III  主要行等監督上の評価項目

III -3 業務の適切性等

III -3-4 利用者保護ルール等

III -3-4-1 顧客の誤認防止等

III -3-4-1-1 意義

顧客に対する利便性の向上や事務の合理化の観点から、当該銀行が、その営業所を他者の店舗と同一の建物内に設置するなどの場合があるが、その際、顧客に対する弊害防止措置が講じられていることが重要である。

III -3-4-1-2 主な着眼点

銀行が、その営業所を他者の本支店等と同一建物、同一フロアに設置する場合には、顧客の誤認防止、顧客情報の保護及び防犯上の観点から、適切な措置が講じられているか。また、コンピュータ設備を共用する場合に銀行自らの情報管理規定が遵守できるよう体制が整備されているか。

銀行の店舗戦略や業務運営の見直しが進められている中、例えば、過疎地にある営業所を住民等のニーズに基づき維持する場合や、経営統合の結果として生じた同一地域に所在する営業所について、複数の銀行が共同で営業所を設置することが考えられる。運営形態としては、複数の銀行が共同して営業所を設置する場合のほか、例えば、一方の銀行が他方の銀行から委託を受けて銀行代理業若しくは金融サービス仲介業を行う場合又は登録金融機関業務などの業務を行う場合や、複数の銀行が同一の者に銀行代理業又は金融サービス仲介業を委託する場合などが考えられる。

このように、複数の銀行が、同一建物、同一フロアに共同の営業所を設置して運営する場合、必ずしも、当該銀行自身の業務のためのスペースと、他の銀行の業務のためのスペースとの間に、いわゆる遮断壁を設ける必要はないものの、顧客の誤認防止等の観点から、特に以下の点に留意すること。

  • マル1銀行が、その営業所を他の銀行等の金融機関の本支店等と同一建物、同一フロアに設置してその業務を行う場合には、以下の点について、顧客に対して十分な説明を行っているか。

    • イ.当該銀行と当該金融機関は、別法人であること。

    • ロ.当該銀行が提供する商品・サービスは、当該金融機関が提供しているものではないこと。

  • マル2銀行の営業職員が、他の銀行等の金融機関の営業部門と兼職をしている場合には、顧客の誤認防止の観点から、以下のような措置が適切に講じられているか。また、銀行における報告態勢、指揮・命令系統を明確にしているか。

    • イ.営業職員が同一の営業所内で取り扱う商品・サービスの内容及びその提供主体である法人名を、当該営業所に掲示することなどにより、来訪した顧客が容易に認識できるようにすること。

    • ロ.当該職員が、顧客に対し、その兼職する銀行等の金融機関の範囲を分かりやすく明示すること。特に、例えば窓口業務のように、不特定多数の顧客を相手にする業務を行う場合は、当該職員が取り扱う主な商品・サービスの範囲や当該職員の兼職の状況について、当該窓口への掲示等により、顧客に対し常時明示されていることが望ましい。

    • ハ.特に、当該職員が新規顧客に対し勧誘を行う場合や、顧客に対し新たな商品・サービスの勧誘を行う場合には、その兼職状況及び取り扱う商品・サービスの範囲について、十分な説明を行うこと。

    • ニ.顧客と契約を締結する際には、書面等による確認を行うなど、当該契約の相手方である法人名を顧客が的確に認識できる機会を確保すること。

  • マル3共同の営業所を運営する他の銀行等の金融機関の業務に顧客情報が顧客の同意なく流用されることのないよう、顧客情報の適正な管理のため、Ⅲ-3-3-3を踏まえた対応が適切に講じられているか。

III -3-4-1-3 監督手法・対応

検査結果、不祥事件等届出書等により、顧客の誤認防止等に問題があると認められる場合には、必要に応じ、法第24条に基づき報告を求め重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。

III -3-4-2 プライベートバンキング等の留意点等

III -3-4-2-1 意義

近年、一定規模以上の資産等を有する顧客層(いわゆる富裕層顧客)を特定し、一般的にプライベートバンキングやウェルス・マネジメントなどと呼ばれる、財産管理や資産運用のサービス及び金融商品などを複合的に提供する業務の立上げや推進が活発に行われているが、一般の定型業務とは異なる当該業務の個別性・特性に応じて、利用者の自己責任原則と預金者、投資家及び委託者等の保護の双方の観点から、業務運営の実態とこれに伴うリスクの把握に努める監督対応が重要である。

III -3-4-2-2 主な着眼点

  • (1)健全かつ適正な収益・営業目標の設定と業務運営の監督・管理

    • マル1顧客の長期的な資産運用・財産形成に係る取引や助言等を適切に行い、健全な取引関係を維持し、適正な収益・営業目標の設定と業務運営の適切性・妥当性を確保するために、収益追求と法令等遵守(コンプライアンス)を適切にバランスさせ、営業をけん制する十分な内部統制や経営管理(ガバナンス)態勢が導入されているか。また、営業の規模等に応じて営業部員一人ひとりを適正に監督・管理する態勢が導入・整備されているか。

    • マル2営業部員や役職員の給与・賞与体系が、短期的な収益獲得に過度に連動し、成果主義に偏重していないか。また、手数料収益の獲得に傾注した外国為替、投資信託、その他の有価証券等の乗り換え取引・回転売買、並びに、デリバティブが内包された預金取引や仕組み債、レバレッジ効果を有する金融取引などの勧誘・販売に不適正に注力した営業体制や商品構成になっていないか。

  • (2)適切な営業を監督・管理する態勢の整備

    • マル1顧客の金融取引や投資に関する知識・経験等に配慮し、説明義務の履行の観点から、顧客の適合性や銀行が提供する金融商品や取引等の適切性・妥当性が十分に検証され、取引時の勧誘状況、並びに、当該取引等の承認・内部決裁(判断・理由等)の記録が的確に保存・管理されているか。

    • マル2また、顧客との取引等が継続的に監督・管理され、運用結果や取引過程のパフォーマンス、時価情報、リスクの発生と変動要因などの情報が、法令諸規則や内部規程に則り、顧客に対して適時開示され、適切かつ十分に説明されていることをチェック・検証する態勢を整備しているか。

    • マル3顧客の囲い込みや獲得を優先するあまり、顧客の要求等に営業部門の役席者等が過度に対応し、顧客と金融機関が本来維持すべき、健全かつ適切な関係が保たれていない状況などが認められないか。

    • マル4顧客との個別取引のみならず、営業部員や取引等に関係する当事者間に、不正なキックバックやリベートなどに相当する実質的な条件等が含まれていないか。これらの条件等を抑止・けん制する内部管理態勢が構築されているか。

  • (3)情報管理態勢等の確立

    • マル1信用供与機能を有する銀行が特定の顧客と金融取引等を行うに当たり、銀行の優越的な地位を濫用した取引や、信用の供与の条件として金融商品等を販売する、いわゆる「抱き合わせ販売」等を防止するための顧客審査、並びに、個々の取引等の検証が十分に行われているか。あるいは、顧客が信用の供与を強要し、銀行が不適正に応じている実態はないか。

    • マル2顧客の非公開情報や重要情報等の適切な利用及び適正かつ十分な保存・保管の態勢、並びに、漏洩等の事故が発生した場合にも詳細を的確に把握し、二次被害等の発生を想定した迅速かつ適切な対応が可能な態勢が構築されているか。また、顧客情報の保管やリーガル・ユニット間等での共有の実態については、必要に応じて態勢を検証し、顧客の十分な理解と事前の承認・同意が得られているかについても、併せて検証を要することに留意する。

  • (4)法令違反を排除し、公正・妥当な取引等を確保する態勢の構築

    • マル1法令違反取引や不公正・不適切な取引を排除する観点から、個別取引等の適法性の検証にとどまらず、公正価格や取引の透明性が確保され、かつ、顧客の真の取組み目的、仕組み全体の組成目的、顧客及び取引関係者等にもたらされる取引効果、リスクの発生と負担の妥当性、経済合理性などに着目し、顧客取引そのものの適切性・妥当性等が十分に検証されているか。

    • マル2顧客との取引等により銀行が収受する手数料収益や取引利ざやなどが適正かつ妥当な水準に設定されていることを検証し、これらを常にチェック及びけん制する手順や内部管理の態勢が適正に構築されているか。

    • マル3顧客との個別の紛争に係る対応ついては、それらの軽重や状況に応じて、適切に監督・管理する内部の態勢が整えられているか。

  • (5)マネー・ローンダリング及び疑わしい取引等を検出・排除する態勢の構築

    • マル1顧客の資産背景、資金源泉、取引関係者等の相互関係、並びに、個別に取り組まれる金融取引等の真の取引目的や取引背景を的確かつ十分に把握し、取引時確認事務の確実な実行と、顧客及び取引等の適否について十分な審査が適時・適切に行われる態勢となっているか。

    • マル2特に、顧客の資金や資産を不正な手段や不適切な仕組み等を使って国内外で隠匿・移管させる取引など、マネー・ローンダリングや疑わしい取引を審査・検証する経験者の配置、並びに、営業部署等の不正な関与を抑止・けん制することが可能な態勢が構築されているか。

    • マル3疑わしい顧客や取引等を常時検出・分析・監視し、一元管理する手順や体制を導入しているか。また、問題等が認められた顧客や取引等を適正に管理・対応する態勢を有しているか。

III -3-4-2-3 監督手法・対応

監督による通常のオフサイト・モニタリング、検査結果及び不祥事件等届出書等の状況などにより、当該業務の運営や内部管理態勢等に問題があると認められる場合には、必要に応じて法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づく業務改善命令を発出する等の対応を行うものとする。

III -3-5 苦情等への対処(金融ADR制度への対応も含む)

III -3-5-1 意義

  • (1)相談・苦情・紛争等(苦情等)対処の必要性

    金融商品・サービスは、リスクを内在することが多く、その専門性・不可視性等とも相俟ってトラブルが生じる可能性が高いと考えられる。このため、金融商品・サービスの販売・提供に関しては、トラブルを未然に防止し顧客保護を図る観点から情報提供等の事前の措置を十分に講じることに加え、苦情等への事後的な対処が重要となる。

    近年、金融商品・サービスの多様化・複雑化により金融商品・サービスに関するトラブルの可能性も高まっており、顧客保護を図り金融商品・サービスへの顧客の信頼性を確保する観点から、苦情等への事後的な対処の重要性もさらに高まっている。

    このような観点を踏まえ、簡易・迅速に金融商品・サービスに関する苦情処理・紛争解決を行うための枠組みとして金融ADR制度(ADRについて(注)参照)が導入されており、銀行においては、金融ADR制度も踏まえつつ、適切に苦情等に対処していく必要がある。

    (注)ADR(Alternative Dispute Resolution)

    訴訟に代わる、あっせん・調停・仲裁等の当事者の合意に基づく紛争の解決方法であり、事案の性質や当事者の事情等に応じた迅速・簡便・柔軟な紛争解決が期待される。

  • (2)対象範囲

    銀行の業務に関する申出としては、相談のほか、いわゆる苦情・紛争などの顧客からの不満の表明など、様々な態様のものがありうる。銀行には、これらの様々な態様の申出に対して適切に対処していくことが重要であり、かかる対処を可能とするための適切な内部管理態勢を整備することが求められる。

    加えて、銀行には、金融ADR制度において、苦情と紛争のそれぞれについて適切な態勢を整備することが求められている。

    もっとも、これら苦情・紛争の区別は相対的で相互に連続性を有するものである。特に、金融ADR制度においては、指定ADR機関において苦情処理手続と紛争解決手続の連携の確保が求められていることを踏まえ、銀行においては、顧客からの申出を形式的に「苦情」「紛争」に切り分けて個別事案に対処するのではなく、両者の相対性・連続性を勘案し、適切に対処していくことが重要である。

III -3-5-2 苦情等対処に関する内部管理態勢の確立

III -3-5-2-1 意義

苦情等への迅速・公平かつ適切な対処は、顧客に対する説明責任を事後的に補完する意味合いを持つ重要な活動の一つでもあり、金融商品・サービスへの顧客の信頼性を確保するため重要なものである。銀行は、金融ADR制度において求められる措置・対応を含め、顧客から申出があった苦情等に対し、自ら迅速・公平かつ適切に対処すべく内部管理態勢を整備する必要がある。

III -3-5-2-2 主な着眼点

銀行が、苦情等対処に関する内部管理態勢を整備するに当たり、業務の規模・特性に応じて、適切かつ実効性ある態勢を整備しているかを検証する。その際、機械的・画一的な運用に陥らないよう配慮しつつ、例えば、以下の点に留意することとする。

特に、与信取引及び預金・リスク商品等の苦情等対処の検証にあたっては、苦情等対処が説明態勢を補完するものであることに留意し、必要に応じ、 III -3-3-1-2、 III -3-3-2-2を参照する。

  • (1)経営陣の役割

    取締役会は、苦情等対処機能に関する全行的な内部管理態勢の確立について、適切に機能を発揮しているか。

  • (2)社内規則等

    • マル1社内規則等において、苦情等に対し迅速・公平かつ適切な対応・処理を可能とするよう、苦情等に係る担当部署、その責任・権限及び苦情等の処理手続(事務処理ミスがあった場合等の対応も含む。)を定めるとともに、顧客の意見等を業務運営に反映するよう、業務改善に関する手続を定めているか。

