スキップしてメイン コンテンツに移動

「ニューヨーク州金融サービス局(NYDFS)のサイバーセキュリティ・コンプライアンス規則制定の意義と企業における今後の取組課題」

 

 Last Updated:  April 19.2019

 8月28日、筆者の手元にニューヨーク州金融サービス局(NYDFS)を受けたローファーム・サイト:Cyber Breach Centerからメール記事が届いた。当日が、米国の州として第一号となるサイバー・セキュリティ・コンプライアンス規則の第一次遵守期限であり、第二次遵守締切はさらに6か月以内とするもので、改めてその内容を解説するものである。 

 ニューヨーク州のNYDFSのサイバーセキュリティ規則「NEW YORK STATE :DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500 :CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」

は、2016年12月28日に公布されたもので、NYDFSの規制対象企業やサイバーセキュリティのリスクに直面する企業にとって重要なものであり、筆者もその重要性は十分に認識していた。

 同規則案については、わが国ではニューヨーク州弁護士(Pillsbury Winthrop Shaw Pittman LLPパートナー) 奈良房永氏が「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016 Legal Wire blog)」で取り上げている。

 州立法の第一号ということもあり、内容の範囲の広さ、遵守に当たり検討すべき具体的な課題、さらには第三者たる委託先との関係等「効果的技術促進による反テロリズム支援法:Support Anti-terrorism by Fostering Effective Technologies Act:)(以下、「安全法)」 (注1)の適用可能性等、同弁護士が指摘している通り、今後の他州への影響だけでなく、これらの課題の検討はわが国の金融機関でも決して無視しえないこれからの重要課題といえる。 

 今回のブログは、ニューヨーク州のNYDFSのサイバーセキュリティ規則の内容、立法・運用上の課題等について、概観を試みるもである。 

1.2016年12月28日、ニューヨーク州金融サービス局のサイバーセキュリティ規則(REGULATION)案を最終更新した旨のリリース

 2016.12.28 ニューヨーク州金融サービス局リリース「DFSの問題は、消費者や金融機関を保護する提案されたサイバーセキュリティ規則(REGULATION)案を最終的に更新した。合衆国で第一号となるこの規則案は、テロ組織やその他の犯罪企業から消費者データおよび金融システムを保護することを目指す」の内容を以下、仮訳する。 

 本日、マリア T. ヴロ(Maria T. Vullo )NYDFS局長 (注2)は、ニューヨーク州金融局(Department of Financial Services:DFS)がサイバー攻撃の脅威から常にニューヨーク州民を守るために提案した第一次サイバーセキュリティ規制案を最終的に更新したと発表した。2017年3月1日に発効する予定のこの法案は、DFSによって規制されている銀行、保険会社、およびその他の金融機関に対し、消費者を保護し、ニューヨーク州の金融サービス業界の安全性と健全性を確保するためのサイバーセキュリティプログラムを確立するものである。

  ニューヨーク州民は、信頼できる銀行、保険会社、その他の金融機関が機密情報のセキュリティとプライバシーを確保するために必要な手順を安全に処理し、確立していることを確信できなければならない。この更新された規則案は、規制監督対象金融機関が最終的になる前に規則内容を見直し、システムがサイバー脅威に関連するリスクを効果的かつ効率的に満たすことができることを確実にする適切な検討期間を許容するものである。

 DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関して提出されたすべてのコメントを慎重に検討し、DFSが最新の草案に適切であると示唆した。 DFSは、以前のコメントプロセスでは提起されなかった新しいコメントについて、30日間の最終的なレビューの間に焦点を当てる。 

 DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関し提出されたすべてのコメントを慎重に検討し、DFSが最新のドラフトが適切であると示唆した。DFSは、元のコメントプロセスで以前には提起されなかった新しいコメントについて、最終的なレビューに焦点を当てた。

更新提案された規則案は、2016年12月15日にニューヨーク州公報局に提出、12月28日に公開され、30日間の通知およびパブリックコメント期間に続いて最終確定される。

2. NYDFSの規制対象となる金融機関へのサイバーセキュリティー規則の特定の条項の第一次遵守期限などの通告の内容と意義

 NYDFSの告示

 

「NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 

23 NYCRR 500 :CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」

の内容を以下、仮訳する。 (注3) なお、規則の正確な理解のため、適宜条文を追記した。 (注4)

 本日、 NYDFSのサイバーセキュリティー規則(以下「規則」という)の特定の条項を遵守するために、ニューヨーク金融サービス局(NYDFS)によって規制対象となる金融機関への第一次遵守期限日であることを告げる。 

