このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第4章 日本の金融機関が参考とすべき対策方針、対策基準
金融行政の質を高め、日本の金融力を高め、経済の潜在力が十全に発揮されるようにするには、従来のやり方では、重箱の隅をつつきがちで、重点課題に注力できないのではないかとの問題意識から、金融検査マニュアルは令和元年12月18日に廃止し、重点課題に 焦点を当てる「全体を見た、 実質重視の最低基準検証」へと検査・監督基本方針が変更されました。 「金融検査・監督の考え方と進め方 (検査・監督基本方針)」(平成30年6月、金融庁)によれば、今後の最低基準検証の進め方 として、以下のような点を最低基準検証の方針とするとしている。
- チェックリストの個別項目を満たしているか否かではなく、ガバナンス、企業文 化、内部管理態勢が全体として必要な実効性を有しているか否かを評価するこ とを検証の目的とする。
- 個別の内部規程の策定・実施状況の確認等で、金融機関自身に委ねるべきものは委ねる。
- 一旦受けた指摘に対する対応が固定化することのないよう、金融機関が過去 の報告で示した改善の方法について修正を行うための手順を整備し、状況に 応じた変更を容易にする。Q&Aや法令適用事前確認手続(ノーアクション・レタ ー制度)を利用しやすいものとしていく。
- 個別の非違事項が見出された場合にも、一律に同程度の改善策を求めるので はなく、ガバナンスや企業文化を含めた根本原因に遡って分析し、その重要性 を判断して、重要性に応じた対応を行う。根本原因の分析にあたっては、事実 に基づき金融機関との間で十分議論を行い、安易に個別事案とガバナンス・企 業文化を結びつけるのではなく、真に解くべき課題の構造をよく見極める。
- 個々の問題事象の検証と同種の問題の再発防止のみに集中するのではなく、 問題事象の根本原因の追求を通じて、同原因の問題が形を変えて発生するこ とを防ぐことが重要であり、将来に向けた実効性ある改善策を議論し、改善状 況を継続的にフォローアップする。
- 個別の規定の適用にあたっても、趣旨・目的に遡って法令の全体構造を把握し た上で、保護すべき重要な利益を特定し、対応を判断する。
詳細は分野別の「考え方と進め方」で示され、情報セキュリティの関連では、「金融機関のITガバナンスに関する 対話のための論点・プラクティスの整理 」(令和元年6月、金融庁)がある。これによれば、これまでは検査マニュアルの「オペレーショナル・リスク 管理態勢の確認検査用チェックリスト」の別紙(システムリスク管理態勢)を、 検査・監督において利用し、同チェックリストにおいて、検査官がさらに深く業務の具体的検証をする場合には「安全対策基準・解説書」等に基づき確認するとしていたことから、各金融機関においても、同チェックリストや同基準・解説書が定着している、とし、金融機関においては、検査マニュアルの廃止後も、一般に存在する各種ガイドライン等が活用され、より良い実務に向けた創意・工夫が積み重ねられることが期待される、としている。なお、注において、金融機関に活用されている各種ガイドライン等として、公益財団法人金融情報システムセンター(FISC)の「金融機関等コン ピュータシステムの安全対策基準・解説書」及び「金融機関等のシステム監査基準」、情報システムコントロール協会(ISACA) の「Control OBjectives for Information and related Technology(COBIT)」、経済産業省(METI)の「システム管理基準」及 び「システム監査基準」などが想定される、としているので、これらのガイドラインを活用し、システムリスク管理態勢を強化していくことが求められます。特に「金融機関等コンピュータシステムの安全対策基準・解説書」は、今後も金融機関が参考とすべき対策基準として活用されていくものと思われます。
(以上、出典:「金融検査・監督の考え方と進め方 (検査・監督基本方針)」(平成30年6月、金融庁)、
「金融機関のITガバナンスに関する 対話のための論点・プラクティスの整理 」(令和元年6月、金融庁))
「金融機関等コン ピュータシステムの安全対策基準・解説書」について
(1) 情報システムの多様化に伴う抜本的見直し