    • マル2苦情等対処に関し社内規則等に基づいて業務が運営されるよう、研修その他の方策(マニュアル等の配布を含む。)により、社内規則等を行内に周知・徹底をする等の態勢を整備しているか。

      特に顧客からの苦情等が多発している場合には、まず社内規則等(苦情等対処に関するものに限らない。)の営業店に対する周知・徹底状況を確認し、実施態勢面の原因と問題点を検証することとしているか。

  • (3)苦情等対処の実施態勢

    • マル1苦情等への対処に関し、適切に担当者を配置しているか。

    • マル2顧客からの苦情等について、関係部署が連携のうえ、速やかに処理を行う態勢を整備しているか。特に、苦情等対処における主管部署及び担当者が、個々の職員が抱える顧客からの苦情等の把握に努め、速やかに関係部署に報告を行う態勢を整備しているか。

    • マル3苦情等の解決に向けた進捗管理を適切に行い、長期未済案件の発生を防止するとともに、未済案件の速やかな解消を行う態勢を整備しているか。

    • マル4苦情等の発生状況に応じ、受付窓口における対応の充実を図るとともに、顧客利便に配慮したアクセス時間・アクセス手段(例えば、電話、手紙、FAX、eメール等)を設定する等、広く苦情等を受け付ける態勢を整備しているか。また、これら受付窓口、申出の方式等について広く公開するとともに、顧客の多様性に配慮しつつ分かりやすく周知する態勢を整備しているか。

    • マル5苦情等対処に当たっては、個人情報について、個人情報保護法その他の法令、保護法ガイドライン及び金融分野ガイドライン等に沿った適切な取扱いを確保するための態勢を整備しているか( III -3-3-3参照)。

    • マル6銀行代理業者や金融サービス仲介業者を含め、業務の外部委託先が行う委託業務に関する苦情等について、銀行自身への直接の連絡体制を設けるなど、迅速かつ適切に対処するための態勢を整備しているか( III -3-3-4-2(1)マル5、 VIII -5-2-2(9)参照)。

    • マル7反社会的勢力による苦情等を装った圧力に対しては、通常の苦情等と区別し、断固たる対応をとるため関係部署に速やかに連絡し、必要に応じ警察等関係機関との連携を取った上で、適切に対処する態勢を整備しているか。

  • (4)顧客への対応

    • マル1苦情等への対処について、単に処理の手続の問題と捉えるにとどまらず事後的な説明態勢の問題として位置付け、苦情等の内容に応じ顧客から事情を十分にヒアリングしつつ、可能な限り顧客の理解と納得を得て解決することを目指しているか。

    • マル2苦情等を申し出た顧客に対し、申出時から処理後まで、顧客特性にも配慮しつつ、必要に応じて、苦情等対処の手続の進行に応じた適切な説明(例えば、苦情等対処手続の説明、申出を受理した旨の通知、進捗状況の説明、結果の説明等)を行う態勢を整備しているか。

    • マル3申出のあった苦情等について、自ら対処するばかりでなく、苦情等の内容や顧客の要望等に応じて適切な外部機関等を顧客に紹介するとともに、その標準的な手続の概要等の情報を提供する態勢を整備しているか。

      なお、複数ある苦情処理・紛争解決の手段(金融ADR制度を含む。)は任意に選択しうるものであり、外部機関等の紹介に当たっては、顧客の選択を不当に制約していないか留意することとする。

    • マル4外部機関等において苦情等対処に関する手続が係属している間にあっても、当該手続の他方当事者である顧客に対し、必要に応じ、適切な対応(一般的な資料の提供や説明など顧客に対して通常行う対応等)を行う態勢を整備しているか。

  • (5)情報共有・業務改善等

    • マル1苦情等及びその対処結果等が類型化の上で内部管理部門や営業部門に報告されるとともに、重要案件は速やかに監査部門や経営陣に報告されるなど、事案に応じ必要な関係者間で情報共有が図られる態勢を整備しているか。

    • マル2苦情等の内容及び対処結果について、自ら対処したものに加え、外部機関が介在して対処したものを含め、適切かつ正確に記録・保存しているか。また、これらの苦情等の内容及び対処結果について、指定ADR機関より提供された情報等も活用しつつ、分析し、その分析結果を継続的に顧客対応・事務処理についての態勢の改善や苦情等の再発防止策・未然防止策に活用する態勢を整備しているか。

    • マル3苦情等対処機能の実効性を確保するため、検査・監査等の内部けん制機能が十分発揮されるよう態勢を整備しているか。

    • マル4苦情等対処の結果を業務運営に反映させる際、業務改善・再発防止等必要な措置を講じることの判断並びに苦情等対処態勢の在り方についての検討及び継続的な見直しについて、経営陣が指揮する態勢を整備しているか。

  • (6)外部機関等との関係

    • マル1苦情等の迅速な解決を図るべく、外部機関等に対し適切に協力する態勢を整備しているか。

    • マル2外部機関等に対して、自ら紛争解決手続の申立てを行う際、自らの手続を十分に尽くさずに安易に申立てを行うのではなく、顧客からの苦情等の申出に対し、十分な対応を行い、かつ申立ての必要性につき行内で適切な検討を経る態勢を整備しているか。

III -3-5-3 金融ADR制度への対応

III -3-5-3-1 指定紛争解決機関(指定ADR機関)が存在する場合

III -3-5-3-1-1 意義

顧客保護の充実及び金融商品・サービスへの顧客の信頼性の向上を図るためには、銀行と顧客との実質的な平等を確保し、中立・公正かつ実効的に苦情等の解決を図ることが重要である。そこで、金融ADR制度において、指定ADR機関によって、専門家等関与のもと、第三者的立場からの苦情処理・紛争解決が行われることとされている。

なお、金融ADR制度においては、苦情処理・紛争解決への対応について、主に銀行と指定ADR機関との間の手続実施基本契約(法第2条第32項)によって規律されているところである。

銀行においては、指定ADR機関において苦情処理・紛争解決を行う趣旨を踏まえつつ、手続実施基本契約で規定される義務等に関し、適切に対応する必要がある。

III -3-5-3-1-2 主な着眼点

銀行が、上記意義を踏まえ、金融ADR制度への対応に当たり、業務の規模・特性に応じて適切かつ実効性ある態勢を整備しているかを検証する。その際、機械的・画一的な運用に陥らないよう配慮しつつ、例えば、以下の点に留意することとする。

なお、「 III -3-5-2 苦情等対処に関する内部管理態勢の確立」における留意点も参照すること。

  • (1)総論

    • マル1手続実施基本契約

      • イ.自らが営む銀行業務(法第2条第25項で定義する「銀行業務」を指す。)について、指定ADR機関との間で、速やかに手続実施基本契約を締結しているか。

        また、例えば、指定ADR機関の指定取消しや新たな指定ADR機関の設立などの変動があった場合であっても、顧客利便の観点から最善の策を選択し、速やかに必要な措置(新たな苦情処理措置・紛争解決措置の実施、手続実施基本契約の締結など)を講じるとともに、顧客へ周知する等の適切な対応を行っているか。

      • ロ.指定ADR機関と締結した手続実施基本契約の内容を誠実に履行する態勢を整備しているか。

    • マル2公表・周知・顧客への対応

      • イ.手続実施基本契約を締結した相手方である指定ADR機関の商号又は名称、及び連絡先を適切に公表しているか。

        公表の方法について、例えば、ホームページへの掲載、ポスターの店頭掲示、パンフレットの作成・配布又はマスメディアを通じての広報活動等、業務の規模・特性に応じた措置をとっているか。仮に、ホームページに掲載したとしても、これを閲覧できない顧客も想定される場合には、そのような顧客にも配慮することとしているか。

        公表する際は、顧客にとって分かりやすいように表示しているか(例えば、ホームページで公表する場合において、顧客が容易に金融ADR制度の利用に関するページにアクセスできるような表示が望ましい。)。

      • ロ.手続実施基本契約も踏まえつつ、顧客に対し、指定ADR機関による標準的な手続のフローや指定ADR機関の利用の効果(時効の完成猶予等)等必要な情報の周知を行う態勢を整備しているか。

      • ハ.金融商品取引業者、保険会社が組成した金融商品や保険商品を銀行が販売する場合、当該商品を組成した金融商品取引業者、保険会社や、当該商品を販売した銀行といった、業態の異なる複数の業者が関係することになるため、顧客の問題意識を把握した上で、問題の発生原因に応じた適切な指定ADR機関を紹介するなど、丁寧な対応を行っているか。

        • (注)保険商品の場合、銀行(保険募集人)による販売時の説明等の問題であっても、所属保険会社等は、保険業法第283条第1項の規定により保険募集人が保険募集について保険契約者に加えた損害を賠償する責任を負う(同条第2項に掲げる場合を除く。)とされていることから、顧客は、銀行が手続実施基本契約を締結する指定ADR機関のみならず、保険会社が手続実施基本契約を締結する指定ADR機関に対しても、原則として申立てを行うことができることに留意する。

  • (2)苦情処理手続・紛争解決手続についての留意事項

    銀行が手続実施基本契約により手続応諾・資料提出・特別調停案尊重等の各義務を負担することを踏まえ、検証に当たっては、例えば、以下の点に留意することとする。

    • マル1共通事項

      • イ.指定ADR機関から手続応諾・資料提出等の求めがあった場合、正当な理由がない限り、速やかにこれに応じる態勢を整備しているか。

      • ロ.指定ADR機関からの手続応諾・資料提出等の求めに対し拒絶する場合、苦情・紛争の原因となった部署のみが安易に判断し拒絶するのではなく、組織として適切に検討を実施する態勢を整備しているか。また、可能な限り、その判断の理由(正当な理由)について説明する態勢を整備しているか。

    • マル2紛争解決手続への対応

      • イ.紛争解決委員から和解案の受諾勧告又は特別調停案の提示がされた場合、速やかに受諾の可否を判断する態勢を整備しているか。

      • ロ.和解案又は特別調停案を受諾した場合、担当部署において速やかに対応するとともに、その履行状況等を検査・監査部門等が事後検証する態勢を整備しているか。

      • ハ.和解案又は特別調停案の受諾を拒絶する場合、業務規程(法第52条の67第1項)等を踏まえ、速やかにその理由を説明するとともに、訴訟提起等の必要な対応を行う態勢を整備しているか。

III -3-5-3-2 指定ADR機関が存在しない場合

III -3-5-3-2-1 意義

金融ADR制度においては、指定ADR機関が存在しない場合においても、代わりに苦情処理措置・紛争解決措置を講ずることが法令上求められている。銀行においては、これらの措置を適切に実施し、金融商品・サービスに関する苦情・紛争を簡易・迅速に解決することにより、顧客保護の充実を確保し、金融商品・サービスへの顧客の信頼性の向上に努める必要がある。

III -3-5-3-2-2 主な着眼点

銀行が、苦情処理措置・紛争解決措置を講じる場合、金融ADR制度の趣旨を踏まえ、顧客からの苦情・紛争の申出に関し、業務の規模・特性に応じ、適切に対応する態勢を整備しているかを検証する。その際、機械的・画一的な運用に陥らないよう配慮しつつ、例えば、以下の点に留意することとする。

なお、「 III -3-5-2 苦情等対処に関する内部管理態勢の確立」における留意点も参照すること。

  • (1)総論

    • マル1苦情処理措置・紛争解決措置の選択

      • イ.自らが営む銀行業務の内容、苦情等の発生状況及び営業地域等を踏まえて、法令で規定されている各事項のうちの一つ又は複数を苦情処理措置・紛争解決措置として適切に選択しているか。なお、その際は、例えば、顧客が苦情・紛争を申し出るに当たり、顧客にとって地理的にアクセスしやすい環境を整備するなど、顧客の利便の向上に資するような取組みを行うことが望ましい。

      • ロ.苦情・紛争の処理状況等のモニタリング等を継続的に行い、必要に応じ、苦情処理措置・紛争解決措置について検討及び見直しを行う態勢を整備しているか。

      • ハ.苦情処理業務・紛争解決業務を公正かつ的確に遂行できる法人を利用する場合、当該法人が苦情処理業務・紛争解決業務を公正かつ的確に遂行するに足りる経理的基礎及び人的構成を有する法人であること(規則第13条の8第1項第5号、同条第2項第5号)について、相当の資料等に基づいて、合理的に判断しているか。

      • ニ.外部機関を利用する場合、必ずしも当該外部機関との間において業務委託契約等の締結までは求められていないが、標準的な手続のフローや、費用負担に関する事項等について予め取決めを行っておくことが望ましい。

      • ホ.外部機関の手続を利用する際に費用が発生する場合について、顧客の費用負担が過大とならないような措置を講じる等、苦情処理・紛争解決の申立ての障害とならないような措置を講じているか。

    • マル2運用

      苦情処理措置・紛争解決措置の適用範囲を過度に限定的なものとするなど、不適切な運用を行っていないか。なお、苦情処理措置と紛争解決措置との間で適切な連携を確保しているかについても留意する( III -3-5-1(2)参照)。

