米国の金融規制当局は、銀行が「重大な」サイバーセキュリティ事案を発見した場合、発見から36時間以内に報告することを義務付ける新ルールを承認した。
この規則では、銀行は業務の実行可能性、商品やサービスを提供する能力、または米国の金融セクターの安定性に重大な影響を与えているか、または与える可能性が高い事案について、連邦監督機関に報告しなければならない。対象には、顧客の銀行サービスへのアクセスを妨害する大規模なDDoS(分散型サービス妨害)攻撃や、銀行業務を長期間不能にするコンピュータハッキング事案などが含まれる。
さらに、銀行(この規則では国立銀行、連邦協会、外国銀行の連邦支店を含む「銀行組織」と定義されている)は、事案が4時間以上にわたって顧客に重大な影響を与えた場合、または与える可能性がある場合には「できるだけ早く」顧客に通知しなければならない。
「コンピュータセキュリティ事案は、破壊的なマルウェアや悪意あるソフトウェア(サイバー攻撃)だけでなく、ハードウェアやソフトウェアの悪意のない故障、人為的なミス、その他の原因によっても発生する可能性があります」と、コンピュータセキュリテインシデント通知最終規則は説明している。「金融サービス業界を標的としたサイバー攻撃は近年、その頻度と深刻さが増しています。これらのサイバー攻撃は、銀行組織のネットワーク、データ、システムに悪影響を及ぼし、最終的には通常の業務を再開する能力にまで影響を及ぼす可能性があります」。
連邦預金保険公社(FDIC)、連邦準備制度理事会(Board)、通貨監督庁(OCC)によって承認されたこの最終規則は2022年4月1日に発効し、2022年5月1日までの完全遵守が求められる。
このルールが、銀行スタートアップやフィンテック企業にも適用されるかどうかは不明だ。TechCrunchはFDICに詳細を問い合わせたが、すぐには返答が得られなかった。
金融規制当局は2020年12月に初めて通知義務を提案したが、業界団体から否定的なフィードバックがあったため、最終規則の一部要素の変更を余儀なくされた。例えば、当初の案では、銀行が重大なサイバー事案に見舞われたと「誠意を持って信じた」場合に事案を報告しなければならないとされていたが、銀行はかなりのサイバー事案に直面してきており、これでは広範な事案が過剰に報告される恐れがあると業界から警告され、ルールは変更された。
「コメントを慎重に検討した結果、当局は『誠意の信念』の基準を銀行組織の判断に置き換えています」と最終規則の概要に記載されている。「提案されていた『誠意をもって信じる』という基準は主観的で不明確すぎると批判したコメントに、当局は同意しています」。
この規制についてコメントしていた業界団体の1つであるBank Policy Institute(BPI、銀行政策研究所)は、最終規則を支持すると声明で述べた。BPIのテクノロジーリスク戦略担当上級副社長であるHeather Hogsett(ヘザー・ホグセット)氏は「BPIはタイムリーな通知の価値を認識しており、重大なインシデントが発生した際に規制当局や関係者に通知するための明確なタイムラインと柔軟なプロセスを確立した最終規則を支持します。この規則はまた、通知と報告を明確に区別している点でも重要です。サイバー事案の通知は、規制当局と銀行の早期の連携を促し、銀行が事案に対応したり調査を行ったりしている間に、規制当局が金融システム全体に広範な影響を及ぼす可能性のある状況を認識できるようにします」と述べた。
画像クレジット:Robert Alexander / Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)
