ニューヨーク州 金融サービス局

注意事項

• 本資料は、NYDFS(New York State Department of Financial Services)が公表した”NYDFS Cybersecurity Requirements for Financial Services Companies“を翻訳した資料です。
• 内容については、最大限の努力を持って正確に期していますが、本書の内容に基づく運用結果については責任を負いかねますので、ご了承ください。
• 他の翻訳は、『Scientia Securtity on GitHub』を参照してください。
• ブログは『セキュリティコンサルタントの日誌から』を参照してください。

行政規則集第23巻500編

金融サービス企業に対するサイバーセキュリティ要件

私、Maria T. Vullo金融サービス局局長は、金融サービス法 第102編、第201編、第201編、第202編、第301編、第302編、第408編に基づいて付与された権限に従い、ニューヨーク州行政規則集第23巻500編をここに交付する。ニューヨーク州官報に公開された時点で効力を生じ、以下のように制定する。

(All MATTER IS NEW)

Section 500.00 はじめに

ニューヨーク州金融サービス局は、国家、テロ組織、犯罪者による情報システム・金融システムに対する継続的な脅威を注意深く監視してきました。特に最近では、サイバー犯罪者は重要情報にアクセスするために技術的な脆弱性を悪用しようとしています。サイバー犯罪者は、不正な目的で個人情報を漏洩させたり奪取することにより、ニューヨーク州の消費者ばかりでなく、金融サービス局が監督している企業に対しても、大きな金銭的損失を与えようとしています。金融サービス業界は、サイバーセキュリティの脅威の重要な標的となりえます。金融サービス局は、多くの企業が積極的にサイバーセキュリティ・プログラムを導入して成功していることに感謝しています。

問題の深刻さと全ての規制対象企業に対するリスクを考慮すると、ある一定レベルのセキュリティ基準は保証されるべきだと考えています。但し、サイバーセキュリティ・プログラムは、関連するリスクと技術的進歩に即している必要があるため、過剰な制約を課す意図はありません。したがって、この規制は、規制対象企業の情報技術システムばかりでなく、顧客情報の保護を促進するように設計されています。この規制により、各企業は特定のリスクプロファイルを評価し、厳格な方法でリスクに対処するプログラムを設計する必要があります。経営層は、この問題を真剣に受け止め、組織のサイバーセキュリティ・プログラムに責任を負い、これらの規制に準拠していることを証明する書類を毎年提出しなければなりません。規制対象企業のサイバーセキュリティ・プログラムは、組織の安全性と健全性を確保し、顧客を保護しなければなりません。

まだサイバープログラムの導入を実施していない全ての規制対象企業は、迅速かつ早急にプログラムを導入し、当該プログラムが最低限の基準を満たしていることが重要になります。サイバー攻撃の数は着実に増加しており、金融サービス業界の潜在的なリスクのから逃れることは難しくなっています。そのためニューヨーク州としては、この規制に記載されているプログラムの導入を重要事項として位置づけています。

Section 500.01 定義

本規則の目的に限り、以下の定義を適用する：

(a) 関係組織（Affiliate） とは、当該当事者を支配するか、当該当事者に支配されるか、または当該当事者と共通の支配下にある法人を意味する。本規則の定義において「支配」とは、株式の保有もしくは他の手段により、組織の業務、経営方針に関して、直接または間接的に、指示もしくは指揮する権限の所持を意味する。

(b) 正規ユーザ（Authorized User） は、対象事業者のビジネス業務に携わり、対象事業者の情報システムとデータにアクセスできる権限を持つ従業員、 契約社員、 代理人、法人を意味する。

(c) 対象事業者（Covered Entity） とは、銀行法、保険法・金融サービス法など各種法律にて規定された手続き（※１）を元に業務を実施している法人を意味する。（※１：ライセンス取得・事業者登録・法人設立認可・資格・許可・それに準じる認可などを意味する。）

(d) サイバーセキュリティ・イベント（Cybersecurity Event） とは、情報システムへの不正アクセス・破壊・不正利用、もしくは情報システム上にあるデータを盗み出す目的で、成功可否にかかわらず発生したアクション・試行を意味する。