  • (2)苦情処理措置(自行で態勢整備を行う場合)についての留意事項

    • マル1消費生活専門相談員等による従業員への助言・指導態勢を整備する場合

      • イ.定期的に消費生活専門相談員等による研修を実施する等、苦情処理に従事する従業員のスキルを向上させる態勢を整備しているか。

      • ロ.消費生活専門相談員等との連絡体制を築く等、個別事案の処理に関し、必要に応じ、消費生活専門相談員等の専門知識・経験を活用する態勢を整備しているか。

    • マル2自行で業務運営体制・社内規則を整備する場合

      • イ.苦情の発生状況に応じ、業務運営体制及び社内規則を適切に整備するとともに、当該体制・規則に基づき公正かつ的確に苦情処理を行う態勢を整備しているか。

      • ロ.苦情の申出先を顧客に適切に周知するとともに、苦情処理にかかる業務運営体制及び社内規則を適切に公表しているか。

        周知・公表の内容として、必ずしも社内規則の全文を公表する必要はないものの、顧客が、苦情処理が適切な手続に則って行われているかどうか自ら確認できるようにするため、苦情処理における連絡先及び標準的な業務フロー等を明確に示すことが重要であることから、それに関連する部分を公表しているかに留意する必要がある。

        なお、周知・公表の方法について、 III -3-5-3-1-2(1)マル2を参照のこと。

  • (3)苦情処理措置(外部機関を利用する場合)及び紛争解決措置の留意事項

    • マル1周知・公表等

      • イ.銀行が外部機関を利用している場合、顧客保護の観点から、例えば、顧客が苦情・紛争を申し出るに当たり、外部機関を利用できることや、外部機関の名称及び連絡先、その利用方法等、外部機関に関する情報について、顧客にとって分かりやすいように、周知・公表を行うことが望ましい。

      • ロ.苦情処理・紛争解決の申立てが、地理又は苦情・紛争内容その他の事由により、顧客に紹介した外部機関の取扱範囲外のものであるとき、又は他の外部機関等(苦情処理措置・紛争解決措置として銀行が利用している外部機関に限らない。)による取扱いがふさわしいときは、他の外部機関等を顧客に紹介する態勢を整備しているか。

      • ハ.金融商品取引業者、保険会社が組成した金融商品や保険商品を銀行が販売する場合については、III-3-5-3-1-2(1)マル2ハ.を参照すること。

    • マル2手続への対応

      • イ.外部機関から苦情処理・紛争解決の手続への応諾、事実関係の調査又は関係資料の提出等を要請された場合、当該外部機関の規則等も踏まえつつ、速やかにこれに応じる態勢を整備しているか。

      • ロ.苦情処理・紛争解決の手続への応諾、事実関係の調査又は関係資料の提供等の要請を拒絶する場合、苦情・紛争の原因となった部署のみが安易に判断し拒絶するのではなく、苦情・紛争内容、事実・資料の性質及び外部機関の規則等を踏まえて、組織として適切に検討を実施する態勢を整備しているか。

        また、当該外部機関の規則等も踏まえつつ、可能な限り拒絶の理由について説明する態勢を整備しているか。

      • ハ.紛争解決の手続を開始した外部機関から和解案、あっせん案等の解決案(以下、「解決案」という。)が提示された場合、当該外部機関の規則等も踏まえつつ、速やかに受諾の可否を判断する態勢を整備しているか。

      • ニ.解決案を受諾した場合、担当部署において速やかに対応するとともに、その履行状況等を検査・監査部門等が事後検証する態勢を整備しているか。

      • ホ.解決案の受諾を拒絶する場合、当該外部機関の規則等も踏まえつつ、速やかにその理由を説明するとともに、必要な対応を行う態勢を整備しているか。

III -3-5-4 各種書面への記載

銀行は、各種書面(預金者等に対する情報の提供、契約締結前交付書面等)において金融ADR制度への対応内容を記載することが、法令上、義務付けられている。それら書面には、指定ADR機関が存在しない場合は苦情処理措置・紛争解決措置の内容を記載する必要があるが、例えば、銀行が外部機関を利用している場合、当該外部機関(苦情処理・紛争解決にかかる業務の一部を他の機関に委託等している場合、当該他の機関も含む。)の名称及び連絡先など、実態に即して適切な事項を記載するべきことに留意する。

III -3-5-5 行政上の対応

金融ADR制度への対応を含む苦情等対処態勢が構築され機能しているかどうかは、顧客保護・銀行への信頼性確保の観点も含め、銀行の健全かつ適切な業務運営の基本にかかわることから、関係する内部管理態勢は高い実効性が求められる。

当局としては、銀行の対応を全体的・継続的にみて、業務の健全かつ適切な運営を確保するため問題があると認められる場合は、必要に応じ、法第24条に基づき報告を求め、また、重大な問題があると認められる場合は、法第26条に基づく業務改善命令の発出を検討するものとする。更に、重大・悪質な法令等違反行為が認められる等の場合には、業務停止命令等の発出も含め、必要な行政処分を検討するものとする。

この点、指定ADR機関が存在する場合において、銀行に手続応諾義務等への違反・懈怠等の問題が認められた場合であっても、一義的には銀行と指定ADR機関との手続実施基本契約にかかる不履行であるため、直ちに行政処分の対象となるものではなく、当局としては、前述のように、銀行の対応を全体的・継続的にみて判断を行うものとする。

なお、一般に顧客と銀行との間で生じる個別の紛争は、私法上の契約に係る問題であり、基本的にADRや司法の場を含め当事者間で解決されるべき事柄であることに留意する必要がある。

III -3-6 オペレーショナル・レジリエンスに関する態勢整備

III -3-6-1 意義

オペレーショナル・レジリエンスとは、システム障害、テロやサイバー攻撃、感染症、自然災害等を含む事象が発生しても、金融機関が重要な業務(注1)を、最低限維持すべき耐性度(注2)において、提供し続ける能力をいう。

ITシステムやサードパーティ等(注3)への依存の高まり、感染症の拡大、サイバー攻撃や大規模な自然災害の増加などの近年の急速な環境変化等を踏まえると、未然に事故や障害を防ぐための体制整備及び特定のリスク事象を想定した対応計画の策定等のみでは、重要な業務を提供し続ける能力を十分に確保することができないおそれが増大している。そのため、未然防止策を尽くしてもなお、業務中断が生じ得ることを前提に、既存のガバナンス体制(注4)を活用し、オペレーショナル・レジリエンスに係る方針を整備することが有益である。

国際的な議論の動向(注5)を踏まえ、国内外の金融システム及び顧客に与える影響に鑑み、特に、主要行等又は国際統一基準の適用を受ける者(最終指定親会社を含む。)においてオペレーショナル・レジリエンスの確保に留意する必要がある。

オペレーショナル・レジリエンスの確保については、各金融機関において、自らの規模や特性、業務の重要度、顧客への影響等を踏まえ、自主的な経営判断により決定されるべきものであり、一律・画一的な対応が求められているものではないことに留意する必要がある。

  • (注1)本節における「重要な業務」とは、その中断が金融システムの安定や顧客の日常生活に著しい悪影響を生じさせるおそれのある金融サービスをいう。金融機関が重要な業務を特定する際には、顧客目線で、既存のBCPや、秩序ある処理等において金融システム上重要な業務の継続性を確保するための対応(Ⅲ-11-4)において特定したクリティカル・ファンクション(グループ外の第三者に提供される業務であって、その停止が金融システムの著しい混乱を生じさせるおそれのある業務を指す。)を活用することが想定される。具体的には、当該業務の中断又は不具合が金融システムの機能の維持に与える影響や、当該金融機関の規模、サービスの市場シェア・顧客数・利用頻度、当該金融機関の収益や市場での信認、他の金融機関による代替可能性等を考慮することが想定される。例えば、BCMにおける「金融システムの機能の維持にとって必要最低限の業務」(Ⅲ-8-2(2))として例示されている、インターバンク市場や銀行間決済システムを通じた大口・大量の決済の処理、個人に対する現金払出や送金依頼の受付、手形交換等が該当しうる。

    • (参考)金融庁「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(2023年4月)

    • (参考)金融安定理事会「クリティカル・ファンクションの特定に関するガイダンス」(2013年7月)

  • (注2)「重要な業務」の「耐性度」は、典型的にはBCPにおいて設定する業務中断時の目標復旧時間と重なるが、それ以外にも、金融システムへの影響や顧客目線で生活への影響を一定の範囲内に収める観点から、業務中断が生じる範囲、影響を受ける取引数、取引額及び顧客数(例えば、業務中断時の顧客からの苦情数)なども考慮要素となりうる。

  • (注3)サードパーティ等は、Ⅲ-3-3-4及びⅢ-3-7-1-2(8)に規定する外部委託業務(二段階以上の委託を含む)を行う外部委託先、調達先及びサービス連携先等をいう。このうち、重要なサードパーティ等は、重要な業務の耐性度での提供に必要不可欠なものをいう。

  • (注4)ここでいう既存のガバナンス体制とは、例えば、Ⅲ-1 経営管理(ガバナンス)、Ⅲ-2-3 リスク管理(特にⅢ-2-3-7 オペレーショナル・リスク管理)、Ⅲ-3 業務の適切性等(特にⅢ-3-1 法令等遵守(特に重要な事項)、Ⅲ-3-3-4 外部委託、Ⅲ-3-7 システムリスク及びⅢ-3-10 システム統合リスク・プロジェクトマネジメント)、Ⅲ-8 業務継続体制(BCM)及びⅢ-11 秩序ある処理等の円滑な実施の確保等に規定する体制をいう。

  • (注5)バーゼル銀行監督委員会「オペレーショナル・レジリエンスのための諸原則」(2021年3月)及び「健全なオペレーショナル・リスク管理のための諸原則の改訂」(2021年3月)

III -3-6-2 主な着眼点

  • (1)取締役会等は、オペレーショナル・レジリエンスの観点から重要な業務を特定しているか。

  • (2)取締役会等は、リスク選好度(リスクアペタイト)を設定した上で、重要な業務と特定した金融サービスについて、未然防止策を尽くしてもなお、業務中断が必ず生じることを前提に最低限維持すべき水準を「耐性度」として設定しているか。例えば、業務中断時の復旧時間、業務中断が生じる範囲、影響を受ける取引数、取引額及び顧客数等を考慮要素としているか。

  • (3)取締役会等は、上記(1)の重要な業務の耐性度での遂行に必要な社内外の経営資源を特定しているか。具体的には、取締役会等は、必要な専門性を持った役職員を採用・配置し、適切な予算、施設及びシステムを確保しているか。また、取締役会等は、サードパーティ等の社外の経営資源も含めて、上記の重要な業務の耐性度での遂行に必要な経営資源の相互連関性や相互依存度を特定・マッピングしているか。

  • (4)取締役会等は、極端だが起こり得るシナリオを想定した分析や訓練を通じて、リスク選好度、重要な業務、耐性度、必要な経営資源に関する設定及び配分が適切であるかを定期的かつ組織横断的に検証し、必要に応じて見直しや追加的措置を講じているか。

III -3-6-3 監督手法・対応

検査結果、不祥事件等届出書等により、オペレーショナル・レジリエンスに問題があると認められる場合には、必要に応じ、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。

III -3-7 システムリスク

III -3-7-1 システムリスク

III -3-7-1-1 意義

システムリスクとは、コンピュータシステムのダウン又は誤作動等のシステムの不備等に伴い、顧客や銀行が損失を被るリスクやコンピュータが不正に使用されることにより顧客や銀行が損失を被るリスクをいうが、銀行の経営再編に伴うシステム統合や新商品・サービスの拡大等に伴い、銀行の情報システムは一段と高度化・複雑化し、さらにコンピュータのネットワーク化の拡大に伴い、重要情報に対する不正なアクセス、漏えい等のリスクが大きくなっている。

特に主要行等のシステムについては、元来、機能が高度である一方、大量処理が求められていることから、規模が大きく、構成が複雑である傾向にある。加えて、累次の経営再編によりシステム構成、システム運用体制が、一層複雑化していることから、特にシステム上の諸課題に的確に対応することが求められている。仮に主要行等において、システム障害やサイバーセキュリティ事案が発生した場合は、利用者の社会経済生活、企業等の経済活動、ひいては、我が国経済全体にも極めて大きな影響を及ぼすおそれがあるほか、その影響は単に一銀行の問題にとどまらず、金融システム全体に及びかねないことから、システムが安全かつ安定的に稼動することは決済システム及び銀行に対する信頼性を確保するための大前提であり、システムリスク管理態勢の充実強化は極めて重要である。

また、金融機関のIT戦略は、近年の金融を巡る環境変化も勘案すると、今や金融機関のビジネスモデルを左右する重要課題となっており、金融機関において経営戦略をIT戦略と一体的に考えていく必要性が増している。こうした観点から、経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現するための仕組みである「ITガバナンス」が適切に機能することが極めて重要となっている。

  • (注)サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。

  • (参考) 金融機関のITガバナンスに関する対話のための論点・プラクティスの整理(令和元年6月)

III -3-7-1-2 主な着眼点

  • (1)システムリスクに対する認識等

    • マル1システムリスクについて代表取締役をはじめ、役職員がその重要性を十分認識し、定期的なレビューを行うとともに、全行的なリスク管理の基本方針が策定されているか。

    • マル2代表取締役は、システム障害やサイバーセキュリティ事案(以下「システム障害等」という。)の未然防止と発生時の迅速な復旧対応について、経営上の重大な課題と認識し、態勢を整備しているか。

    • マル3取締役会は、システムリスクの重要性を十分に認識した上で、システムに関する十分な知識・経験を有し業務を適切に遂行できる者を、システムを統括管理する役員として定めているか。

    • マル4代表取締役及び取締役(委員会設置会社にあっては執行役)は、システム障害等発生の危機時において、果たすべき責任やとるべき対応について具体的に定めているか。