安全対策基準が作られた当時、金融機関等の主要な情報システムは、基幹業務系のコンピ ュータシステムであったため、安全対策基準の初版では、その適用対象とする情報シ ステムを、「金融機関等のオンラインシステム」としていた。その後、IT の進展に伴い、金融機関等の情報システムはその範囲が広がり、基幹業務系以外の情報システムが大きなウエ イトを占めるようになり、ホストコンピュータ中心 からクライアントサーバー等の分散処理型のシステムへの移行が進み、サービス利用についても、共同センターやクラウドサービス利用の増加、FinTech 企業等と連携した金融関連サ ービスの登場等、多様化してきました。
しかし、多様化する基幹業務系以外の情報システムにおいては、安全対策基準の適用の考え方が具体的に示されず、その結果、安全対策の 程度に過不足が生じ、場合によっては、新規開発への投資が抑制される等、経営資源が適切 に配分されないといった懸念が生じてきました。
そうした状況を踏まえ、公益財団法人金融情報システムセンター(FISC)において、外部への統制の拡充のほか、リスクベースアプローチの考え方に従 った IT ガバナンス等、安全対策基準の抜本的な見直しを含む提言が行われました。
すなわち、ITガバナンスにおいては、経営層は安全対策に係る以下の重要事項を決定することが求められます。
(a) 安全対策に係る方針の決定
i. システム戦略方針の決定
ii. システムリスク管理方針の決定
iii. 安全対策の達成目標の決定
iv. 安全対策へ投下する経営資源の決定
(b) 安全対策に携わる業務執行体制及びモニタリング体制の決定
また、管理者は、経営層による IT ガバナンスのもとで、情報システムの執行部門(システム担当・システムリスク管理担当等)に対して、IT に関する業務執行 の管理を行いますが、IT マネジメントにおいて、管理者等の関係者は以下の役割と責任を果たすことが求められます。
a. 管理者
管理者は、経営層による IT ガバナンスのもとで、システム担当(部門)やシステム
リスク管理担当(部門)等を統括し、安全対策上必要となる IT マネジメントを担当す
る。また、経営層に対しては、IT ガバナンスにおいて必要となる情報を、迅速かつ
正確に報告する。
・内部規程・組織体制等の整備・見直し
・個々の情報システムに対する安全対策の決定
・安全対策上必要となる情報の経営層への報告
b. 経営企画担当(部門)
安全対策を含むシステム化事案の決定において、担当(部門)間の調整結果をもとに、
必要に応じて経営資源投下に関する優先度を評価する等、経営層の意思決定をサポー
トする。
c. ユーザー(部門)
経営戦略実現のために、ビジネス(商品・サービス・事務)等の企画に携わるととも
に、管理者等の関係者に対してシステム化の有用性・経営戦略への目的適合性等の説
明を行い、システム開発着手時には、システム担当(部門)に対して業務要件を提示する。
(2) リスクベースアプ ローチの採用
リスクベースアプ ローチとは、リスク特性の分析結果を安全対策の優先順位など、金融機関等が安全対策を決定するための合理的な意思決定に活用する考え方をいいますが、この際、金融機関等の経営資源が有限である点を踏まえ、リスクゼロを追求することは必ずしも合理的ではないという認識に基づき、安全対策に対する資源配分を経営資源全体の中で調整していくこととなります。つまり、限られた経営資源の中では、コンティンジェンシープラン等の事後対策を手当てしたうえで、リスクを受容する判断も取り得ることを意味します。
IT ガバナンス及び IT マネジメントを適切かつ効果的に発揮していくためには、経営層が、既存の考え方に縛られることなく、多様で主体的な創意工夫を発揮し、安全対策にお ける、統制と実務の適切なバランスを確保することが望ましいことから、安全対策基準を「統制」に関する基準と「実務」に関する基準に分け、さらに、 統制に関連した基準を自組織内に対する「内部の統制」と、外部委託管理等を通じて外部 (委託先等の他組織)への統制を発揮していくための「外部の統制」に分けている。一方、 「実務」に関する基準は、テクノロジーの進展により、常に変化していく部分であり、IT マネジメントを具体的に実行するための基準として、対象とするシステムや、各局面に応 じた対策を設けています。
その結果、安全対策基準は、「統制基準」「実務基準」「設備基準」「監査基準」の 4 編で構成される形となりました。
a. 統制基準
IT ガバナンスや IT マネジメントを行ううえで必要な管理体制の整備のための「内部の統制」及び「外部の統制」に関する基準項目から構成される。内部の統制に関する基準は、方針の策定や、社内体制の整備、人材育成・訓練等に関する対策を記載している。 外部の統制に関する基準は、契約手続きや委託先の業務管理等、金融情報システムを外部へ委託するうえで必要となる対策を記載しています。