(e) 情報システム（Information System） とは、電子データの収集、処理、運用、利用、共有、普及、配備を管理するための電子データリソースの集合体、もしくは産業用制御システム、電話交換系統、構内交換機系統（PBX : Private Branch eXchange）、環境制御系統などを含む特定の目的に応じたシステムを意味する。

(f) 多要素認証（Multi-Factor Authentication） とは、以下に示す認証形式の中から少なくても2つ以上を利用して検証を行う認証メカニズムを意味する。

• (1) 知識認証 例えばパスワードなど
• (2) 所有物認証 例えばトークン、携帯電話のテキストメッセージなど
• (3) 生体認証 例えばバイオメトリックス認証など

(g) 非公開情報（Nonpublic Information） は公開情報ではない電子情報と以下に示す情報を指す。

• (1) 改竄・不正な開示・アクセス・不正利用により、対象事業者のビジネス業務、もしくはセキュリティに対して重大な悪影響を及ぼす対象事業者のビジネスに関する情報。
• (2) 名前・番号・個人商標・他の識別コードなどにより、あるいは以下のデータ要素の一つもしくは複数の組み合わせにより、個人を特定可能な情報:
  • (i) 社会保障番号
  • (ii) 運転免許証番号もしくは身分証明書番号
  • (iii) 口座番号、クレジットカードもしくはデビットカード番号
  • (iv) 個人の金融口座にアクセスする際に必要となるセキュリティコード、アクセスコード、もしくはパスワード
  • (v) 生体情報。
• (3) 医療サービス提供者・個人により作成される、もしくは以下の事象から派生・関連する情報（但し年齢または性別を除く）：
  • (i) 過去・現在・将来の個人・家族に関する身体・精神の健康状態
  • (ii) 個人への医療サービス提供
  • (iii) 個人への医療サービス提供に伴う支払い

(h) 法人（Person） とは、民間のパートナーシップ、企業、支店、代理店、協会など任意の個人・民間主体を意味する。

(i) 侵入テスト（Penetration Test） とは、 対象事業者の情報システムの内外から、コントロールやデータベースに不正にアクセスすることにより、情報システムのセキュリティ機能を評価するテスト手法を意味する。

(j) 公開情報（Publically Available Information） は、対象事業者が連邦・州または地方自治体の記録、広く配布された媒体、または連邦、州または地方の法律によって一般市民への開示が決められた情報など、合法的に利用可能と考えられる合理的な根拠を有する情報を指す。

• (1) 本規則の目的として、対象事業者は、以下の条件を満たしているか確認することにより、情報が合法的に利用可能だと考えられる合理的な根拠を有する。
  • (i) 一般可能に利用可能な情報であること。
  • (ii) 個人がその情報を一般に公開することが出来ないように指示できるか否か。（もし、個人が公開を止める権利がある場合は、公開を指示しないこと）

(k) リスク・アセスメント（Risk Assessment） とは、本規則のSection 500.09に基づき、書く対象事業者が実施を義務付けられている評価を意味する。

(l) リスクベース認証（Risk-Based Authentication） とは、ユーザの通常利用パターンからの変化・逸脱や異常パターンを検知した場合、秘密の質問などを通して、ユーザに関する追加認証を行う認証のリスクベースシステムである。

(m) 上級管理職（Senior Officer） は、対象事業者、およびこの規則の対象となる海外の金融機関の代理店もしくは支店も含む、経営・オペレーション・セキュリティ、情報システム、コンプライアンス、リスクに責任を持つ個人、個人の集合体（通常、会議体の形式をとる）を意味する。

(n) 外部委託先（Third Party Service Provider） とは、(i)対象事業者の関係組織に所属しておらず、(ii)対象事業者にサービスを提供し、 (iii) 対象事象者のサービス提供を通して、対象事業者の非公開情報の維持、処理、もしくは非公開情報へのアクセスが許可されている法人を意味する。