      また、自らが指揮を執る訓練を行い、その実効性を確保しているか。

  • (2)システムリスク管理態勢

    • マル1取締役会は、コンピュータシステムのネットワーク化の進展等により、リスクが顕在化した場合、その影響が連鎖し、広域化・深刻化する傾向にあるなど、経営に重大な影響を与える可能性があるということを十分踏まえ、リスク管理態勢を整備しているか。

    • マル2システムリスク管理の基本方針が定められているか。システムリスク管理の基本方針には、セキュリティポリシー(組織の情報資産を適切に保護するための基本方針)及び外部委託先に関する方針が含まれているか。

    • マル3システムリスク管理態勢の整備に当たっては、その内容について客観的な水準が判定できるものを根拠としているか。

      また、システムリスク管理態勢は、システム障害等の把握・分析、リスク管理の実施結果や技術進展等に応じて、不断に見直しを実施しているか。

  • (3)システムリスク評価

    • マル1システムリスク管理部門は、顧客チャネルの多様化による大量取引の発生や、ネットワークの拡充によるシステム障害等の影響の複雑化・広範化など、外部環境の変化によりリスクが多様化していることを踏まえ、定期的に又は適時にリスクを認識・評価しているか。

      また、洗い出したリスクに対し、十分な対応策を講じているか。

    • マル2システムリスク管理部門は、例えば1口座当たりの未記帳取引明細の保有可能件数などのシステムの制限値を把握・管理し、制限値を超えた場合のシステム面・事務面の対応策を検討しているか。

    • マル3商品開発の担当部門は、新商品の導入時又は商品内容の変更時に、システムリスク管理部門と連携するとともに、システムリスク管理部門は、システム開発の有無にかかわらず、関連するシステムの評価を実施しているか。

  • (4)情報セキュリティ管理

    • マル1情報資産を適切に管理するために方針の策定、組織体制の整備、社内規程の策定、内部管理態勢の整備を図っているか。また、他社における不正・不祥事件も参考に、情報セキュリティ管理態勢のPDCAサイクルによる継続的な改善を図っているか。

    • マル2情報の機密性、完全性、可用性を維持するために、情報セキュリティに係る管理者を定め、その役割・責任を明確にした上で、管理しているか。また、管理者は、システム、データ、ネットワーク管理上のセキュリティに関することについて統括しているか。

    • マル3コンピュータシステムの不正使用防止対策、不正アクセス防止対策、コンピュータウィルス等の不正プログラムの侵入防止対策等を実施しているか。

    • マル4金融機関が責任を負うべき顧客の重要情報を網羅的に洗い出し、把握、管理しているか。

      顧客の重要情報の洗い出しにあたっては、業務、システム、外部委託先を対象範囲とし、例えば、以下のようなデータを洗い出しの対象範囲としているか。

      • 通常の業務では使用しないシステム領域に格納されたデータ
      • 障害解析のためにシステムから出力された障害解析用データ
      • ATM(店舗外含む)等に保存されている取引ログ 等
    • マル5洗い出した顧客の重要情報について、重要度判定やリスク評価を実施しているか。

      また、それぞれの重要度やリスクに応じ、以下のような情報管理ルールを策定しているか。

      • 情報の暗号化、マスキングのルール
      • 情報を利用する際の利用ルール
      • 記録媒体等の取扱いルール 等
    • マル6顧客の重要情報について、以下のような不正アクセス、不正情報取得、情報漏えい等を牽制、防止する仕組みを導入しているか。

      • 職員の権限に応じて必要な範囲に限定されたアクセス権限の付与
      • アクセス記録の保存、検証
      • 開発担当者と運用担当者の分離、管理者と担当者の分離等の相互牽制体制 等
    • マル7機密情報について、暗号化やマスキング等の管理ルールを定めているか。また、暗号化プログラム、暗号鍵、暗号化プログラムの設計書等の管理に関するルールを定めているか。

      なお、「機密情報」とは、暗証番号、パスワード、クレジットカード情報等、顧客に損失が発生する可能性のある情報をいう。

    • マル8機密情報の保有・廃棄、アクセス制限、外部持ち出し等について、業務上の必要性を十分に検討し、より厳格な取扱いをしているか。

    • マル9情報資産について、管理ルール等に基づいて適切に管理されていることを定期的にモニタリングし、管理態勢を継続的に見直しているか。

    • マル10セキュリティ意識の向上を図るため、全役職員に対するセキュリティ教育(外部委託先におけるセキュリティ教育を含む)を行っているか。

  • (5)サイバーセキュリティ管理

    • マル1サイバーセキュリティについて、取締役会等は、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し必要な態勢を整備しているか。

    • マル2サイバーセキュリティについて、組織体制の整備、社内規程の策定のほか、以下のようなサイバーセキュリティ管理態勢の整備を図っているか。

      • サイバー攻撃に対する監視体制
      • サイバー攻撃を受けた際の報告及び広報体制
      • 組織内CSIRT(Computer Security Incident Response Team)等の緊急時対応及び早期警戒のための体制
      • 情報共有機関等を通じた情報収集・共有体制 等
    • マル3サイバー攻撃に備え、入口対策、内部対策、出口対策といった多段階のサイバーセキュリティ対策を組み合わせた多層防御を講じているか。

      • 入口対策(例えば、ファイアウォールの設置、抗ウィルスソフトの導入、不正侵入検知システム・不正侵入防止システムの導入 等)
      • 内部対策(例えば、特権ID・パスワードの適切な管理、不要なIDの削除、特定コマンドの実行監視 等)
      • 出口対策(例えば、通信ログ・イベントログ等の取得と分析、不適切な通信の検知・遮断 等)
    • マル4サイバー攻撃を受けた場合に被害の拡大を防止するために、以下のような措置を講じているか。

      • 攻撃元のIPアドレスの特定と遮断
      • DDoS攻撃に対して自動的にアクセスを分散させる機能
      • システムの全部又は一部の一時的停止 等
    • マル5システムの脆弱性について、OSの最新化やセキュリティパッチの適用など必要な対策を適時に講じているか。

    • マル6サイバーセキュリティについて、ネットワークへの侵入検査や脆弱性診断等を活用するなど、セキュリティ水準の定期的な評価を実施し、セキュリティ対策の向上を図っているか。

    • マル7インターネット等の通信手段を利用した非対面の取引を行う場合には、III2(2)又はIII-3-9-2(2)によるセキュリティの確保を講じているか。

      なお、全国銀行協会の申し合わせ等には、以下のような実効的な認証方式や不正防止策を用いたセキュリティ対策事例が記載されている。

      • 可変式パスワードや電子証明書などの、固定式のID・パスワードのみに頼らない認証方式
      • 取引に利用しているパソコンのブラウザとは別の携帯電話等の機器を用いるなど、複数経路による取引認証
      • ハードウェアトークン等でトランザクション署名を行うトランザクション認証
      • 電子証明書をICカード等、取引に利用しているパソコンとは別の媒体・機器へ格納する方式の採用
      • 取引時においてウィルス等の検知・駆除が行えるセキュリティ対策ソフトの利用者への提供
      • 利用者のパソコンのウィルス感染状況を金融機関側で検知し、警告を発するソフトの導入
      • 不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備 等
(注)キャッシュカード暗証番号のような組み合わせの数が僅少な情報を記憶要素として用いる認証方式は、インターネット上での利用を避けることが望ましいことに留意。
  •  
    • マル8 インターネットバンキング等の不正利用を防止するため、電話番号やメールアドレスなど預金者への通知や本人認証の際に利用される情報について、不正な登録・変更が行われないよう適切な手続きが定められているか。

  • マル8 サイバー攻撃を想定したコンティンジェンシープランを策定し、訓練や見直しを実施しているか。また、必要に応じて、業界横断的な演習に参加しているか。

  • マル9サイバーセキュリティに係る人材について、育成、拡充するための計画を策定し、実施しているか。
  • (6)システム企画・開発・運用管理

    • マル1経営戦略の一環としてシステム戦略方針を明確にした上で、中長期の開発計画を策定しているか。

      また、中長期の開発計画は、取締役会の承認を受けているか。

    • マル2現行システムに内在するリスクを継続的に洗い出し、その維持・改善のための投資を計画的に行っているか。

    • マル3開発案件の企画・開発・移行の承認ルールが明確になっているか。

    • マル4開発プロジェクトごとに責任者を定め、開発計画に基づき進捗管理されているか。

    • マル5システム開発に当たっては、テスト計画を作成し、ユーザー部門も参加するなど、適切かつ十分にテストを行っているか。

    • マル6人材育成については、現行システムの仕組み及び開発技術の継承並びに専門性を持った人材の育成のための具体的な計画を策定し、実施しているか。

  • (7)システム監査

    • マル1システム部門から独立した内部監査部門が、定期的にシステム監査を行っているか。

    • マル2システム関係に精通した要員による内部監査や、システム監査人等による外部監査の活用を行っているか。

    • マル3監査対象は、システムリスクに関する業務全体をカバーしているか。

    • マル4システム監査の結果は、適切に取締役会に報告されているか。

  • (8)外部委託管理

    • マル1外部委託先(システム子会社を含む。)の選定に当たり、選定基準に基づき評価、検討のうえ、選定しているか。

    • マル2外部委託契約において、外部委託先との役割分担・責任、監査権限、再委託手続き、提供されるサービス水準等を定めているか。また、外部委託先の役職員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記しているか。

    • マル3システムに係る外部委託業務(二段階以上の委託を含む)について、リスク管理が適切に行われているか。

      特に外部委託先が複数の場合、管理業務が複雑化することから、より高度なリスク管理が求められることを十分認識した体制となっているか。

      システム関連事務を外部委託する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか。

    • マル4外部委託した業務(二段階以上の委託を含む)について、委託元として委託業務が適切に行われていることを定期的にモニタリングしているか。

      また、外部委託先任せにならないように、例えば委託元として要員を配置するなどの必要な措置を講じているか。特に共同センターの内部管理、開発・運用管理の状況について、報告を受けているか。

      さらに、システムの共同化等が進展する中、外部委託先における顧客データの運用状況を、委託元が監視、追跡できる態勢となっているか。

    • マル5共同センター等の重要な外部委託先に対して、内部監査部門又はシステム監査人等による監査を実施しているか。

    • (注)統合ATMスイッチングサービスなどの外部のサービスを利用する場合についてもこれに準じる。

  • (9)コンティンジェンシープラン

    • マル1コンティンジェンシープランが策定され、緊急時体制が構築されているか。

    • マル2コンティンジェンシープランの策定に当たっては、その内容について客観的な水準が判断できるもの(例えば「金融機関等におけるコンティンジェンシープラン(緊急時対応計画)策定のための手引書」(公益財団法人金融情報システムセンター編))を根拠としているか。

    • マル3コンティンジェンシープランの策定に当たっては、災害による緊急事態を想定するだけではなく、金融機関の内部又は外部に起因するシステム障害等も想定しているか。

      また、バッチ処理が大幅に遅延した場合など、十分なリスクシナリオを想定しているか。

    • マル4コンティンジェンシープランは、他の金融機関におけるシステム障害等の事例や中央防災会議等の検討結果を踏まえるなど、想定シナリオの見直しを適宜行っているか。

    • マル5コンティンジェンシープランに基づく訓練は、全社レベルで行い、共同センター等の外部委託先等と合同で、定期的に実施しているか。

    • マル6業務への影響が大きい重要なシステムについては、オフサイトバックアップシステム等を事前に準備し、災害、システム障害等が発生した場合に、速やかに業務を継続できる態勢を整備しているか。

  • (10)障害発生時の対応

    • マル1システム障害等が発生した場合に、顧客に対し無用の混乱を生じさせないよう、適切な措置を講じているか。

      また、システム障害等の発生に備え、最悪のシナリオを想定した上で、必要な対応を行う態勢となっているか。

    • マル2システム障害等の発生に備え、外部委託先を含めた報告態勢、指揮・命令系統が明確になっているか。

    • マル3経営に重大な影響を及ぼすシステム障害等が発生した場合に、速やかに代表取締役をはじめとする取締役に報告するとともに、報告に当たっては、最悪のシナリオの下で生じうる最大リスク等を報告する態勢(例えば、顧客に重大な影響を及ぼす可能性がある場合、報告者の判断で過小報告することなく、最大の可能性を速やかに報告すること)となっているか。

      また、必要に応じて、対策本部を立ち上げ、代表取締役等自らが適切な指示・命令を行い、速やかに問題の解決を図る態勢となっているか。

    • マル4システム障害等の発生に備え、ノウハウ・経験を有する人材をシステム部門内、部門外及び外部委託先等から速やかに招集するために事前登録するなど、応援体制が明確になっているか。

    • マル5システム障害等が発生した場合、障害の内容・発生原因、復旧見込等について公表するとともに、顧客からの問い合わせに的確に対応するため、必要に応じ、コールセンターの開設等を迅速に行っているか。

      また、システム障害等の発生に備え、関係業務部門への情報提供方法、内容が明確になっているか。

    • マル6システム障害等の発生原因の究明、復旧までの影響調査、改善措置、再発防止策等を的確に講じているか。

      また、システム障害等の原因等の定期的な傾向分析を行い、それに応じた対応策をとっているか。

    • マル7システム障害等の影響を極小化するために、例えば障害箇所を迂回するなどのシステム的な仕組みを整備しているか。

  • (参考) システムリスクについての参考資料として、例えば「金融機関等コンピュータシステムの安全対策基準・解説書」(公益財団法人金融情報システムセンター編)などがある。

