福島印刷サービスサイトTOPへ

MENU

close

  1. サービスサイトTOP
  2. サービス
  3. コラム・事例
  4. 資料・テンプレート請求
  5. お問い合わせ

コラム

ダイレクトメールに関する情報をお届けするサービスサイト コラム・事例 印刷会社のセキュリティコラム5|「金融分野におけるサイバーセキュリティに関するガイドライン」

印刷会社の情報セキュリティコラム5|金融分野のサイバーセキュリティガイドライン

金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」

金融庁から2024年に公表

2024年10月4日、金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」
金融機関全般におけるサイバーセキュリティ対策を強化するガイドラインとして、「基本的な対応事項」と「対応が望ましい事項」を176項目定めています。

公表からしばらく経ち、すでに各金融機関で、自社のサービス内容や業務リスクに合わせた具体的な対応策が動き出しているのではないでしょうか?

【参考】金融庁「金融分野におけるサイバーセキュリティ対策について」
https://www.fsa.go.jp/policy/cybersecurity/index.html
 

ガイドラインに定められた主なポイント6つ

リスク管理態勢6つのポイント

ガイドラインでは「サイバーセキュリティの管理態勢」において、以下6つのポイントを挙げています。

● 1.  サイバーセキュリティ管理態勢の構築
2.  リスクの特定
3.  攻撃からの防御
4.  攻撃の検知
5.  インシデント対応・復旧
6.  サードパーティリスク管理

一口に「金融機関」と言っても、メガバンクなのか、地域に根付いた信用金庫なのか、クレジットカード会社や保険会社なのか…によって、各ポイントにどれだけの対策を講じるべきか、の優先度や重みが変化しますね。
本ガイドラインにおいても、書いてあることをただ形式的に守るというより、ガイドラインが定める内容を各自で検討・リスク評価し、効果的に対応していくことを求めているように感じます。
 

注目したいのは「サードパーティリスク管理」

今回注目したいポイントは、6.サードパーティリスク管理

【今さら聞けない…「サードパーティ」って?】
マーケティングにおいては、第三者企業が収集したデータや、サービス提供会社を指す場合が多いですね。IT分野では、第三者のサービスプロバイダーや開発者を…要するに、自社や自社のお客さまではない、第三者のことを指す広義の表現です。

本ガイドラインの文脈では、
● 金融機関のシステムの設計・開発・保守等を委託されるシステム開発会社
● 金融機関へツール提供するソフトウェア事業者
● 金融機関にクラウドサービスを提供する事業者
● 金融機関の各種IT運用を委託される事業者
● クレジットや電子マネーの決済サービス等を提供する事業者

などなど…ITやシステム分野だけでも多くの関係先に影響がありそうですが、本ガイドラインにおけるサードパーティ範囲は業務委託先等の外部事業者全般を想定しており、特に分野を限定していません。
 

サードパーティって?

「サイバーセキュリティ」って言ってるのに、
IT分野以外も影響があるの!?

実は、私たち印刷会社にとっても、大いに関係のある事象なのです。
外部(お客さま等)と「デジタル化された情報」をやりとりする以上、ネットワークを介して行われるサイバー攻撃の被害に遭うリスクは免れないためです。
特に金融機関が発行する印刷物においては、お客さまの個人情報や機密情報、機微な情報が含まれる場合も大いにあるでしょう。
紙通知物の委託においても、「サードパーティリスク管理」の対象となるわけです。

金融取引や保険契約等において、求められるのは圧倒的な信頼性の高さですよね。大事なやりとりであるほど、印刷物特有の物理的な安心感は、切っても切り離せません。

他にも、紙の廃棄業者や配送業者、人材派遣会社やマーケティング・調査会社、さらには清掃や食堂の業者まで…!? 関係候補を挙げ出すときりが無いですね。
 

紙通知物の持つ物理的信頼感

無視できない、
委託先(サードパーティ)事故の影響

サードパーティリスク管理が重要視され得る要因として、昨今の、委託先(サードパーティ)事故の影響も無視できないでしょう。

直近では、ソフトバンクにおける「業務委託先企業による個人情報漏えい」事故が印象的です。最大約14万件もの個人情報が流出した可能性があると発表されました。
https://www.softbank.jp/corp/news/press/sbkk/2025/20250611_01/

電話による営業業務等を委託していたサードパーティ先で、契約内容に違反した個人情報の取り扱いが発生してしまったとのこと。
多くの企業・組織にとっても、委託先管理の重要性を再認識する事故となりました。
 

委託先が遵守すべきサイバーセキュリティ要件を明確化

「金融分野におけるサイバーセキュリティに関するガイドライン」においては、サードパーティが遵守すべき要件を明確化の上、重要度に応じて契約等に明記することが求められています。項目の例は、以下の図の通りです。

契約で明示すべき内容いろいろ!

…こう沢山並べると、とても厳しい!と感じてしまいますが、どれも情報の取扱いにおいては重要な項目ですね。
大切なのは、明示によって、金融機関とサードパーティ双方が「責任(リスク)共有」を行えるということではないでしょうか。

もちろん昨今の事故事例も踏まえ、契約を取り交わすだけでは不十分で、この内容がちゃんと実践されているのか? 現地視察を含めた定期的な委託先監査も必要になるでしょう。
 

福島印刷の委託先監査

【関連ページ】
福島印刷では、年間約100件の「委託先実地監督」を受けております。
北陸・石川県金沢(とさいたまのサテライト工場)で、お客様のお越しをお待ちしております。
詳しくはこちらか、イラストをクリック!

金融機関の業務を行う委託先にとっては、
要求や監査が厳しくなるかも!?

金融機関から業務委託を受ける企業・組織にとっては、今後ますます監理体制が厳しくなっていくことが予想されます。
受託情報における取扱いや管理体制、保護措置等でこれまで以上の要求が求められる可能性があります。
金融機関を利用するすべての人や社会全体の信頼を守る大切な取り組みとして、サプライチェーン全体で受け入れていきたいですね。

福島印刷株式会社としても、お客さまの要求や監査に応えていけるよう、必要に応じて管理策改善を検討していきたいと思います。

サプライチェーン全体で安全意識を!

まとめ

お問い合わせはこちらから

本記事では、「金融分野におけるサイバーセキュリティに関するガイドライン」から、特に「サードパーティリスク管理」の部分を委託先となり得る印刷会社の視点で読み解きました。
今後も、各業種の最新情報をチェックしながら、情報発信をしていけたらと思います。

福島印刷では、お客様よりお預かりした個人情報を安全に取り扱うため、日々マネジメントシステムの運用を行っています。
その他、当社の情報セキュリティの取り組みについて知りたい方、個人情報を含むデータ処理を伴う通知物、DM制作の委託先をお探しの方は、ぜひこちらからご連絡ください。