Section 500.02 サイバーセキュリティ・プログラム

(a) サイバーセキュリティ・プログラム。 各対象事業者は、保有する情報システムの機密性・完全性・可用性を守るために設計されたサイバーセキュリティ・プログラムを維持しなければならない。

(b) サイバーセキュリティ・プログラムは、対象事業者のリスク・アセスメントに基づき、かつ以下に示す基本的なサイバーセキュリティ機能を実行できるように設計されていなければならない。

• (1) 対象事業者の情報システムに保存されている非公開情報の完全性・セキュリティを脅かす内部・外部のサイバーセキュリティ・リスクを特定し評価すること。
• (2) 対象事業者の情報システムと情報システムに保存された非公開情報を不正アクセスや他の悪意のある攻撃から守るため、防御機能を持つインフラストラクチャを使い、ポリシー・プロシージャーを実装する必要がある。
• (3) サイバーセキュリティ・イベントを検知すること。
• (4) ネガティブな影響を緩和するため、特定・検知されたサイバーセキュリティ・イベントに対応すること。
• (5) サイバーセキュリティ・イベントから復旧して、サービスと通常業務に戻すこと。
• (6) 監督当局への報告義務を果たすこと。

(c) 対象事業者は、サイバーセキュリティ・プログラムが対象事業者の情報システム・非公開情報を包含しており、かつ該当要件を満たしていることを条件に、現時点で保持しているプログラムを利用して本規則の要件を満たすことができる。

(d) 対象事業者のサイバーセキュリティ・プログラムに関連する全ての資料と情報は、監督当局の要請に応じていつでも提出できる状態であること。

Section 500.03 サイバーセキュリティ・ポリシー

(a) サイバーセキュリティ・ポリシー。情報システムと情報システムに保存されている非公開情報の保護を目的とした指針・手順を定めるため、対象事業者の上級管理職、経営取締会、適切な委員会、もしくはそれらと同等の権限をもつ組織体により承認された明文化したポリシーを導入し、維持しなければならない。サイバーセキュリティ・ポリシーは、対象事業者のリスク・アセスメントに基づいて作成され、対象事業者の業務の適用範囲において、以下の分野について言及されていなければならない。

• (1) 情報セキュリティ
• (2) データ・ガバナンスとデータ分類
• (3) 資産の棚卸とデバイス管理
• (4) アクセスコントロールとユーザ管理
• (5) 事業継続と災害普及に関するプランとリソース
• (6) システム・オペレーションと可用性の検討
• (7) システムセキュリティとネットワークセキュリティ
• (8) システムとネットワークのモニタリング
• (9) システム開発、アプリケーション開発、およびそれらの品質保証
• (10) 物理セキュリティと環境制御
• (11) 顧客データのプライバシー
• (12) ベンダーと外部委託先管理
• (13) リスク・アセスメント
• (14) インシデントレスポンス

Section 500.04 最高情報セキュリティ責任者

(a) 最高情報セキュリティ責任者（Chief Information Security Officer）。 各対象事業者はサイバーセキュリティ・プログラムの導入と監督、およびサイバーセキュリティ・ポリシーの適用に責任を持つ適切な能力を持った個人を指名する必要がある。（本規則では、最高情報セキュリティ責任者もしくはCISOと呼ぶ。）CISOは、対象事業者の雇用者を任命することもできれば、関係組織・外部委託先の一人を任命することもできる。但し、関係組織・外部委託先の個人を利用して本用件を満たす場合、対象事業者は以下の条件を満たす必要がある。

• (1) この規則に遵守する責任を負うこと。
• (2) 対象事業者の人材から、外部委託先への指揮と監督に責任を持つ権限をもつ人材（Senior member）を指名すること。
• (3) 本規則の要求事項に従い、対象事業者を保護するサイバーセキュリティ・プログラムの維持について外部委託先に要請すること。