III -3-7-1-3 監督手法・対応

  • (1)障害発生時

    • マル1一般的な対応

      • イ.コンピュータシステムの障害やサイバーセキュリティ事案の発生を認識次第、直ちに、その事実を当局宛てに報告を求めるとともに、「障害等発生報告書」(様式・参考資料編 様式4-45)にて当局宛て報告を求めるものとする。

        また、復旧時、原因解明時には改めてその旨報告を求めることとする。

        ただし、復旧原因の解明がされていない場合でも、1か月以内に現状についての報告を行うこととする。

        • (注)報告すべきシステム障害等

          その原因の如何を問わず、銀行等が現に使用しているシステム・機器(ハードウェア、ソフトウェア共)に発生した障害であって、

          • a.預金の払戻し、為替等の決済機能に遅延、停止等が生じているもの又はそのおそれがあるもの

          • b.資金繰り、財務状況把握等に影響があるもの又はそのおそれがあるもの

          • c.その他業務上、上記に類すると考えられるもの

          をいう。

          ただし、一部のシステム・機器にこれらの影響が生じても、他のシステム・機器が速やかに交替することで実質的にはこれらの影響が生じない場合(例えば、一部のATMが停止した場合であっても他の同一店舗若しくは近隣店舗ATMや窓口において対応が可能な場合。)を除く。

          なお、障害が発生していない場合であっても、サイバー攻撃の予告がなされ、又はサイバー攻撃が検知される等により、顧客や業務に影響を及ぼす、又は及ぼす可能性が高いと認められる時は、報告を要するものとする。

      • ロ.必要に応じて法第24条に基づき追加の報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出するものとする。

    • マル2緊急対応

      特に、大規模なシステム障害等の場合や障害の原因の解明に時間を要している場合等には、直ちに、障害の事実関係等についての一般広報及び店頭等における顧客対応等のコンティンジェンシープランの発動状況をモニタリングするとともに、迅速な原因解明と復旧を要請し、法第24条に基づき速やかな報告を求める。

      さらに、大規模なシステム障害等の復旧の見通しが不確実であり、市場取引、ATM取引・口座振替・給与振込等の決済システムに大きな影響が生じている場合には、早期に法第26条に基づく業務改善命令を発出することを検討する等の対応を行う。

  • (2)システムの更新時等

    銀行が重要なシステムの更新等を行う時は、必要に応じ、法第24条に基づく報告を求め、計画及び進捗状況、プロジェクトマネジメントの適切性・実効性等について確認する。

  • (3)問題認識時

    検査結果等により、システムリスクに係る管理態勢に問題があると認められる場合には、必要に応じ、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。

  • (4)外部委託先への対応

    システムに係る外部委託業務について、外部委託先における適切な業務運営が懸念される場合など、必要があると認められる場合には、 III -3-3-4-3の対応を行うものとする。

III -3-7-2 ATMシステムのセキュリティ対策

III -3-7-2-1 意義

ATMシステムは、簡便・迅速に各種サービスを提供するものであり、顧客にとって利便性が高く、広く活用されている。一方で、ATMシステムを通じた取引は、非対面で行われるため、異常な取引態様を確認できないことなどの特有のリスクを抱えている。

金融機関が顧客にサービスを提供するに当たっては、顧客の財産を安全に管理することが求められる。従って、利用者利便を確保しつつ、利用者保護の徹底を図る観点から、金融機関にはATMシステムの情報セキュリティ対策を十分に講じることが要請される。この点、預貯金者保護法は、偽造・盗難キャッシュカード等による預貯金の不正払戻しを未然に防止するため、必要な情報システムの整備を講じること、及び、顧客に対する情報提供、啓発及び知識の普及を銀行等の責務として規定している。

また、金融機関のATMシステムは、統合ATMスイッチングサービスを通じて他の金融機関と相互に接続していることから、仮にセキュリティ対策が脆弱なATMシステムを放置している金融機関が存在した場合、他の金融機関に対する影響が及ぶことにも留意し、セキュリティ対策を講じる必要がある。

III -3-7-2-2 主な着眼点

  • (1)内部管理態勢の整備

    犯罪技術の巧妙化等の情勢の変化を踏まえ、キャッシュカード偽造等の犯罪行為に対する対策等について、銀行が取り組むべき最優先の経営課題の一つとして位置付け、取締役会等において必要な検討を行い、セキュリティ・レベルの向上に努めているか。また、ATMシステムに係る健全かつ適切な業務の運営を確保するため、銀行内の各部門が的確な状況認識を共有し、銀行全体として取り組む態勢が整備されているか。

    その際、犯罪の発生状況などを踏まえ、自らの顧客や業務の特性に応じた検討を行った上で、必要な態勢の整備に努めているか。

    加えて、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなるいわゆるPDCAサイクルが機能しているか。

    (参考) 情報セキュリティに関する検討会で示されたPDCAサイクル

    • マル1金融機関側に起因するリスクの把握(内部管理態勢の整備状況、システム開発の体制、システムの特性、システムの外部委託の状況等)

    • マル2ATM利用に関するリスクの把握(取引限度額、利用可能時間、ATMの設置環境、周辺地域における犯罪発生状況等)

    • マル3上記リスク特性を踏まえ、どのような犯罪手口・リスクに対処すべきかの優先順位付け

    • マル4対策の実施

    • マル5対策の効果の検証、改善

  • (2)セキュリティの確保

    キャッシュカードやATMシステムについて、そのセキュリティ・レベルを一定の基準に基づき評価するとともに、当該評価を踏まえ、一定のセキュリティ・レベルを維持するために体制・技術、両面での検討を行い、適切な対策を講じているか。その際、情報セキュリティに関する検討会の検討内容等を踏まえ、体制の構築時及び利用時の各段階におけるリスクを把握した上で、自らの顧客や業務の特性に応じた対策を講じているか。また、個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指しているか。

    預貯金者保護法等を踏まえ、適切な認証技術の採用、情報漏洩の防止、異常取引の早期検知等、不正払戻し防止のための措置が講じられているか。その際、顧客の負担が過重なものとならないよう配慮するとともに、互換性の確保などにより利用者利便に支障を及ぼさないよう努めているか。

    高リスクの高額取引をATMシステムにおいて行っている場合、それに見合ったセキュリティ対策を講じているか。特に脆弱性が指摘される磁気カードについては、そのセキュリティを補強するための方策を検討しているか。また、国際的な業務展開を行っている銀行については、国際的なセキュリティトレンドに沿った対策を念頭におきながら、必要な検討を行っているか。

    • (参考1)セキュリティに関する基準としては、「金融機関等コンピュータシステムの安全対策基準・解説書」(金融情報システムセンター)などがある。

    • (参考2)リスクの把握に当たって参考となるものとしては、情報セキュリティに関する検討会における検討資料がある。

  • (3)顧客対応

    スキミングの可能性、暗証番号及びカードの盗取の危険性、類推されやすい暗証番号の使用の危険性、被害拡大の可能性(対策として、ATM利用限度額の設定等)、不必要に多くのカードを保有することによる管理上の問題等、キャッシュカード利用に伴う様々なリスクについて、顧客に対する十分な説明態勢が整備されているか。

    顧客からの届出を速やかに受け付ける体制が整備されているか。また、顧客への周知(公表を含む。)が必要な場合、速やかに周知できる体制が整備されているか。特に、被害にあう可能性がある顧客を特定可能な場合は、可能な限り迅速に顧客に連絡するなどして被害を最小限に抑制するための措置を講じることとしているか。

    不正払戻しに係る損失の補償に関する規程等は、預貯金者保護法に基づき、可能な限り明確かつ具体的な内容となっているか。また、その内容を顧客に対して十分説明・周知する態勢が整備されているか。

    • マル1犯罪予防策等に係る自行の対応も踏まえつつ、被害発生後の顧客に対する対応や捜査当局に対する協力に関する対応方針、基準等について、必要な検討を行っているか。

    • マル2被害が発生した場合の補償のあり方について、約款、顧客対応方針等において、統一的な対応を定めているか。

    • マル3専門の顧客対応窓口を設けるなどにより、適切かつ迅速な顧客対応を行う態勢が整備されているか。顧客に対して情報提供等の協力を求めるに当たっては、顧客の年齢、心身の状況等に十分配慮することとされているか。

    不正払戻しに関する記録を適切に保存するとともに、顧客や捜査当局から当該資料の提供などの協力を求められたときは、これに誠実に協力することとされているか。

  • (4)ATMシステムの運用・管理を外部委託している場合の対策

    ATMシステムに関し、外部委託がなされている場合、外部委託に係るリスクを検討し、必要なセキュリティ対策が講じられているか。

III -3-7-2-3 監督手法・対応

  • (1)犯罪発生時

    偽造キャッシュカード及び盗難キャッシュカードによる不正払戻しを認識次第、速やかに「犯罪発生報告書」にて当局宛て報告を求めるものとする。

  • (2)問題認識時

    検査結果、犯罪発生報告書等により、銀行のATMシステムのセキュリティ対策及び犯罪対策に係る管理態勢に問題があると認められる場合には、必要に応じ、法第24条に基づき追加の報告を求める。その上で、犯罪防止策や被害発生後の対応について、必要な検討がなされず、あるいは被害が多発するなどの事態が生じた場合など、利用者保護の観点から問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。

    (注)ATMシステムに関し、外部委託がなされている場合は、必要に応じて、 III -3-3-4-3の対応を行うものとする。

    (参考)

    • 「偽造キャッシュカード問題に関するスタディグループ最終報告書」(平成17年6月24日:偽造キャッシュカード問題に関するスタディグループ)
    • 「偽造・盗難キャッシュカードに関する預金者保護の申し合わせ」(平成17年10月6日:全国銀行協会)
    • 「金融機関の防犯基準」(警察庁)
    • 「全銀協ICキャッシュカード標準仕様」(全国銀行協会)

III -3-7-3 金融機関相互のシステム・ネットワークの利用

III -3-7-3-1 意義

現在、金融機関相互のシステム・ネットワークは、金融機関相互の金融取引の決済やCD/ATMオンライン提携などを行う上で、基幹インフラとしての機能を担っている。仮にシステム・ネットワークにおいて、障害が発生した場合は、その影響は決済システム全体及び顧客サービス全般に及びかねないことから、システム・ネットワークに係るリスク管理態勢の充実強化は極めて重要である。

III -3-7-3-2 主な着眼点

  • (1)統合ATMスイッチングサービス、全国銀行データ通信システム等の金融機関相互のシステム・ネットワークのサービスを利用する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか。

  • (2)特に、当該外部サービスにおいて、システムの更改を行う場合においては、顧客や業務に対する影響が生じないよう、当該外部サービスの管理者及び自行の双方において、適切なシステム上の対応がなされているかを十分に評価・確認し、必要な場合は、当該外部サービス管理者に対して適切な対策を求めるなどの対応がなされているか。

  • (3)特に、銀行が、当該システム・ネットワークの運営、更改に関して、主導的な役割を果たしている場合、顧客サービスや我が国の決済システム等に対する影響が生じないよう、当該外部サービス管理者とともに、適切かつ十分なリスク管理態勢、プロジェクトマネジメント態勢等を整備しているか。

III -3-7-3-3 監督手法・対応

検査結果等により、銀行のシステム・ネットワークに係る健全かつ適切な業務の運営に疑義が生じた場合には、必要に応じ、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。また、銀行が当該システム・ネットワークの運営、更改に関して、主導的な役割を果たしている場合において、当該システム・ネットワークに係るリスク管理態勢に疑義が生じた場合においても同様の対応を行うものとする。

(注)システム・ネットワークの外部サービス管理者のうち外部委託先に該当するものについて、適切な業務運営が懸念される場合などには、必要に応じて、 III -3-3-4-3の対応を行うものとする。

III -3-8 インターネットバンキング

III -3-8-1 意義

インターネットは、金融機関にとっては低コストのサービス提供を可能とするものであるとともに、利用者にとっては利便性の高い取引ツールとなり得るものである。一方、インターネットを通じた取引は、非対面で行われるため、異常な取引態様を確認できないことなどの特有のリスクを抱えている。

金融機関が顧客にサービスを提供するに当たっては、顧客の財産を安全に管理することが求められる。従って、金融機関においては、利用者利便を確保しつつ、利用者保護の徹底を図る観点から、インターネットバンキングに係るセキュリティ対策を十分に講じるとともに、顧客に対する情報提供、啓発及び知識の普及を図ることが重要である。

III -3-8-2 主な着眼点

  • (1)内部管理態勢の整備

    インターネットバンキングに係る犯罪行為に対する対策等について、犯罪手口が高度化・巧妙化し、被害が拡大していることを踏まえ、最優先の経営課題の一つとして位置付け、取締役会等において必要な検討を行い、セキュリティ・レベルの向上に努めるとともに、利用時における留意事項等を顧客に説明する態勢が整備されているか。また、インターネットバンキングの健全かつ適切な業務の運営を確保するため、銀行内の各部門が的確な状況認識を共有し、銀行全体として取り組む態勢が整備されているか。

    その際、情報共有機関等を活用して、犯罪の発生状況や犯罪手口に関する情報の提供・収集を行うとともに、有効な対応策等を共有し、自らの顧客や業務の特性に応じた検討を行った上で、今後発生が懸念される犯罪手口への対応も考慮し、必要な態勢の整備に努めているか。