b. 実務基準
金融情報システムの信頼性・安全性の向上を図るために必要となる、情報セキュリティ、システム運用等に関する基準項目から構成される。実務基準には、オペレーション 等、管理者や作業者が主体となる対策や、個別の業務・サービスに関する対策、関連する技術的対策が含まれます。
c. 設備基準
コンピュータシステムが収容される建物や設備を、自然災害、不正行為等から防護するための基準項目から構成される。設備基準には、コンピュータセンターの建物・付帯 施設及び設備、本部・営業店等の建物・付帯施設及び設備、流通・小売店舗等と提携し てサービスを提供する場合の建物・付帯施設及び設備に関する対策を記載しています。
d. 監査基準
統制、実務及び設備に対する監査に関する基準項目から構成される。監査基準には、 監査体制の整備や手順等について記載しています。
安全対策基準では、金融機関等がリスク特性に応じた安全対策の目標を定めるにあたり、不確実性を低減させることを目的に、「基礎基準」を設定しています。一方で、「基礎基準」以外の基準 は、リスク特性に応じて選択・追加する「付加基準」としています。なお、「設備基準」については、設備に設置するコンピュータシステムに求められる基準を一意に定めることが困難で あることから、「基礎基準」・「付加基準」の区分を行っていません。
「基礎基準」は、特定システム・通常システムによらず、金融情報システムが最低限適用 する基準です。すべての金融情報システムにおいて安全対策を決定、実施していくためには、セキュリテ ィポリシーや、外部委託に関する方針が整備され、必要な人員が確保・教育されるなど、IT ガバナンスが適切に発揮されていることが必要です。このため、まず内部及び外部の統制 並びに監査に関する基準を「基礎基準」としています。
リスクベースアプローチでは、リスク特性に応じて適切な内容で安全対策を決定していくこととなります。金融機関等は、安全対策基準の適用対象となる各システムのリスク特性を洗い出し、安全対策の目標を定め、必要となる基準及び安全対策の選択を行います。安全対策の目標に対し、安全対策の費用対効果、新規開発の費用対効果、それぞれが最大となるよう経営資源配分を考慮し、最終的に安全対策を決定していきます。その結果、残存するリスクを踏まえ、必要に応じてコンティンジェンシープランを策定します。
(3) 対策基準はどのようなものがあるか。
それでは具体的にどのような対策基準があるのか、対策基準の項目名のみ、以下に列挙しておきます。詳細は、公益財団法人金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準・解説書第9版令和2年3月版」をご参照下さい。公益財団法人金融情報システムセンター(FISC)のウェブサイトから3,000円で購入できます。
a. 統制基準
1 内部の統制
(1)方針・計画
統1 システムの安全対策に係る重要事項を定めた規程を整備すること。
統2 中長期的視点に立ったシステムの企画・開発・運用に関する計画を策定すること。
統3 システム開発計画は中長期システム計画との整合性を確認するとともに、承認を得ること。
(2)組織体制
統4 セキュリティ管理体制を整備すること。
統5 サイバー攻撃対応態勢を整備すること。
統6 システム管理体制を整備すること。
統7 データ管理体制を整備すること。
統8 ネットワーク管理体制を整備すること。
統9 業務組織を整備すること。
統10 防災組織を整備すること。
統11 防犯組織を整備すること。
統12 各種業務の規則を整備すること。
(3)管理状況の評価
統13 セキュリティ遵守状況を確認すること。
(4)人材(要員・教育)
統14 セキュリティ教育を行うこと。
統15 要員に対するスキルアップ教育を行うこと。
統16 障害時・災害時に備えた教育・訓練を行うこと。
統17 防災・防犯訓練を行うこと。
統18 要員の人事管理を行うこと。
統19 要員の健康管理を行うこと。
2 外部の統制
(1)外部委託管理
統20 外部委託を行う場合は、事前に目的、範囲等を明確にするとともに、
外部委託先選定の手続きを明確にすること。
統21 外部委託先と安全対策に関する項目を盛り込んだ契約を締結すること。
統22 外部委託先の要員にルールを遵守させ、その遵守状況を確認すること。
統23 外部委託における管理体制を整備し、委託業務の遂行状況を確認すること。
(2)クラウドサービスの利用
統24 クラウドサービスを利用する場合は、クラウドサービス固有のリスクを
