台湾の金融業界のサイバーセキュリティ規制と金融機関への影響

台湾の金融業界におけるサイバーセキュリティ規制の動向

世界経済フォーラムが毎年、発行している「グローバルリスクレポート」によると、2020年頃からサイバーセキュリティは今後10年間で世界を脅かすトップリスクの1つになるとされています。台湾の金融業界においても、消費者への利便性の高い多様な金融サービスを提供するためにフィンテックを含むデジタル技術の活用が進んでいますが、同時に金融データや消費者データに対するサイバー攻撃のリスクも高まっています。台湾の経済発展に向けて金融市場の安定的な運用が不可欠であることから、金融監督委員会（FSC）は金融システムへのサイバーセキュリティに関する規制を整備し、金融サイバーセキュリティインシデント対応の仕組みの構築を進めています。このような背景から、FSCは2020年に金融資安行動方案（Financial Cyber Security Action Plan）を公表しました。

金融業界のサイバーセキュリティ関連規制（金融資安行動方案）

金融資安行動方案の概要

金融資安行動方案には「情報セキュリティガバナンスの強化」「情報セキュリティ管理の深化」「オペレーションの強靭化」「共同のサイバー防御能力の構築」の4つの行動計画が含まれており、金融機関への段階的な適用が求められています。ガバナンス強化に関して、一定規模の金融機関やオンラインバンキング業務を行う金融機関では、副社長レベル以上のCISO（最高情報セキュリティ責任者）を任命することが義務づけられており、情報セキュリティのバックグラウンドを有する経営者や人材の採用を推奨しています。情報セキュリティ管理の深化やオペレーションの強靭化に関して、国際基準に基づくマネジメントシステムの導入と認証の取得を推奨しており、金融機関はより高度な運用を求められることになります。共同のサイバー防御能力の構築に関して、自社だけでなくグループ会社も含めた広い範囲での情報セキュリティインシデント対応チームの設立も求められています。

金融資安行動方案の概要

FSCは金融サービスの動向や国内外のサイバーセキュリティ環境の変化を踏まえて、2023年に金融資安行動方案をV2.0に改訂し、新たな12の行動計画を追加しました。V1.0の要件に加えて、ゼロトラストネットワークの導入などの高度な技術的対策や外部委託先も含めた広範囲な情報セキュリティ訓練・事業継続訓練などが求められます。

金融資安行動方案V2.0の更新内容

台湾の金融機関に求められるサイバーセキュリティ対策

金融資安行動方案V2.0では、2023年から始まる3か年計画で金融機関にサイバーセキュリティ対策を推進することを推奨しています。台湾の大手の金融機関は本ガイドラインを参考にしてサイバーセキュリティ対策の検討を開始しており、FSCは計画の達成度を四半期毎にモニタリングしていく予定です。デロイト台湾では、これまでの金融セキュリティ規制対応の知見を活かして、金融資安行動方案に準拠したロードマップの策定やサイバーセキュリティ対策の導入を助言しています。

金融資安行動方案の対応ロードマップ（例）

本稿に関連するデロイト台湾のサービスのご紹介

• 金融サイバーセキュリティ関連規制に係るアセスメント・対応計画立案
• 金融サイバーセキュリティ関連規制対策の構築・内部監査の支援