    加えて、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなるいわゆるPDCAサイクルが機能しているか。

  • (2)セキュリティの確保

    情報セキュリティに関する検討会の検討内容等を踏まえ、体制の構築時及び利用時の各段階におけるリスクを把握した上で、自らの顧客や業務の特性に応じた対策を講じているか。また、個別の対策を場当たり的に講じるのではなく、効果的な対策を複数組み合わせることによりセキュリティ全体の向上を目指すとともに、リスクの存在を十分に認識・評価した上で対策の要否・種類を決定し、迅速な対応が取られているか。

    インターネットバンキングに係る情報セキュリティ全般に関するプログラムを作成し、各種犯罪手口に対する有効性等を検証した上で、必要に応じて見直す態勢を整備しているか。また、プログラム等に沿って個人・法人等の顧客属性を勘案しつつ、全国銀行協会の申し合わせ等も踏まえ、取引のリスクに見合ったセキュリティ対策を講じているか。その際、犯罪手口の高度化・巧妙化等(「中間者攻撃」や「マン・イン・ザ・ブラウザ攻撃」など)を考慮しているか。

    ウェブページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じているか。

    (注)情報の収集に当たっては、金融関係団体や金融情報システムセンターの調査等のほか、情報セキュリティに関する検討会や金融機関防犯連絡協議会における検討結果、金融庁・警察当局から提供された犯罪手口に係る情報などを活用することが考えられる。

    (参考)

    • セキュリティ対策向上・強化等に関する全国銀行協会の「申し合わせ」(平成24年1月、25年11月、26年5月、26年7月等)
    • インターネット・バンキングにおいて留意すべき事項について(全国銀行協会)
    • 金融機関等コンピュータシステムの安全対策基準・解説書(金融情報システムセンター)
    • 情報セキュリティに関する検討会における検討資料
  • (3)顧客対応

    インターネット上での暗証番号等の個人情報の詐取の危険性、類推されやすい暗証番号の使用の危険性、被害拡大の可能性(対策として、振込限度額の設定等)等、様々なリスクの説明や、顧客に求められるセキュリティ対策事例の周知を含めた注意喚起等が顧客に対して十分に行われる態勢が整備されているか。

    顧客自らによる早期の被害認識を可能とするため、顧客が取引内容を適時に確認できる手段を講じているか。

    顧客からの届出を速やかに受け付ける体制が整備されているか。また、顧客への周知(公表を含む。)が必要な場合、速やかにかつ顧客が容易に理解できる形で周知できる体制が整備されているか。特に、被害にあう可能性がある顧客を特定可能な場合は、可能な限り迅速に顧客に連絡するなどして被害を最小限に抑制するための措置を講じることとしているか。

    不正取引を防止するための対策が利用者に普及しているかを定期的にモニタリングし、普及させるための追加的な施策を講じているか。

    不正取引に係る損失の補償については、預貯金者保護法及び全国銀行協会の申し合わせの趣旨を踏まえ、利用者保護を徹底する観点から、個人顧客及び法人顧客への対応方針等を定めるほか、真摯な顧客対応を行う態勢が整備されているか。

    不正取引に関する記録を適切に保存するとともに、顧客や捜査当局から当該資料の提供などの協力を求められたときは、これに誠実に協力することとされているか。

  • (4)その他

    インターネットバンキングが非対面取引であることを踏まえた、取引時確認等の顧客管理態勢の整備が図られているか。

    インターネットバンキングに関し、外部委託がなされている場合、外部委託に係るリスクを検討し、必要なセキュリティ対策が講じられているか。

    (参考)

    • インターネット・バンキングにおいて留意すべき事項について(全国銀行協会)
    • 金融機関等コンピュータシステムの安全対策基準・解説書(金融情報システムセンター)
    • 預金等の不正な払戻しへの対応について(平成20 年2月19 日:全国銀行協会)
    • 法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方(平成26年7月17日:全国銀行協会)

III -3-8-3 監督手法・対応

  • (1)犯罪発生時

    インターネットバンキングによる不正取引を認識次第、速やかに「犯罪発生報告書」にて当局宛て報告を求めるものとする。

  • (2)問題認識時

    検査結果、犯罪発生報告書等により、銀行のインターネットバンキングに係る健全かつ適切な業務の運営に疑義が生じた場合には、必要に応じ、法第24条に基づき追加の報告を求める。その上で、犯罪防止策や被害発生後の対応について、必要な検討がなされず、被害が多発するなどの事態が生じた場合など、利用者保護の観点から問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。

  • (注) インターネットバンキングに関し、外部委託がなされている場合は、必要に応じて、 III -3-3-4-3の対応を行うものとする。

III -3-9 外部の決済サービス事業者等との連携

III -3-9-1 意義

フィンテックの進展に伴い、スマートフォンのアプリ等を用いて、インターネット口座振替サービス等の方法により預金口座と連携させる決済サービス(以下「連携サービス」という。)を提供する事業者(以下「連携サービス提供事業者」という。)が多数登場している
 こうした連携サービスは、キャッシュレス社会の実現に向けて、利便性の高い金融サービスを国民に提供していくこととなる一方で、連携サービスを悪用し、連携を行う預金口座の預金者になりすまして不正な取引を行う事案が発生するなど、連携サービスを狙う犯罪が発生していることを踏まえ、連携サービス全体のリスクを把握し、安全性を確保していくことが、銀行及び連携サービス提供事業者の双方にとって重要な課題となっている。
 銀行は、顧客保護を図るとともに預金口座の信認を確保するため、連携サービスに係るセキュリティ対策等を講じる必要があるが、その場合には

・連携サービスは、直接的には連携サービス提供事業者が利用者に提供するサービスであるが、連携サービスの利用者は預金者であることを踏まえ、銀行は連携サービス提供事業者と共に顧客保護に係る態勢を適切に構築する必要があること

・連携サービスに係る不正取引の態様によっては、インターネットバンキングを利用していない預金者にも被害が生じるおそれがあること

・連携サービス全体のリスクを把握して、預金口座との連携や連携サービスへの口座振替、不正取引のモニタリング、不正出金等が発生した場合の顧客対応や補償といった連携サービスの各段階における対策を講じる必要があること

といった連携サービス特有の留意点を踏まえた上で、連携サービス提供事業者とも協力し、顧客保護と利用者利便の向上とを両立する必要がある。

(注)銀行は、連携サービス提供事業者以外の事業者との間でも口座振替契約等に基づく資金移動を行っているが、こうした場合でも銀行は、当該口座振替契約等における預金者へのなりすましや資金移動に係るリスクを適切に把握し、本監督指針の趣旨も踏まえ、そのリスクやサービスの特性に応じた対策を取る必要があることに留意する。

III -3-9-2 主な着眼点

  • (1)内部管理態勢

    • マル1預金口座に係る不正取引等、犯罪行為の手口が高度化・巧妙化していることを踏まえ、連携サービスに係る対策についても最優先の経営課題の一つとして位置付け、取締役会等において必要な検討を行い、セキュリティ・レベルの向上を図り、安全性と利便性とを両立させたサービスの提供に努めているか。

    • マル2連携サービスに係る責任部署を明確化し、連携サービスに係る業務の実施状況(連携サービス提供事業者における業務の実施状況(連携サービスの内容を変更する場合を含む。)を含む。)を定期的又は必要に応じてモニタリングする等、連携サービス提供事業者において連携サービスに係る業務を適切に運営しているか確認する態勢が構築されているか。

    • マル3連携サービスに係る不正取引の発生状況や犯罪行為の手口、顧客からの相談等に係る情報を収集・分析し、セキュリティの高度化や連携サービスに係るリスクの早期検知・改善を行うなど、連携サービスに係る業務の健全かつ適切な運営が確保される態勢が構築されているか。また、金融関係団体と必要な情報・分析結果を連携する態勢が構築されているか。

    • マル4内部監査部門は、定期的又は必要に応じて、連携サービスに係る業務の実施状況(セキュリティ・レベルに関する事項を含む。)について監査を行っているか。また、その内容を取締役会等に報告しているか。

    • マル5連携サービスに係るリスク分析、対策の策定・実施、効果の検証、対策の評価・見直しからなるいわゆるPDCAサイクルが機能しているか。

  • (2)セキュリティの確保

    • マル1連携サービスに係る不正取引を防止し、顧客保護を図る観点から、連携サービス提供事業者と協力し、連携サービス全体のリスクを継続的に把握・評価し、当該評価を踏まえ、一定のセキュリティ・レベルを維持するために体制・技術、両面での検討を行い、適切な対策を講じているか。また、連携サービス提供事業者が行うリスク評価や検証に係る作業に協力しているか。

    • マル2預金者へのなりすましによる不正取引を防ぐため、連携サービス提供事業者において実施している当該サービス利用者に対する取引時確認や預金者との同一性の確認の状況等を継続的に把握・評価し、当該評価を踏まえた適切なセキュリティ管理態勢を構築しているか。また、必要に応じて、連携サービス提供事業者の実施する預金者との同一性の確認などに協力しているか。

    • マル3預金口座との連携を行う際に、固定式のID・パスワードによる本人認証に加えて、ハードウェアトークン・ソフトウェアトークンによる可変式パスワードを用いる方法や公的個人認証を用いる方法などで本人認証を実施するなど、実効的な要素を組み合わせた多要素認証等の導入により預金者へのなりすましを阻止する対策を導入しているか。

      (注)実効的な認証方式についてはⅢ-3-7-1-2(5)⑦を参照。なお、実効的な認証方式などのセキュリティ対策は、情報通信技術の進展により様々な方式が新たに開発されていることから、定期的又は必要に応じて見直しを行う必要があることに留意。

    • マル4連携サービスに係る不正取引のモニタリングでは、犯罪手口の高度化・巧妙化を含めた環境変化や不正取引の発生状況等を踏まえた適切なシナリオや閾値を設定するなど、早期に不正取引を検知可能とするモニタリング態勢を構築しているか。

    • マル5資金を事前にチャージして利用する連携サービスなど、銀行が連携サービス利用者による取引をモニタリングすることが困難な場合には、当該連携サービス提供事業者による不正取引をモニタリングする態勢を確認するとともに、犯罪発生状況や犯罪手口に関する情報を適切に連携するなど、顧客被害の拡大を防止する態勢が整備されているか。

    • マル6連携サービスに係る不正取引を検知した場合、速やかに利用者に連絡する、不正取引が行われているおそれのある口座に係る取引を一時停止するなど、被害の拡大防止を図る態勢が構築されているか。

    • マル7顧客が早期に被害を認識可能とするため、連携サービスに係る口座振替契約の締結時などに、顧客への通知などにより、顧客が適時に取引の状況を確認できる手段を講じているか。

    • マル8上記の過程で、連携サービス全体に脆弱性が認められる場合には、連携サービスを一時停止する等の対応を取り、脆弱性を解消してからサービス再開を行う態勢としているか。

    • マル9犯罪手口の高度化・巧妙化を含めた環境変化や、犯罪発生状況を踏まえ、リスクを継続的に把握・評価し、必要に応じて認証方法の高度化を図るなど不正防止策の継続的な向上を図っているか。

    • (参考)
    •  ・「資金移動業者等との口座連携に関するガイドライン」(令和2年11月30日:全国銀行協会)
  • (3)顧客保護

    • マル1連携サービスは、連携サービス提供事業者が直接的に利用者との接点を持つサービスであるが、銀行においても、連携サービスの利用者が預金者であること、預金口座と連携した上で提供されるサービスであることを踏まえ、利用時における留意事項等を顧客に説明する態勢を整備するとともに、連携サービスに係る利用者からの相談を受け付ける態勢を整備しているか。

    • マル2連携サービスにおいて不正取引が発生した場合を想定し、連携サービス提供事業者との間で連絡体制の構築や被害の公表方針の策定といった被害拡大防止に係る適切な態勢を構築しているか。

    • マル3事前に連携サービス提供事業者との間で業務運営に当たって生じる責任分担などが取り決められているか。特に、不正取引により顧客被害が発生した場合には、速やかに損失の補償を行う必要があることを踏まえ、事前に連携サービス提供事業者との間で補償方針や補償の分担についての取決めを行っているか。

      (注)連携サービスに係る不正取引の被害者は、必ずしも当該連携サービスの利用者に限られないことから、顧客から不正取引に係る相談や届出を受けた場合には、銀行に帰責性が無い場合であっても、迅速かつ真摯な対応を行うとともに、必要に応じて連携サービス提供事業者と協力して対応する必要がある点に留意する。

    • (参考)
    •  ・「預金等の不正な払戻しへの対応について」(平成20年2月19日:全国銀行協会)
    •  ・「資金移動業者等との口座連携に関するガイドライン」(令和2年11月30日:全国銀行協会)

III -3-9-3 監督手法・対応

  • (1)犯罪発生時

    • 連携サービスによる不正取引を認識次第、速やかに「犯罪発生報告書」にて、当局宛て報告を求めるものとする。

  • (2)問題認識時

    • 検査結果、犯罪発生報告書等により、銀行の連携サービスに係る健全かつ適切な業務の運営に疑義が生じた場合には、必要に応じ、法第24条に基づき追加の報告を求める。その上で、犯罪防止策や被害発生後の対応について、必要な検討がなされず、被害が多発するなどの事態が生じた場合など、利用者保護の観点から問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。