 「規則」は、NYDFS規制対象企業やサイバーセキュリティのリスクに直面している企業にとって重要な出来事である。具体的には、次の事項の組み合わせである。

(1)具体的なサイバーセキュリティ要件(アクセス・コントロールなど)、(2)上級役員・シニアレベルの認証義務、(3)72時間以内の通知義務要件の独自の組み合わせは、サイバーセキュリティの規制と期待に永続的な影響を与える可能性がある。本規則の対象金融機関は現在、次の措置を講じている必要がある。 

① 最高情報セキュリティ責任者(Chief Information Security Officer :CISO)の指名(Section 500.04 Chief Information Security Officer)。 

② サイバーセキュリティプログラム、サイバーセキュリティ・ポリシー、事故対応計画に必要な要素の実装。

③ 情報システムに対する規制されたアクセス特権の明確化(Section 500.07 Access Privileges)。

④ 必要なサイバーセキュリティ・スタッフが確保されていることの確認(Section 500.10 Cybersecurity Personnel and Intelligence)。

⑤ 特定のサイバーセキュリティ・事故が発生してから72時間以内にNYDFSに通知するように準備ができていること。(Section 500.16 Incident Response Plan.)(Section 500.17 Notices to Superintendent )

 また、規則では、金融機関は「リスク・アセスメント(Section 500.09 Risk Assessment.)」を実施することが求められているが、その遵守期限(CISOの取締役会への報告、研修トレーニング(Section 500.14 Training and Monitoring.)、侵入テスト(penetration testing)(Section 500.05 Penetration Testing and Vulnerability Assessments)、多要素認証(multifactor authentication)(Section 500.12 Multi-Factor Authentication)の対応の遵守期限とともに)は、2018年3月1日ではない。その「リスク・アセスメント」と規則に定められている多くの義務との関連性を考慮すると、多くの金融機関は2018年2月15日までに完了しなければならない認証プロセスにそのリスク・アセスメントを含めることを目指している。 

 72時間以内の通知要件を求めるサイバーセキュリティ事故には、次のものが含まれる。

①他の政府機関、自主規制機関、監督機関に通知することを要求する事故。

②あなたの会社の通常の業務のいかなる部分にも重大な損害を与える妥当な可能性を作成する事故。 

 その他、本規則を直接遵守義務を負うNYDFS規制対象金融機関以外にも、数千社の受託ベンダーがこの規則を遵守する必要がある。なぜなら、規則の定めにより、それら金融機関がベンダーに規則の則った要件を課す義務があるからである。 

 すなわち、より広義にいうとは、2017年6月15日に開催した「NYDFSのサイバーコンプライアンスに関するのWebキャスト」で議論されているように、本規則はサイバーセキュリティの関係業界ベストプラクティスになる可能性がある。その結果、直接的に規則に従わない多くの企業ども、様々な理由によりNYDFSの要件を満たしていると言えるようになりたいと考えている。 

3. 奈良房永氏が指摘されるNYDFS規則の主な内容、課題といえる問題

(1)前述した「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016 Legal Wire blog)」で取り上げている内容を中心に、筆者なりにフォロー、補足して説明する。 

A.この規則の対象となる組織

 この規制は、対象となる組織を銀行法、保険法または金融サービス法に基づいて、免許、登録、設立、認証、許可、認可などを受けて運用されているすべての法人、と定義しています。但し、適用除外として、過去3年につき、顧客数が平均1,000人以下、年間総所得が各年500万ドル以下、年度末総資産が1,000万ドル以下の場合は、適用対象外となっている。(Section 500.19 Exemptions.)