(b) 報告。 対象事業者のCISOは、対象事業者の経営取締役会、もしくはそれに準じる管理組織体において、少なくても年１回、報告書を提出する必要がある。もし、経営取締役会などに準じる会議体が存在しない場合、対象事業者のサイバーセキュリティ・プログラムに責任を持つ上級理職に対して当該報告が適切なタイミングで実施される必要がある。CISOは、サイバーセキュリティ・プログラムの状況と具体的なサイバーセキュリティ・リスクについて報告しなければならない。CISOは、以下の適用範囲について考慮する必要がある。

• (1) 非公開情報の機密性と情報システムの 機密性とセキュリティ
• (2) 対象事業者のサイバーセキュリティ・ポリシー・プロシージャー
• (3) 対象事業者に対する具体的なサイバーセキュリティ・リスク
• (4) 対象事業者のサイバーセキュリティ・プログラム包括的な有効性
• (5) レポートに言及されている期間における、対象事業者が関与した具体的なサイバーセキュリティ・イベント

Section 500.05 侵入テストと脆弱性診断

(a) 対象事業者のサイバーセキュリティ・プログラムは、プログラムの有効性を評価するため、リスク・アセスメントの結果に従い、モニタリング・検証されなければならない。モニタリング・検証は、継続な監視もしくは定期的な侵入テスト・脆弱性診断を含み、定期的に実施される必要がある。効果的な継続的なモニタリングや、脆弱性を生じさせる情報システムの変化を持続的に検知する仕組みが存在しない場合、対象事業者は以下のことを実施する必要がある。

• (1) リスク・アセスメントで検出された関連するリスクの内容に基づき、対象事業者の情報システムに対する年次侵入テストを実施する。
• (2) 年２回の脆弱性診断を実施する。脆弱性スキャンは機械的なスキャンもしく情報システムのレビューなどが該当し、リスク・アセスメントの結果に基づき、対象事業者の情報システム内に存在する既知のセキュリティ脆弱性が検出できる合理性な方法が採用されている必要がある。

Section 500.06 監査証跡

(a) 本項目はリスク・アセスメントに基づき、適用可能な範囲において、各対象事業者は以下の条件を満たす必要がある。

• (1) 通常業務と対象事業者の義務をサポートするために、十分かつ具体的に金融トランザクションを記録する仕組みであること。
• (2) 対象事業者の通常のビジネス業務の具体的な部分に対して被害を与えている合理的な可能性があるサイバーセキュリティ・イベントを検知・対応できるような監査証跡を含むこと。

(b) 各対象事業者は、最低５年以上、本条項で規定されている記録を保持しなければならない。

Section 500.07 アクセス権限

(a) サイバーセキュリティ・プログラムの一環として、リスク・アセスメントに基づき、各対象事業者は、非公開情報へのアクセス可能な情報システムへのアクセス権限を限定し、それらのアクセス権限は定期的に見直さなければならない。

Section 500.08 アプリケーション・セキュリティ

(a) 各対象事業者のサイバーセキュリティ・プログラムは、対象事業者により実施されている内部開発アプリケーションのセキュア開発の試みを確実にするため、明文化された実施手順・ガイドライン・スタンダードを用意しなければならない。また、対象事業者の技術環境を踏まえた上で、対象事業者により実施されている外部開発アプリケーションのセキュリティ評価・セキュリティ検証・セキュリティテストに関する実施手順が定義されていなければならない。

(b) これらの実施手順・ガイドライン・スタンダードの全ては、対処事業者のCISO（またはそれに準じた権限を持つ人）により、定期的にレビュー・評価・更新されなければならない。

Section 500.09 リスク・アセスメント

(a) 各対象事業者は、本規則で求められているサイバーセキュリティ・プログラムの設計に適切な情報を提供するため、対象事業者の情報システムに対して定期的なリスク・アセスメントを実施しなければならない。このリスク・アセスメントは、対象事業者の情報システム・非公開情報・ビジネス業務の変化に対処するため、合理的な必要性に基づき、継続的に実施されなければならない。対象事業者のリスク・アセスメントは、技術的進歩と進化する脅威に対応するコントロールに対する見直しをサポートし、サイバーセキュリティ、収集・保存された非公開情報、利用されている情報システム、非公開情報と情報システムを守るためのコントロールの可用性および有効性について、対象事業者のビジネス業務の特定のリスクを考慮できなければならない。

