三菱UFJフィナンシャル・グループ(MUFG)およびグループ各社は6月26日、経団連が今年3月に公表した「経団連サイバーセキュリティ経営宣言」に基づき、MUFGの「サイバーセキュリティ経営宣言」を策定すると発表した。25日には、みずほフィナンシャルグループが同様の発表をしている。

同宣言の対象となるグループ会社は、三菱UFJ銀行、三菱UFJ信託銀行、三菱UFJ証券ホールディングス、三菱UFJニコス、アコム。

以下が、三菱UFJフィナンシャル・グループの「サイバーセキュリティ経営宣言」。

1. 経営課題としての認識

経営者自らが最新情勢への理解を深めることを怠らず、サイバーセキュリティを投資と位置づけて積極的な経営に取り組みます。また、経営者自らが現実を直視してリスクと向き合い、経営の重要課題として認識し、経営者としてのリーダーシップを発揮しつつ、自らの責任で対策に取り組みます。

お客さまの大切な資産を守ること、ならびに金融サービスを安全かつ安定的に稼働させることはMUFGの社会的責務であるとの認識のもと、サイバー攻撃等に関するリスクをMUFGのトップリスクの1つとして位置づけ、経営会議・取締役会等での議論・検証のもと、経営レベルでリスク対策を推進します。

  1. 経営方針の策定と意思表明

特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP(事業継続計画)の策定を行います。経営者が率先して社内外のステークホルダーに意思表明を行うとともに、認識するリスクとそれに応じた取り組みを各種報告書に自主的に記載するなど開示に努めます。

具体的には、サイバーセキュリティに関する経営方針に基づき、リスクの特定や防御の取り組みに加え、検知・対応・復旧をリードする専担ライン(MUFG-CERT)の設置、手続・マニュアルの整備、定期的な演習・訓練を通じたインシデント対応能力の強化、コンティンジェンシープランの整備を実施します。また、ディスクロージャー誌等を通じてセキュリティ強化の取り組みについて開示します。

  1. 社内外体制の構築・対策の実施

予算・人員等のリソースを十分に確保するとともに、社内体制を整え、人的・技術的・物理的等の必要な対策を講じ、経営・企画管理・技術者・従業員の各層における人材育成や教育を行います。また、取引先や委託先、海外も含めたサプライチェーン対策に努めます。

具体的には、サイバーセキュリティに係る専担組織を置き、必要な予算・人員等のリソースを確保いたします。セキュリティ教育プログラム等を整備し人材育成を図ると共に、金融ISACとの協働活動等を通じ広く業界内にノウハウを共有します。先進技術を活用したセキュリティ対策の実施に努めます。また、クラウドサービス等の委託先や海外も含めたサイバーセキュリティ対策状況のモニタリングを通じてサプライチェーン対策を実施します。

  1. 対策を講じたシステムやサービスの社会への普及

システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努めます。

例えば、インターネットバンキング等のサービスを安心・安全にご利用いただくために、ワンタイムパスワードカード及びスマートフォンアプリを配布するなど、お客さまにおいてご利用可能なセキュリティ対策を充実させるとともに、不正な取引のモニタリングを実施します。

新たなシステムやサービスの開発時には安全なセキュリティ対策を実施し、お客さまが使いやすく安心してご利用いただけるサービスの提供に努めます。

  1. 安心・安全なエコシステムの構築への貢献

関係官庁・組織・団体等との連携のもと、積極的な情報提供による情報共有や国内における対話、人的ネットワーク構築を図ります。また、各種情報を踏まえた対策に関して注意喚起することによって、社会全体のサイバーセキュリティ強化に貢献します。

具体的には、金融庁、内閣サイバーセキュリティセンター、情報処理推進機構、警察などの関係省庁等と適時適切な連携を行うと共に、金融ISAC、FS-ISACのほか、ICT-ISAC等も含めた国内外のクロスセクターとの情報共有と活用を推進し、グローバルベースで社会全体のサイバーセキュリティの向上に貢献します。