III -3-10 システム統合リスク・プロジェクトマネジメント

III -3-10-1 意義

III -3-10-1-1 システム統合リスク

主要行等のシステムについては、規模が大きく構成が複雑なことに加え、累次の経営再編によりシステム構成、システム運用体制が一層複雑化しており、銀行業務におけるIT(情報通信技術)依存度の高まりやオンライン・リアルタイム・ネットワークの拡大と相俟って、システムの安全性・安定性の確保が重要な経営課題となっている。

特に、合併等の経営再編に伴うシステム統合において大規模なシステム障害が発生し、経営陣が経営責任を問われる事態も発生していることから、合併等を行うに際し、システム統合リスク管理態勢の構築は最重要課題のひとつとなっている。

(参考)金融機関のITガバナンスに関する対話のための論点・プラクティスの整理(令和元年6月)別添「システム統合リスク管理態勢に関する考え方・着眼点(詳細編)」

  • マル1「システム統合」とは、合併、事業譲渡、持株会社化、子会社化及び業務提携等の経営再編(「経営統合」)により、システムを統合、分割又は新設することをいう(システムの共同開発・運営を含む。)。

  • マル2「システム統合リスク」とは、システム統合における事務・システム等の統合準備が不十分なことにより、事務の不慣れ等から役職員が正確な事務を誤り、あるいはコンピュータシステムのダウン又は誤作動等が発生し、その結果、顧客サービスに混乱をきたす、場合によっては金融機関等としての存続基盤を揺るがす、さらには決済システムに重大な影響を及ぼすなど、顧客等に損失が発生するリスク、また統合対象金融機関等が損失を被るリスクである。

III -3-10-1-2 システム統合リスクの「リスク特性」とリスク軽減策

  • (1)主要行等が、システム統合を行う場合のリスクは多岐にわたるが、

    • マル1広範囲の個人顧客に利用されているATM取引やテレフォンバンキング等において、顧客との確実な取引確保のため、安定的かつ確実なシステム運営が必要であること、

    • マル2口座振替・給与振込等が極めて大規模に行われている状況の下では、システムダウン等が決済システムに与える影響が極めて重大であること、

    • マル3合併等の経営統合により、営業店の体制も事務処理の方式等が抜本的に変化することとなる中で、営業基盤となる事務環境の整備なくしては、顧客に対して十分なサービスを提供できないこと、等からすれば、とりわけ事務リスク・システムリスクに係るリスク管理の強化が重要である。

      すなわち、「システム統合リスク」とは、単にシステムの開発にかかわるリスクに限られるのではなく、事務(ユーザー)部門における事務処理対応、営業店における顧客対応等の「事務リスク」の分野を広く包摂したものであって、対象銀行の経営陣の責任において、「顧客利便」を最重要視した複合的なリスク管理が求められている点が重要である。

  • (2)リスク軽減策の基本的考え方

    システム統合リスクのリスク量は、事象(イベント)の発生確率と発生した場合の影響度(インパクト)の積で認識すべきものであり、主要行等の業容等からすれば、以下のような徹底したリスク軽減策が求められることに留意する必要がある。

    • マル1発生する確率は低い事象でも、発生した時にはその影響が極めて大きいため、コンティンジェンシープランを発動しても制御し切れず、結果として顧客や決済システム等に大きな影響・障害を与えるリスク事象があることを重視し、そのようなシステム及び業務・事務を網羅的に洗い出して、徹底したテスト・リハーサル等により、これらの発生を確実に防止することが基本となる。

    • マル2さらに、上記以外のリスク事象についても、同様の対策を講じて、少なくとも発生確率を一定水準以下に抑制する。

    • マル3以上のリスク軽減策に見合うコンティンジェンシープランを整備し、各種リスク事象が複合的に顕在化(障害が同時発生)しても、顧客に大きな影響を及ぼすことを回避できるような体制を整備する。

III -3-10-1-3 プロジェクト管理(プロジェクトマネジメント)の重要性

合併に伴うシステム統合の実施に当たっては、下記のような合併時固有の事情から、システム開発会社だけではなく、銀行においても、実効性のあるプロジェクト管理態勢の構築(いわゆる「プロジェクトマネジメント」の実施)が不可欠であると考えられる。

  • (1)合併に伴うシステム統合についてみると、合併する複数の銀行の経営陣は、制約のあるスケジュールと競争・競合環境の下で、マル1合併後の経営戦略・ビジネスモデルの構築、マル2人事体制・リストラ計画の策定、マル3統合比率の決定等の重要な経営判断を迅速に行う必要があること。

    こうした中で、合併の日程は、システム統合の準備に要する期間のみを勘案して決定されるわけではなく、合併対象銀行の経営を巡る様々な要因の影響を受けるので、結果として、システムのテストや営業店における事務の習熟に十分な時間を確保できず、大規模な障害を起こした事例が見られること。

  • (2)合併を実現するプロセスの基本的なパターンは、マル1基本合意、マル2合併契約の締結(統合比率を含む。)、マル3株主総会の承認、マル4合併の認可申請・認可、マル5合併であり、対象銀行の経営陣としては、株主の了承と複数の関係当局(注)の認可等を得る必要があること。

    (注) 関係当局としては、金融監督当局、公正取引委員会のほか、海外拠点の監督当局がある。

  • (3)主要行等の場合の合併によるシステム統合の想定されるパターンは、例えば以下のような、長期にわたる複雑なプロジェクトであること。

    • マル1システム統合は以下のような2段階で行われることが多く、合併の基本合意から完全なシステム統合の実現まで長期間(3年~)を要することもあること。

      • イ.第一段階:合併(行名、店名、店番の変更)時は、旧行のシステムは並列して存続させ、その間をつなぐ中継・連携システムを稼動

      • ロ.第二段階:完全な統合システムを稼動させ、商品・サービスの一本化、店舗統廃合を本格化

    • マル2第二段階も、全店が同時に移行するのではなく、店別に移行する「店群移行方式」が採用されることがあること。

    • マル3持株会社の下、銀行、信託銀行、金融商品取引業者等の合併・システム統合が並列して行われることがあること。

III -3-10-2 主な着眼点

検証に当たっての基本的な着眼点は、「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」(令和元年6月)別添「システム統合リスク管理態勢に関する考え方・着眼点(詳細編)」に示されているところによるが、以下は、主要行等の業態の特徴、規模、過去の事例から得られた反省と教訓等を勘案して、より具体化した着眼点を例示したものである。

  • (1)取締役の責任分担及び経営姿勢の明確化

    経営統合を行う複数の銀行(以下 III -3-10-2において「対象銀行」という。)の代表取締役は、上記 III -3-10-1のようなシステム統合リスクのリスク特性やプロジェクトマネジメントの重要性を正確に認識しているか。

    対象銀行の代表取締役は、システム統合に係る役職員の責任分担を明確化するとともに、自らの経営姿勢を明確化しているか。

  • (2)システム統合方式に係る経営判断の合理性

    対象銀行の取締役会は、システム統合の方式決定に当たり、対象銀行間の軋轢を排除し、十分な協議を行い、合併までのスケジュール、合併後の経営戦略等に基づき、システム統合実施までの準備期間を十分に確保した上で、合理的な意思決定が行われているか。

  • (3)システム統合計画とその妥当性

    • マル1事務・システム両面にわたる徹底したリスクの洗出しと軽減策

      対象銀行の取締役会は、統合前のそれぞれのシステムの実態及びこれまでのシステム障害の事例等を踏まえ、システム統合において対顧客障害を起こさないという観点から、上記 III -3-10-1を踏まえ、事務・システム両面にわたる徹底したリスクの洗出しと軽減策を講じた上で、システム統合計画を策定しているか。

      事務・システム両面にわたり十分かつ保守的な移行判定項目・基準を策定しているか。

    • マル2システム統合計画の妥当性

      あらかじめ決められた統合の期限を優先するあまり、リスク管理を軽視した計画等となっていないか、第三者機関の評価等も活用して、計画の妥当性につき客観的・合理的に検証しているか。

      また、移行判定項目・基準等においては、全ての役職員がいつまでに何をすべきかを明確に定めたものとなっているか。

  • (4)銀行における十分なテスト・リハーサル体制の構築

    これまでの障害事例の反省として、ほとんどのケースにおいて「十分なテスト・リハーサルを行わなかったこと」が挙げられていることを踏まえ、

    • マル1レビューやテスト不足が原因で、顧客に影響が及ぶような障害や経営判断に利用されるリスク管理用資料等の重大な誤算が発生しないような十分なテスト、リハーサルの体制を整備しているか。具体的には、工程毎のレビュー実施状況を検証し、品質状況を管理するためのレビュー実施計画や、システム統合に伴う開発内容に適合したテスト計画が策定され、実施するための体制が整備されているか。

      特に、ファイル移行等に関する最終的な品質は、全店・全量データによる機能確認を行わないと判定できないことを踏まえたテスト計画となっているか。さらに、テスト期間中に判明する想定外の不整合データについてのデータクレンジング等の追加的な事務負担を織り込んで、スケジュール管理が行われているか。

    • マル2システムの開発内容に関係ない部分であっても、例えば対外接続系に使用されていたベンダーのパッケージソフトの潜在的な不具合が統合時に顕在化し、結果として大規模な障害に発展する等、全く想定外のリスク事象が発生することがあることにかんがみ、影響がないと見込まれる部分であっても影響がないことを確認するためのテスト等を可能な限り計画しているか。

    • マル3統合後の業務運営の検証のため、本番環境を想定した訓練やリハーサルは、可能な限り全営業部店(ATMを含む。)や対外チャネル(全銀システム、統合ATMスイッチングサービス、手形交換、日銀RTGS等)に同時並行的にピーク時の負荷をかける等、できる限り忠実に本番に近い環境を再現して行うこととしているか。

    • マル4統合により、事務処理の方式が抜本的に変化する営業部店において、いわゆる追付き開発・差分開発の見送りに伴う事務負担の増加への対応を含め、事務手続きの習得教育・障害訓練は十分行われているか。さらに、その進捗状況を把握・評価する体制が整備されているか。

  • (5)対顧客説明、接続テスト実施体制の構築

    • マル1顧客折衝の実施計画や折衝に当たって必要な役職員研修の具体的な実行計画等、顧客への周知・説明態勢の十分な整備、研修やマニュアルの実行可能性について、個別具体的な検証がなされているか。

    • マル2システム統合により、取り扱う金融サービス(例えば、手数料の徴求形態、資金入金日等に至るまで)に変更がある場合には、顧客利便性に配慮した検討を行ったうえで、顧客への周知が適切に行われているか。

    • マル3口座振替、エレクトロニックバンキング等の顧客とつながりのある取引について、顧客側の事情を勘案した接続テストの実施等スケジュールを策定し、顧客への説明を十分に行っているか。

      特に、これまでの障害事例の反省として「十分な接続テストを行わなかったこと」が挙げられていることから、顧客との接続テストは、可能な限り全て実施することを基本として計画を組んでいるか。

      接続テストを行わないケース又は行う必要がないと考えられるケースについても、可能な限り実データ等により問題が起きないことを確認することとしているか。

    • マル4こうした対顧客説明、接続テスト等の進捗状況を把握・評価する体制が整備されているか。

  • (6)プロジェクトマネジメントのための基本的な体制整備

    • マル1対象銀行の取締役会は、システム統合は、単にシステムの問題としてではなく、事務処理対応及び顧客対応という事務リスクと密接不可分であること、また、一つの分野で発生するリスクが他の分野にも波及し、経営再編全体の大きな障害となる可能性があることを十分認識した上で、協調して、システム統合に係る計画・作業を統括管理する役員及び部門(以下「統括役員及び部門」という。)等を設置しているか。

    • マル2対象銀行間、取締役・統括役員及び部門間、開発部門・ユーザー部門間、同一部門内、営業店内における意思疎通が十分に図られる体制が整備されているか。

    • マル3対象銀行の取締役会並びに統括役員及び部門は、協調して統合プロジェクトの進捗状況を的確に把握できる体制を整備しているか。システム統合に関する情報が対象銀行の一部の役職員の間にとどまることのないよう銀行内、銀行間の報告体制が整備されているか。

  • (7)設計・開発段階からのプロジェクトマネジメント

    商品の整理・統合等に係る設計・開発段階から、事務(ユーザー)部門とシステム部門の間で認識の相違や、業務要件の洗出しの漏れ・仕様調整漏れが生じ、これが統合時の障害のひとつの原因となっていることから、設計・開発の各段階毎に品質管理が重要である。

    こうしたことを踏まえ、各工程の検証及び承認ルールを明確にする等、適切な管理が行われているか。特に、納期を優先するあまり、品質を犠牲にし、各工程の完了基準を満たさずに次工程に進むことがないか。

  • (8)外部委託先の管理態勢

    統合に係るシステム開発等の業務が外部委託される場合、当該委託先と統括部門との間の意思疎通が十分に図られる体制を整備しているか。

    外部委託先の作業の問題点の早期発見・早期是正がなされないと、追加テスト等を行うことによる遅延が発生することを踏まえ、外部委託業務の内容及びその進捗状況を的確に把握しているか。

    特に、対象銀行と複数の外部委託先が関与する場合、管理態勢の複雑化に伴うリスクを十分認識した上で、対象銀行が協調して、主体的に関与する体制となっているか。

  • (9)計画の進捗管理・遅延・妥当性の検証に係るプロジェクトマネジメント

    対象銀行の取締役会並びに統括役員及び部門は、システム統合計画の進捗管理に際し、協調して残存課題、未決定事項等の問題点の把握、解消予定の見定めが十分なされる体制となっているか。

