どんなシステムであっても一律に適用せざるを得ないのではないか、といった不安がありました。より正確に言えば、各金融機関の「大人の判断」により、基準を適用する/しないシステムを決めていました。

第9版からは、各金融機関、各社の判断で、対象となるシステムが該当する区分を判定することで、適用すべき基準が明確となりました。ただし、FISC安全対策基準の各項目について、適用要否を決定する、というものではなく、区分ごとに適用すべき基準が決まっていることに注意してください。

より正確には、基礎基準と付加基準という区分と、必須項目とそれ以外という区分があり、システムによって、どれを適用すべきか、というのが分かるようになっています。

もちろん、システムの構成上、適用できない基準を適用する必要はありません。例えば、ATMを持たない金融機関が、ATMの基準を適用する必要はありませんし、システム開発を行うベンダーが営業店の基準を適用する必要もありません。基準の適用が除外されるのはこの条件だけで、任意に適用を除外するといった使用方法は想定されていません。

例えば、重要ではないシステムについては、バックアップセンターの設置が任意項目であることが明確になりました(第8版追補改訂でも、よく読めば条件付きで任意ということがわかるようになっていましたが、第9版では任意項目であることが明確になりました)。

これはバックアップセンターが不要という意味ではありません。メインセンターが使えなくなったときの対応策(コンティンジェンシープラン)を整備しておけば、必ずしもバックアップセンターが必要というわけではない、という意味です。コンティンジェンシープランの考え方については、別にFISCからも書籍(コンティンジェンシープラン策定のための手引書)が出ていますが、これはこれで別に解説することにします。