IAIS保険者のサイバーセキュリティ監督に係る文書案に意見提出
2018.08.16
市中協議で金融機関向け汎用ガイドラインをベースとした検討と保険者の裁量確保を要望
日本損害保険協会(会長:西澤 敬二)では、保険監督者国際機構(IAIS) (※1)が公表した「保険者のサイバーセキュリティ監督に係るアプリケーション・ペーパー(※2)案」に対する意見を8月9日(木)に提出しました。
本文書は、保険者のサイバーリスク、サイバーセキュリティおよびサイバー攻撃耐性の監督手法を開発・強化している監督者向けにさらなる指針を提供することを目的に主に次の内容をまとめたもので、6月29日(金)から8月13日(月)まで市中協議(パブリック・コメント)に付されました。
<文書の主な内容>
- 保険者のサイバーリスク、サイバーセキュリティおよびサイバー攻撃耐性の監督手法を開発・強化している監督者向けの指針提供。
- 保険者も、良好なサイバーセキュリティ慣行の開発・実施に役立てるために、本文書を検討することが奨励される。
- 継続的に発展する脅威の性質および規制の一貫性の利益を認識し、プリンシプルベースを採用。
- 「金融セクターのサイバーセキュリティに関するG7の基礎的要素(G7FE)」、「金融セクターのサイバーセキュリティの効果的な評価に関するG7の基礎的要素(G7FEA)」および「CPMI-IOSCO金融市場インフラのためのサイバー攻撃耐性に係るガイダンス(CPMI-IOSCOガイダンス)」を含む複数の文書のフレームワークおよび指針に基づいて構築。
- サイバー保険は取り上げていない。
- 網羅的であること、規範的であることを意図していない。
- 日本を含む各国の現行監督規制に新たな要件を求めるものではない。
当協会では、本文書の方向性に賛同しつつ、サイバーセキュリティリスクは保険会社固有の課題ではないことなどを踏まえ、金融機関向けの汎用のガイドラインをベースに検討を行う方が妥当であることを指摘するとともに、監督者や保険者が問題の重要性に応じて裁量を持てる内容とするよう要望しました。
<当協会意見概要>
- 全体的に、記述してある内容は正しい方向性である。
- サイバーセキュリティリスクは保険会社固有の課題ではなく、他の金融機関等に対するガイドラインや規制との整合性を保持し、重複を回避する必要があることから、金融機関向けの汎用のガイドラインをベースに検討を行う方が妥当。
- 取締役会と経営陣の間の役割や責任の配分、考慮すべきサイバーイベントのレベル感や内容等について、監督者や保険者が重要性に応じて裁量を持てる記載にすべき。
- 当該保険者の事業規模、複雑性、事業特性などに応じた統治形態が容認されるべき。
- 「FS-ISAC」、「金融ISAC」への参加判断は、保険会社が自己の責任で適切に行うべき。
IAISは、今回の市中協議に寄せられた意見を参考にさらなる検討を進める予定です。
当協会は、IAISにおける国際保険監督基準策定の議論に積極的に参加しており、今後も関係国際機関等に対して本邦業界の意見を表明していきます。
(※1)保険監督者国際機構(IAIS)の概要
1994年に設立され、世界約150カ国・地域の保険監督当局(メンバー)で構成。主な活動は以下のとおり。
1)保険監督当局間の協力の促進
2)保険監督・規制に関する国際基準の策定および導入促進
3)メンバー国への教育訓練の実施
4)金融セクターの他業種の規制者等との協力
※日本からはメンバーとして金融庁が参加しており、当協会もステークホルダーとして積極的に関与する方針を掲げている。
(※2)アプリケーション・ペーパー
IAISの監督文書(ICP、ComFrame等)の特定のテーマにおいて、原則や基準の一律な解釈や適用が難しい場合に、事例やケーススタディを提供することを目的に作成される文書。助言や具体例、推奨、事例などを含む。
本市中協議文書(原文)は、こちら(※) でご覧いただけます。