 B. サイバーセキュリティ計画全体について、年に最低一度は取締役会(またはそれに同等の経営組織)で見直した上

 で、上級幹部役員による承認を受けなければならない。 

C. 事故対応計画を作成し実行する。 

D.最高情報セキュリティー責任者(CISO)を設け、半年に1度、会社のサイバーセキュリティの全体的状況を、取締役

 会またはこれに同等する場に報告しなければならない。 

E. 対象組織はサイバーセキュリティ担当者を雇うか、「資格のある第三者を利用して要件を満たす」ようにしなければ

 ならない。 

F. 年に1度の侵入テストとリスク評価に加え、四半期毎の脆弱性評価と定期的な訓練を実施しなければならない。 

G. サイバーセキュリティの監査記録は少なくとも6年保管しなければならない。 

H. サイバーセキュリティ計画は、アプリケーションソフトやアプリについてセキュリティ対策を施すものでなければな

 らない。 

I. 取引関係にある第三者のサイバーセキュリティ方針と手続きは、正式に記録として残さなければならない。第三者の

 セキュリティー方針は、最低限次の要件を満たさなければならない。

*第三者取引先のサイバーセキュリティのリスク評価

*第三者取引先が従うべきサイバーセキュリティ手順を特定し、これを遵守しているかについてのデューデリジェンス

*第三者取引先セキュリティ対策の年次見直しと評価

*第三者取引先との契約には下記項目を含むこと

 ・マルチファクター認証の採用

 ・暗号化

 ・サイバーセキュリティ事故発生時の即時通報

 ・第三者取引先のサイバーセキュリティ体制に対する監査を実行する権利

 ・第三者取引先から規制対象組織に提供されるサービスと製品がサイバーセキュリティの脅威に対応している旨の、当

       該第三者による表明保証

 ・システムとアプリケーション開発およびその品質保証

 ・警備・施錠設備および空調設備 

J.「サイバーセキュリティ事故」(既遂、未遂に関わらず、また成功・不成功に関わらず、情報システムおよびそのシ

 ステムに保存されているデータに対する不正なアクセス、妨害、不正操作と定義される)は、その発生から72時間以内

 にDFSに報告されなければいけない。 

(2) 規則の適用、遵守、運用にあたり考えられる課題

① 「サイバーセキュリティ事故」の定義があまりにも広い。

② 第三者取引先のサイバーセキュリティ規則遵守に責任を持つことはほとんど不可能といえる。

4.筆者から見た今後の検討課題

 筆者は従来からサイバーセキュリティ問題として、EUのサイバーセキュリティ指令やこれを受けた国内法立法例としてドイツの動きを取り上げている。再度、引用する。

(1) 2016.8.31 ブログ「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)を採択と今後の課題」(その

 1)」、「同(その2完)」 

(2) 2014.9.1 ブログ「ドイツ連邦内務省等がEUのNIS指令等に準拠するサイバーセキュリティ法案の新バージョ ン草稿を公開」 

 ニューヨーク州の規則をこれらと比較すると対象となる範囲が大きく異なる点は言うまでもないが、これらを比較した検討作業がわが国でも行なわれるべきであることは必須であるし、筆者も引き続き何らかの寄与ができれば幸いである。 

*********************************************************************************

(注1) いわゆる「安全法(Support Anti-terrorism by Fostering Effective Technologies Act: 効果的技術促進による反テロリズム支援法」)は、賠償責任を限定・管理するための法律で、2002年国家安全保障法の一部として成立した。

2002年、国土安全保障法(Public Law 107-296)の一環として、連邦議会は、「2002年効果的技術促進法(以下「安全法」という)による反テロリズム企業支援制度を創設した。この安全法は、テロ対策技術の開発と展開にインセンティブを与えるリスク軽減と訴訟回避システムを作り出すことにある。この法律の目的は、企業の賠償責任を負うことへの脅威が、効果的なテロ対策技術の潜在的な製造業者または売り手が人命を救う可能性のある技術の開発および商業化を阻止しないようにすることにある。このプログラムは、DHSの科学技術局(Science and Technology Directorate)8/31(21) の安全法部が管理する。科学技術局次長は、安全法の適用にかかる決定責任者であるである。(DHSサイトの原文をもとに翻訳ならびに補足を行った)

 (注2) ごく一般的説明ではあるが、DFSのサイトから局長の任務に関する説明文を仮訳しておく。

 局長は、保険法および銀行法の規定に従い、金融商品およびサービスのよりよい監督を行うために次の任務を行う。

① ニューヨーク州での金融業界の発展を促進し、思慮深い規制と慎重な監督を通じた州の経済発展を促進する。

② 金融商品やサービス提供者の持続的な支払い能力(solvency)、安全性、健全性、慎重な行動を確保する。

③ それら提供者の財務上の義務につき、公正でタイムリーかつ衡平な履行を確保する。

④ 金融商品やサービスの利用者につき、それらサービスに関し、金銭的に損失を受けた業者または破産した業者から保護

 する。

⑤ 誠実さ、透明性、公正なビジネスの実践および公的責任につき高い基準を推進する。

⑥ 金融業界の金融詐欺、その他の刑事上の不正行為や非倫理的行為を排除する。

⑦ 金融商品とサービスの利用者を教育、保護し、また金融商品やサービスに関する責任ある意思決定を行うためのタイム

 リーかつ理解可能な情報をユーザに提供する。 

(注3) 奈良房永氏のレポートから「『規則』の要旨」部を一部抜粋する。

 2017年より、対象となる企業は、広範囲にわたるサイバーセキュリティ計画および方針の設定、トレーニング体制、リスク分析と脆弱性評価、事故対応能力、およびその他の管理体制を構築することを求められています。さらにこの規則はサイバーセキュリティに関する方針、手順そしてさまざまなテスト計画と評価を定期的に行い、更新するよう求めています。 

(注4) ”23NYCRR500”について、protiviti「サイバーセキュリティ規制(概要)ニューヨーク州金融サービス局 23NYCRR500」が詳しく解説している。

*****************************************************************

Copyright © 2006-2017 芦田勝(Masaru  Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.  

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...