    こうしたプロジェクトの進捗管理をしていく際には、常に計画の妥当性まで遡って検証しながら進めることとしているか。

    万一、何らかの理由によりシステム統合が遅延する等、不測の事態が生じた場合に協調して適切に対応できる体制を整備しているか。具体的には、システム統合が計画に比して遅延した場合にスケジュールを見直す基準が策定された上で取締役会の承認を得ており、それに基づいて適切な対応が図られる体制が整備されているか。

    また、協調して遅延の根本原因を究明し、対処する体制が整備されているか。

  • (10)資源配分及び計画の変更等に係るプロジェクトマネジメント

    • マル1統合の各段階において経営資源が適切に配分されているか等、対象銀行が協調して統合の段階毎の進捗について検証を行い、仮に問題点が把握された場合には、それに対し速やかに適切な方策を講じることとしているか。特定の部署・担当者に作業が集中することのないよう業務管理が適切に行われているか。

    • マル2計画の見直しに当たっては、変更後の計画が妥当なものであるか、変更により全体のプロジェクトにどのような影響があるかを十分検証、検討したものとなっているか。

  • (11)厳正な移行判定の実施

    • マル1対象銀行の統括役員及び部門は、 III -3-10-1を踏まえ安全性・安定性を確保するために適切に策定され、取締役会の承認を得た業務の移行判定基準(システムの移行判定基準を含む。)に従い、システムを含む統合後の業務運営体制への移行の可否を判断し、取締役会での承認を経て実行することとしているか。

      移行判定時までに、必要なテスト、リハーサル、研修及び訓練等(コンティンジェンシープランの訓練及びその結果を踏まえたプランの見直しまで含む。)が終了し、経営陣の判断するに当たっての不可欠な材料が全て揃うスケジュール・計画となっているか。

      移行判定の時期は、対外接続や顧客への対応も含めて、フォールバックが円滑に行われるよう、統合予定日から十分な余裕をもって遡って設定されているか。

    • マル2いわゆる店群移行方式においては、各回の移行毎に、前回移行までに発生した障害事例(例えば移行店と未移行店を跨ぐ処理に関してシステム又は運用に起因する障害、障害対応に起因する二次障害等)への対策の実施状況、移行対象店舗の特性(口座振替・財形等の個社対応をしている大口先の存在等)も勘案した移行判定を行うこととしているか。

  • (12)フォールバックの態勢整備

    移行判定時において統合不可(戻し、延期等)の判断がなされた場合、システム、内部事務、顧客対応等が円滑に行われる体制が整備されているか。

    システム統合日前後における不測の事態への対応プラン(システム統合の中止を含む。)が連携して策定され、取締役会の承認を得ているか。

  • (13)コンティンジェンシープランの確立

    既存のコンティンジェンシープランについて、システム統合後のシステムの構成や組織体制に基づいた見直しを行った上で、取締役会の承認を受けているか。

    また、システム統合に係るコンティンジェンシープランが、同様に策定されているか。特にこれまでの事例を踏まえ、対象銀行は連携して、

    • マル1システム障害等の不測の事態が発生した場合、システムが完全復旧するまでの代替手段を検討・整備しているか。

    • マル2口座振替の処理遅延やATM障害が取引のピーク日に発生した場合、二重引落や通帳への記帳ミス等の二次的災害を防止するためのマニュアル対応及び営業店等における訓練が十分に行われる体制が整備されているか。

      また、統合後の事務処理に不慣れな営業店の店頭の混乱等による顧客サービスの低下を防止するための体制が整備されているか。

      システムが完全復旧するまでの間、手作業に頼らざるを得ない場合に備え、軽微な障害であっても短期間に同時多発する可能性も考慮して、事務量を適切に把握し、必要な人員の確保が迅速にできる体制が整備されているか。

    • マル3システム障害等の不測の事態が発生した場合、障害の内容・原因、復旧見込等について公表するとともに、顧客からの問い合わせに的確に対応するため、コールセンターの開設等を迅速に行うこととしているか。

    • マル4単に机上のプランにとどまらず、実際に十分な回数の訓練を行い、その結果を踏まえて、必要に応じプランの見直しを行って、実効性を確保しているか。

  • (14)実効性のある内部監査、第三者評価

    • マル1対象銀行の内部監査部門(以下「内部監査部門」という。)は、単なる進捗状況のモニタリング・検証のみならず、各問題が統合計画に与える影響やシステム統合リスク管理態勢の実効性といった観点から監査するものと位置付けられた上で、協調して業務監査及びシステム監査を行うことができる体制となっているか。また、システムの開発過程等プロセス監査に精通した要員を確保しているか。

    • マル2システム統合に係る重要事項の判断に際して、システム監査人による監査等の第三者機関による評価を、その限界も見極めつつ、効果的に活用しているか。

  • (15)銀行持株会社による統括機能

    銀行持株会社の下で子銀行等のシステム統合が行われる場合には、銀行持株会社の経営管理機能の一環として、システム統合リスク管理機能(プロジェクト管理機能を含む。)が適切に発揮されているか。( IV -4参照)

III -3-10-3 監督手法・対応

  • (1)銀行が、システム統合等を行う場合にあっては、基本合意等の公表を受けて、法第24条に基づき、システム統合の計画(スケジュールを含む。)及びその進捗状況、並びに、システム統合リスク管理及びプロジェクトマネジメントの態勢について、定期的に報告を求めて実態を把握し、重大な問題がないか検証する。

  • (2)システム統合リスク管理態勢等に関する検査結果通知が行われた場合には、法第24条に基づき、指摘事項について、事実確認、発生原因分析、改善対応策、その他を取りまとめた報告、及び、リスクを適正に制御する方策(計画を的確に履行するための方策、内部監査を含む内部管理態勢等)についても報告を求め、システム統合リスク管理態勢(プロジェクトマネジメントの態勢を含む。以下同じ。)に問題がないか検証する。

    さらに、定期的にフォローアップ報告を求めて、検査結果を受けた改善・対応策の進捗状況、プロジェクト管理態勢の実効性等の確認を行う。

  • (3)システム統合に係る移行判定が行われたときは、その判断の根拠等につき、法第24条に基づく報告を求める。

    店別に統合システムに移行する「店群移行方式」が採用される場合には、各回の移行判定の都度、同様の報告を求める。また、各回の移行後、その評価に係る報告を次回の移行判定の前までに求める。

  • (4)上記(1)~(3)のいずれかの検証等の結果、問題がある場合には法第24条に基づき報告を求め、重大な問題がある場合には、法第26条に基づき、システム統合リスク管理態勢に関する業務改善命令を発出するものとする。

  • (5)システム統合に係る経営統合が当局の認可を要する場合(例えば合併の場合)には、当該認可申請に対し、法令に基づく審査基準の範囲内で、システム統合計画を的確に履行するための方策、内部監査を含む内部管理態勢等その他 III -3-10-2を踏まえた資料の提出を求め、システム統合リスク管理態勢に問題がないか審査し、必要に応じ所要の調整を経て、又は法第54条に基づき必要な条件を付して認可することとする。

    また、合併等の認可後から当該システム統合完了までの間、法第24条に基づく報告を定期的に求めるものとする。

  • (6)なお、システム障害発生時の着眼点と対応については、 III -3-7-1-2(10)、 III -3-7-1-3(1)等にも留意する。

  • (7)外部委託先の業務運営が特に懸念される場合

    III -3-7-1-3(4)等にも留意する。

III -3-11 海外業務管理

III -3-11-1 意義

内外の金融機関の巨額損失事件等の発生に象徴されるように、銀行の業務や提供する金融サービスがクロスボーダーに展開され、様々なリスクを伴う今日、当該業務を所管する銀行本部(国内)の経営管理・業務統括管理部署等は、海外の営業拠点(支店、現地法人等)の業務運営の状況を統括的に監督・管理する態勢を整備し、堅持することが、より一層重要になっている。また、FATF勧告等に基づく国際的なテロ資金供与及びマネー・ローンダリング対策を実効性あるものとするためには、国内のみならず、犯収法施行規則第32条第2項及びマネロン・テロ資金供与対策ガイドラインに基づき、海外営業拠点における業務についても、これらの対策につき適切な対応を行うための態勢を整備することが求められている。

III -3-11-2 主な着眼点

  • (1)本店及び海外営業拠点経営陣等による拠点経営・業務運営の役職員の人事管理を含めた適正な管理

    • マル1各海外営業拠点の経営・業務に精通する拠点経営陣及び本店派遣行員の選任と適正な配置が行われているか。

    • マル2各海外営業拠点の業務運営実態及び現地法制に十分な知識・経験を有する内部監査担当者及び法令等遵守担当者等が配置されているか。内部監査担当者は拠点長から独立し、本店監査部等に直結しているか。法令等遵守担当者は各国に配置されているか。

    • マル3現地採用の行員・従業員等に対し、業務運営上必要な法令諸規則及び行内規程等の遵守を図る研修等を定期的に実施しているか。

  • (2)海外営業拠点のリスク管理・内部管理態勢の点検・改善・充実

    • マル1海外営業拠点の業務運営実態やリスクに即した検査の実施及び検査体制の整備がされているか。

    • マル2業務リスクや必要性に応じて外部の専門家等による業務監査が実施されているか。

    • マル3検査結果及び内部(外部)監査結果は、適切に経営陣に報告されているか。

    • マル4海外営業拠点の市場リスク及びシステムリスク管理体制を含む各種リスク管理態勢は整備されているか。また、リスク度合い等に応じて各種リスク管理手法の高度化が図られているか。

    • マル5特に、内外の金融機関の巨額損失事件等の事例や発生原因を踏まえ、フロントとミドル及びバックオフィスの各部署の管理者のそれぞれの役割と権限を明確にし、実効性のあるリスク管理と内部けん制が機能する態勢となっているか。

    • マル6各海外営業拠点において銀行業務を営むために必要な事務の一部又は全部を外部委託している場合には、 III -3-3-4「外部委託」を参考に、業務委託の実態及びリスクに応じた管理態勢等が適正に整備されているか。

  • (3)海外営業拠点の報告・モニタリング体制の整備・強化

    • マル1海外営業拠点の業務運営実態やリスクに応じた、適正な行内の報告体制が整備されているか。特に、不祥事件及びその他業務運営上の重大な問題等が発生した場合の適時・適切な報告を行う体制が、営業拠点内及び銀行本部(国内)との間で適切に構築されているか。

    • マル2不祥事件及びその他業務運営上の重大な問題等が発生した海外営業拠点の初動対応の適正化が図られているか。また、報告を受けた問題等に海外営業拠点や銀行本部(国内)が迅速かつ適切に対応することができる経営管理・業務統括管理機能の整備・強化が図られているか。

    • マル3経営管理・業務統括管理部署等による報告内容・発生事象等の分析・モニタリングと情報の共有化が図られているか。

    • マル4海外監督当局に対する適切な対応等

      • イ.海外監督当局が通常実施する検査・監督に、迅速かつ適切に対応できる人的構成・体制の整備及び維持が図られているか。

      • ロ.海外監督当局との直接対話や円滑なコミュニケーションを確保する観点から、問題等が発生した場合にも迅速かつ適切な説明を実施することができる報告体制が整備されているか。

      • ハ.海外監督当局に報告された事柄、事故、不祥事件等について、銀行本部(国内)の経営陣及び経営管理・業務統括管理部署等の適時・適切な関与・判断を可能にする責任分掌体制の整備・明確化が図られているか。

  • (4)海外営業拠点のテロ資金供与及びマネー・ローンダリング対策の態勢の整備

    • マル1海外営業拠点においても、適用される現地の法令等が認める限度において、国内におけるのと同水準で、テロ資金供与及びマネー・ローンダリング対策を適切に行っているか。

      (注)特に、FATF勧告を適用していない又は適用が不十分である国・地域に所在する海外営業拠点においても、国内におけるのと同水準の態勢の整備が求められることに留意する必要がある。

    • マル2現地のテロ資金供与及びマネー・ローンダリング対策のために求められる義務の基準が、国内よりも高い基準である場合、海外営業拠点は現地のより高い基準に即した対応を行っているか。

    • マル3適用される現地の法令等で禁止されているため、海外営業拠点が国内におけるのと同水準の適切なテロ資金供与及びマネー・ローンダリング対策を講じることができない場合には、以下のような事項を速やかに金融庁又は本店所在地を管轄する財務局に情報提供しているか。

      • 当該国・地域
      • テロ資金供与及びマネー・ローンダリング対策を講じることができない具体的な理由
      • テロ資金供与及びマネー・ローンダリングに利用されることを防止するための代替措置を取っている場合には、その内容

III -3-11-3 監督手法・対応

  • (1)海外監督当局による検査結果、海外監督当局に届け出られた不祥事件等届出書などの報告を求め、これにより、海外営業拠点の監督・管理態勢に問題があると認められる場合には、業務運営の国際化や国際的なグループ化の進展に伴い、海外監督当局との連携強化の必要性が増すとともに、規制・基準の収斂の動きが加速している状況を踏まえ、関係する海外監督当局との連携を検討する。

  • (2)その際、関係する海外監督当局との情報交換等を通じて、海外営業拠点の業務運営状況を確認するとともに、問題認識の共有を図り、必要に応じて、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づく業務改善命令を発出する等の対応を行うものとする。

サイトマップ

ページの先頭に戻る