考慮した安全対策を講ずること。
(3)共同センター
統25 共同センターにおける緊急事態の発生に備えて安全対策を講ずること。
(4)金融機関相互のシステム・ネットワークのサービス
統26 金融機関相互のシステム・ネットワークのサービス利用にあたっては、適切
なリスク管理を行うこと。
b. 実務基準
1 情報セキュリティ
(1)データ保護
実1 他人に暗証番号・パスワード等を知られないための対策を講ずること。
実2 相手端末確認機能を設けること。
実3 蓄積データの漏洩防止策を講ずること。
実4 伝送データの漏洩防止策を講ずること。
実5 ファイルに対するアクセス制御機能を設けること。
実6 不良データ検出機能を充実すること。
実7 伝送データの改ざん検知策を講ずること。
(2)不正使用防止
実8 本人確認機能を設けること。
実9 ID の不正使用防止機能を設けること。
実10 アクセス履歴を管理すること。
実11 取引制限機能を設けること。
実12 事故時の取引禁止機能を設けること。
実13 電子化された暗号鍵を蓄積する機器、媒体、またはそこに含まれるソフトウェ
アには、暗号鍵の保護機能を設けること。
(3)外部ネットワークからの不正アクセス防止
実14 外部ネットワークからの不正侵入防止策を講ずること。
実15 外部ネットワークからアクセス可能な接続機器は必要最小限にすること。
(4)不正検知策
実16 不正アクセスの監視機能を設けること。
実17 異常な取引状況を把握するための機能を設けること。
実18 異例取引の監視機能を設けること。
(5)不正発生時の対応策
実19 不正アクセスの発生に備えて対応策、復旧策を講じておくこと。
(6)不正プログラム対策
実20 コンピュータウイルス等の不正プログラムへの防御対策を講ずること。
実21 コンピュータウイルス等の不正プログラムの検知対策を講ずること。
実22 コンピュータウイルス等の不正プログラムによる被害時対策を講ずること。
2 システム運用共通
(1)マニュアルの整備
実23 通常時マニュアルを整備すること。
実24 障害時・災害時マニュアルを整備すること。
(2)アクセス権限の管理
実25 各種資源、システムへのアクセス権限を明確にすること。
実26 パスワードが他人に知られないための措置を講じておくこと。
実27 各種資源、システムへのアクセス権限の付与、見直し手続きを明確にすること。
(3)データ管理
実28 データファイルの授受・管理方法を明確にすること。
実29 データファイルの修正管理方法を明確にすること。
実30 暗号鍵の利用において運用管理方法を明確にすること。
(4)オペレーション習熟
実31 オペレーション習熟のための教育及び訓練を行うこと。
(5)コンピュータウイルス対策
実32 コンピュータウイルス対策を講ずること。
(6)外部接続管理
実33 接続契約内容を明確にすること。
実34 外部接続における運用管理方法を明確にすること。
3 運行管理
(1)オペレーション管理
実35 オペレータの資格確認を行うこと。
実36 オペレーションの依頼・承認手続きを明確にすること。
実37 オペレーション実行体制を明確にすること。
実38 オペレーションの記録、確認を行うこと。
(2)データファイル管理
実39 データファイルのバックアップを確保すること。
(3)プログラムファイル管理
実40 プログラムファイルの管理方法を明確にすること。
実41 プログラムファイルのバックアップを確保すること。
(4)ネットワーク設定情報管理
実42 ネットワークの設定情報の管理を行うこと。
実43 ネットワークの設定情報のバックアップを確保すること。
(5)運用時ドキュメント管理
実44 運用時のドキュメントの保管管理方法を明確にすること。
実45 災害時の復旧対応に必要なドキュメントのバックアップを確保すること。
(6)運行監視
実46 システムの運行状況の監視体制を整備すること。
4 各種設備管理
(1)資源管理
実47 各種資源の能力及び使用状況の確認を行うこと。
(2)機器の管理
実48 ハードウェア及びソフトウェアの管理を行うこと。
実49 機器の管理方法を明確にすること。
実50 ネットワーク関連機器の保護措置を講ずること。
実51 機器の保守方法を明確にすること。
実52 機器の予防保守を実施すること。
(3)コンピュータ関連設備の保守管理
実53 コンピュータ関連設備の管理方法を明確にすること。
実54 コンピュータ関連設備の保守方法を明確にすること。
実55 コンピュータ関連設備の能力及び使用状況の確認を行うこと。
(4)入退館(室)管理
