WP NYDFSとは - JP
NYDFSとは

ニューヨーク州金融サービス局サイバーセキュリティ規制、23 NYCRR 500

2017年3月1日に、ニューヨーク州金融サービス局(NYDFS)は、金融機関に対してサイバー犯罪行為がもたらす脅威の増大に対処する金融機関向けのサイバーセキュリティに関する新規制を導入しました。新規制には、金融業界における顧客データと業務セキュリティの保護を規制する狙いがあります。

このEブックでは、セキュリティとコンプライアンスに携わる責任者向けに、NYDFSの新規制が組織にどのように適用されるのか、どのような影響があるのかについて解説します。

新規制の影響先

新規制は金融サービス局(DFS)の規制対象となるすべての会社、ならびに州外および海外の支店に適用され、各社に対してサイバーセキュリティのリスクプロファイルの評価と、かかるリスクを認識かつ軽減する総合的な計画の導入を求めるものです。DFSはニューヨークに拠点を持つ海外銀行の支店を検査する権利を保持しており、すべての金融機関に対して23 NYCRR Part 500の安全策と保護に合致するサイバーセキュリティ保護を取り入れるよう強く勧めています。

金融サービス局によって規制される組織の種類は次のとおりです。

  • ニューヨーク州で事業を行う認可された米国以外の銀行
  • 認可された貸金業者
  • 州認定銀行
  • 信託会社
  • サービス契約プロバイダー
  • プライベートバンカー
  • 住宅ローン会社
  • ニューヨーク州で事業を行う保険会社

適用除外

本規制には次の組織に対して制限付きの適用除外があります。

  • 社員10人未満
  • 3年間にわたり年間総収益が500万ドル未満、または
  • 年末の総資産が1,000万ドル未満

NYDFS規制の遵守方法

NYDFSサイバーセキュリティ規制23 NYCRR Part 500の対象となるすべての法人は、初回の年次法令遵守証明書を2018年2月15日までにNYDFS局長室に提出することが義務付けられています。規制遵守の導入プロセスは、4段階からなります。

段階                                                                                       発効日
第1段階 - 基礎的要件                                          2018年2月15日
第2段階 - 評価、認知、報告                            2018年3月1日
第3段階 - 監査証跡、手順、統制                   2018年9月3日
第4段階 - 第三者サービスプロバイダー     2019年3月1日

第1段階 - 基礎的要件。2018年2月15日発効:対象となる法人には、正式なサイバーセキュリティプログラムおよび方針の導入と維持管理、最高情報セキュリティ責任者(CISO)の任命、定期的なユーザーアクセス権の見直し、資格を満たすサイバーセキュリティ要員の採用、書面によるインシデント対応計画の策定が求められます。

第2段階 - 評価、認知、報告。2018年3月1日発効:対象となる法人には、定期的なペネトレーションテスト(侵入テスト)と脆弱性評価の実施、情報システムのリスク評価の実施、多要素認証またはリスクベース認証の使用、全従業員に対する定期的なサイバーセキュリティ認知度向上トレーニングの提供が求められます。CISOは、対象法人のサイバーセキュリティプログラムおよび重大なサイバーセキュリティリスクを報告するものとします。

第3段階 - 監査証跡、手順、指針、統制。2018年9月3日発効:対象となる法人には、サイバーセキュリティ事象の検知と対応のために設計された監査証跡の維持管理が求められます。同時に、アプリケーションセキュリティ、および非公開情報の維持、処分、アクセスモニタリングに関して、書面による手順、指針、基準を策定することが義務付けられます。

第4段階 - 第三者ポリシー。2019年3月1日発効:対象となる法人には、第三者のサービスプロバイダーがアクセスできる情報システムおよび非公開情報のセキュリティを確保するために設計された、書面による方針および手順の導入が求められます。本規制では、対象法人の第三者サービスプロバイダーにも規制遵守を義務付けています。

規制不遵守の影響

NYDFSは規制不遵守の影響について、違反があった場合には可及的速やか(違反発生後72時間以内)に局長に報告するという要件以外には、具体的な情報を示していません。しかしながら、同様のグローバル規制の下で課された罰金の性質や、ニューヨーク州銀行法に概説された罰則を考慮すると、NYDFS規制の不遵守に対する罰則は同様に厳しいものとなるでしょう。風評被害、ビジネスの逸失、規制当局による監視強化といったそれ以外の結果も招くことになるため、規制不遵守のリスクを負う価値はありません。

今後の動き

規制の最終段階の期限は2019年3月1日でした。金融機関は現在、導入後の段階にあります。世界中で新規制が導入されるにつれ、企業はデータセキュリティに対してより真剣に取り組むようになっています。NYDFS規制は、このような動きを示す事例の1つです。米国では、州法に準拠して規制が導入されます。NYDFSに続いて、まもなくCCPA(カリフォルニア州消費者プライバシー法)が導入される予定です。規制強化は不可避です。金融機関はGDPRやNYDFS遵守の取り組みについて万全な準備が整っていることでしょう。堅牢なデータ中心のセキュリティプログラムを具備することは、あらゆるデータ保護規制の遵守や、最終的にはデータ漏洩から会社を守るために極めて重要です。

NYDFS規制についての詳細は、こちらからEブックをご一読ください。