(b) リスク・アセスメントは、文書化されたポリシー・プロシージャーに従い実施され、記録されなければならない。ポリシー・プロシージャーは以下を含まなければならない。

• (1) 対象事業者が直面する脅威、および特定されたサイバーセキュリティ・リスクに対する評価とカテゴリー分類の基準。
• (2) 対象事業者の情報システムと非公開情報の機密性、完全性、可用性、およびセキュリティに対する評価基準。そこには特定されたリスクの文脈における既存のコントロールの妥当性を含む。
• (3) リスク・アセスメントに基づき、どのように特定されたリスクを緩和・受容したか、およびサイバーセキュリティ・プログラムがどのようにリスクに対処したかを示す要件。

Section 500.10 サイバーセキュリティ人材とインテリジェンス

(a) サイバーセキュリティ人材とインテリジェンス。対象事業者は、500.04(a)に定められた要件に加えて、以下を実施する必要がある。

• (1) 対象事業者、関係組織、外部委託先に所属し、対象事業者のサイバーセキュリティ・リスクを管理・運営でき、本規則の500.02(b)(1)-(6)にて定めたサイバーセキュリティの中核となる機能パフォーマンスを監督できる資質を持つ、適切なサイバーセキュリティ人材を登用しなければならない。
• (2) 関連するサイバーセキュリティ・リスクに対処するため、サイバーセキュリティ人材に対しては十分なトレーニングと学習をする機会を与えなければならない。
• (3) サイバーセキュリティ人材のキーパーソンは、サイバーセキュリティの脅威と対策の変化について現行の知識を維持する対策を講じていることを検証しなければならない。

(b) 対象事業者は、本規則のSection 500.11に規定された要件に従い、本規則に記載された要件を満たすため、関係組織、もしくは適切な外部委託先を活用することができる。

Section 500.11 外部委託先に対するセキュリティ・ポリシー

(a) 外部委託先に関するポリシー。各対象事業者は、外部委託先が利用可能である、もしくは保有している情報システムと非公開情報のセキュリティを確保する目的で、明文化されたポリシー・プロシージャーを実装しなければならない。当該ポリシー・プロシージャーは対象事業者のリスク・アセスメントに基づいて作成され、以下に適用されなければならない。

• (1) 外部委託先のリスク・アセスメントと特定。
• (2) 対象事業者とビジネスを行うため、外部委託先が満たすべき最低限のサイバーセキュリティのプラクティス。
• (3) 外部委託先のサイバーセキュリティ・プラクティスの妥当性を評価するためのデュー・デリジェンス・プロセス。
• (4) 彼らが提示するリスクとサイバーセキュリティ・プラクティスの妥当性に基づく外部委託先の定期的なアセスメント。

(b) 上記のポリシー・プロシージャーは、デュー・デリジェンスと契約保護のため、以下に列挙する、外部委託先に関する関連ガイドラインも含まれる。

• (1) 重要システムと非公開情報へのアクセスを制限するため、Section 500.12で定義されている多要素認証の利用を含む、コントロールを評価するための、外部委託先のポリシー・プロシージャー。
• (2) 送受信、および保存時の非公開情報を守るため、Section 500.15にて定義された暗号化の利用に関する外部委託先のポリシー・プロシージャー。
• (3) 対象事業者の情報システムや、外部委託先により保有されている非公開情報に対して、直接的な影響を与えるサイバーセキュリティ・イベントが発生した場合、対象事業者に対して行われる通知義務。
• (4) 対象事業者の情報システムや非公開情報のセキュリティに関連する外部委託先のサイバーセキュリティ・ポリシー・プロシージャーに関する表明・保証条項。