実56 入館(室)の資格付与及び鍵の管理を行うこと。
実57 入退館管理を行うこと。
実58 入退室管理を行うこと。
実59 入室後の作業を管理すること。
(5)監視
実60 各種設備の監視体制を整備すること。
5 システムの利用
(1)取引の管理
実61 各取引の操作権限を明確にすること。
実62 オペレータカードの管理を行うこと。
実63 取引の端末機操作の内容を記録・検証すること。
実64 顧客からの届出の受付体制を整備し、事故口座の管理を行うこと。
(2)入出力管理
実65 データの入力管理を行うこと。
実66 出力情報の作成、取扱いについて、不正防止及び機密保護対策を講ずること。
(3)帳票管理
実67 未使用重要帳票の管理方法を明確にすること。
実68 重要な印字済帳票の取扱方法を明確にすること。
(4)顧客データ保護
実69 顧客データの保護策を講ずること。
6 緊急時の対応
(1)障害時・災害時対応策
実70 障害時・災害時の関係者への連絡手順を明確にすること。
実71 障害時・災害時復旧手順を明確にすること。
実72 障害の原因を調査・分析すること。
(2)コンティンジェンシープランの策定
実73 コンティンジェンシープランを策定すること。
(3)バックアップサイト
実74 バックアップサイトを保有すること。
7 システム開発・変更
(1)システム開発・変更管理
実75 システムの開発・変更手順を明確にすること。
実76 テスト環境を整備すること。
実77 本番への移行手順を明確にすること。
(2)開発・変更時ドキュメント管理
実78 開発・変更時のドキュメントの作成手順を明確にすること。
実79 開発・変更時のドキュメントの保管管理方法を明確にすること。
(3)パッケージの導入
実80 パッケージの評価体制を整備すること。
実81 パッケージの運用・管理体制を明確にすること。
(4)システムの廃棄
実82 システムの廃棄計画を策定するとともに、廃棄手順を明確にすること。
実83 システム廃棄時の情報漏洩防止対策を講ずること。
8 システムの信頼性向上対策
(1)ハードウェアの予備
実84 本体装置の予備を設けること。
実85 周辺装置の予備を設けること。
実86 通信系装置の予備を設けること。
実87 回線の予備を設けること
実88 端末系装置の予備を設けること。
(2)ソフトウェア等の品質向上対策
実89 必要となるセキュリティ機能を取り込むこと。
実90 設計段階におけるソフトウェアの品質を確保すること。
実91 プログラム作成段階における品質を確保すること。
実92 テスト段階におけるソフトウェアの品質を確保すること。
実93 プログラムの配布を考慮したソフトウェアの信頼性を確保すること。
実94 パッケージ導入にあたり、ソフトウェアの品質を確保すること。
実95 定型的な変更作業時の正確性を確保すること。
実96 機能の変更、追加作業時の品質を確保すること。
実97 ファイルに対する排他制御機能を設けること。
実98 ファイル突合機能を設けること。
(3)運用時の信頼性向上対策
実99 オペレーションの自動化、簡略化を図ること。
実100 オペレーションのチェック機能を充実すること。
実101 負荷状態の監視制御機能を充実すること。
(4)障害の早期発見・回復機能
実102 システム運用状況の監視機能を設けること。
実103 障害の検出及び障害箇所の切り分け機能を設けること。
実104 障害時の縮退・再構成機能を設けること。
実105 障害時の取引制限機能を設けること。
実106 障害時のリカバリ機能を設けること。
9 個別業務・サービス
(1)カード取引サービス
実107 カードの管理方法を明確にすること。
実108 カード取引等に関する犯罪について注意喚起を行うこと。
実109 CD・ATM 等の機械式預貯金取引における正当な権限者の取引を確保すること。
実110 指定された口座のカード取引監視方法を明確にすること。
実111 カードの偽造防止対策のための技術的措置を講ずること。
(2)インターネット・モバイルサービス
実112 インターネット・モバイルサービスの不正使用を防止すること。
実113 インターネット・モバイルサービスの使用状況を利用者が確認できるようにすること。
実114 インターネット・モバイルサービスの安全対策に関する情報開示をすること。
実115 インターネット・モバイルサービスの顧客対応方法を明確にすること。
実116 インターネット・モバイルサービスの運用管理方法を明確にすること。
実117 インターネット・モバイルサービスにおいて口座開設等を行う場合は、本人確認を行うこと。
(3)渉外端末の管理
実118 渉外端末の運用管理方法を明確にすること。
(4)CD・ATM 等及び無人店舗の管理
実119 CD・ATM 等及び無人店舗の運用管理方法を明確にし、かつ不正払戻防止の措置を講ずること。
実120 無人店舗の監視体制を明確にすること。
実121 無人店舗の防犯体制を明確にすること。
実122 無人店舗の障害時・災害時の対応方法を明確にすること。
実123 無人店舗の関係マニュアルの整備を行うこと。
実124 CD・ATM 等の遠隔制御機能を設けること。
(5)インストアブランチ
実125 インストアブランチの出店先の選定基準を明確にすること。
(6)コンビニATM
実126 コンビニATM の出店先の選定基準を明確にすること。
実127 コンビニATM の現金装填等メンテナンス時の防犯対策を講ずること。
実128 コンビニATM の障害時・災害時対応手順を明確にすること。
実129 コンビニATM のネットワーク関連機器、伝送データの安全対策を講ずること。
実130 コンビニATM の所轄の警察及び警備会社等関係者との連絡体制を確立すること。
実131 コンビニATM の顧客に対して犯罪に関する注意喚起を行うこと。
(7)デビットカード・サービス
実132 デビットカード・サービスにおける安全対策を講ずること。
実133 デビットカードの口座番号、暗証番号等の安全性を確保すること。
実134 デビットカード利用時の顧客保護の措置を講ずること。
実135 デビットカード利用上の留意事項を顧客に注意喚起すること。
(8)前払式支払手段
実136 前払式支払手段における機器及び媒体の盗難、破損等に伴い、利用者が被る可能
性がある損失及び責任を明示すること。
実137 前払式支払手段における電子的価値の保護機能、または不正検知の仕組みを設けること。
(9)電子メール・イントラネットの利用
実138 電子メールの運用方針を明確にすること。
実139 電子メール送受信、ホームページ閲覧等の不正使用防止機能を設けること。
(10)生体認証
実140 生体認証における生体認証情報の安全管理措置を講ずること。
実141 生体認証の特性を考慮し、必要な安全対策を検討すること。
(11) QR コード決済
実142 QR コード決済における安全対策を講ずること。
実143 QR コード決済利用時の顧客保護の措置を講ずること。
実144 QR コード決済利用上の留意事項を顧客に注意喚起すること。
c. 設備基準
1 コンピュータセンター
(1)建物(環境)
設1 各種災害、障害が発生しやすい地域を避けること。 ○
(2)建物(周囲)
設2 立地環境の変化に伴う災害及び障害の発生の可能性を調査し、防止対策を講ずること。
設3 敷地には通路を確保すること。
設4 隣接物との間隔を十分に取ること。
設5 塀または柵及び侵入防止装置を設けること。
設6 看板等を外部に出さないこと。
設7 建物には避雷設備を設置すること。
設8 建物はコンピュータシステム関連業務専用、または建物内においてコンピュータシステ
ム関連業務専用の独立区画とすること。
設9 敷地内の通信回線・電力線は、切断・延焼の防止措置を講ずること。
(3)建物(構造)
設10 耐火建築物であること。
設11 構造の安全性を有すること。
設12 外壁、屋根等は十分な防水性能を有すること。
設13 外壁等に強度を持たせること。
(4)建物(開口部)
設14 窓には防火措置を講ずること。
設15 防犯措置を講ずること。
設16 常時利用する出入口は1 カ所とし、入退館管理設備、防犯設備を設置すること。
設17 非常口を設けること。
設18 防水措置を講ずること。
設19 出入口の扉は、十分な強度を持たせるとともに、錠を付けること。
(5)建物(内装等)
設20 不燃材料及び防炎性能を有するものを使用すること。
設21 地震による内装等の落下・損壊の防止措置を講ずること。
(6)コンピュータ室・データ保管室(位置)
設22 災害を受けるおそれの少ない位置に設置すること。
設23 外部から容易に入れない位置に設置すること。
設24 室名等の表示は付さないこと。
設25 必要空間を確保すること。
設26 専用の独立した室とすること。
(途中略)
d. 監査基準
1 システム監査
(1)システム監査
監1 システム監査体制を整備すること。
(以上、出典:公益財団法人金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準・解説書第9版令和2年3月版」)