(c) 限定的免除。対象事業者の代理人、従業員、代表者、被指名人が、対象事業者自身である場合、本規則で準拠が求められている対象事業者のポリシーさえ準拠すれば、改めて外部委託先情報セキュリティ・ポリシーを作成する必要はない。

Section 500.12 多要素認証

(a) 多要素認証。 リスク・アセスメントに基づき、各対象事業者は多要素認証やリスクベース認証などを含む効果的なコントロールを用いて、非公開情報や情報システムを不正アクセスから守らなければならない。

(b) 多要素認証は、対象事業者のCISOが、合理的に判断して、同等もしくはより安全なアクセスコントロールの利用について書面にて承認しない限り、外部から対象事業者の内部ネットワークに対するあらゆるアクセスに対して適用されなければならない。

Section 500.13 データ保持に関する制限

(a) サイバーセキュリティ・プログラムの一部として、 各対象事業者は、法・規制によって保有を義務付けられた場合、あるいは情報保全の観点から対象となるデータの消去が合理的に実現不可能である場合を除き、ビジネス業務もしくは対象事業者の正統なビジネス目的に照らし合わせて不要であると判断された500.01(g)(2)-(3)にて定義された非公開情報について、定期的な頻度で安全に消去するためのポリシー・プロシージャーを定めなければならない。

Section 500.14 トレーニングとモニタリング

(a) サイバーセキュリティ・プログラムの一部として、 各対象事業者は以下を実施しなければならない。

• (1) 認証されたユーザの行動をモニターし、不正アクセスや、正規ユーザによる非公開情報の不正利用もしくは改竄を検知するため、リスクベースのポリシー・手順、コントロールの実装しなければならない。
• (2) 全ての人材に対して、対象事業者により特定されたリスクとリスク・アセスメントの結果を反映したサイバーセキュリティ教育を定期的な提供をしなければならない。

Section 500.15 非公開情報の暗号化

(a) サイバーセキュリティ・プログラムの一部として、リスク・アセスメントに基づき、各対象事業者が保有する、あるいは外部ネットワークに対して送受信する非公開情報を守るため、暗号化を含むコントロールを実装しなければならない。

• (1) 対象事業者が決定できる範囲で、非公開情報の外部ネットワークへの通信データの暗号化が実現不可能である場合、対象事業者のCISOによってレビューされ承認された効果的な代替コントロールを利用することで非公開情報の安全性を確保することができる。
• (2) 対象事業者が決定できる範囲で、非公開情報の保存データへの暗号化が実現不可能である場合、対象事業者のCISOによってレビューされ承認された効果的な代替コントロールを利用することで非公開情報を安全性を確保することができる。

(b) 対象事業者が代替コントロールを利用できる範囲で、上記の事項について、少なくても年1回は、代替コントロールの有効性と暗号化の実現可能性についてCISOによるレビューを実施しなければならない。

Section 500.16 インシデントレスポンス・プラン

(a) サイバーセキュリティ・プログラムの一部として、各対象事業者は、対象事業者の情報システムとビジネス業務の継続性の観点から、機密性・完全性・可用性へ影響を与える具体的なサイバーセキュリティ・イベントに迅速に対応し、回復するために、明文化されたインシデントレスポンス・プランを構築しなくてはならない。

(b) インシデントレスポンス・プランは以下の分野について言及していなければならない。

• (1) サイバーセキュリティ・イベントへ対応するための内部プロセス。
• (2) インシデントレスポンス・プランの目的。
• (3) 明確な役割、責任、意思決定の権限に関する定義。
• (4) 内部・外部におけるコミュニケーションと情報共有。
• (5) 情報システムと関連するコントロールにおける特定された弱点の修正に向けた要件の特定。
• (6) サイバーセキュリティ・イベントと関連するインシデントレスポンス活動に関する文書化と報告。
• (7) サイバーセキュリティ・イベントによる、インシデントレスポンス・プランの必要に応じた評価と改訂。

Section 500.17 監督当局への通知

(a) サイバーセキュリティ・イベントの通知。　各対象事業者は、以下のようなサイバーセキュリティ・イベントが発生したと判断してから、72時間以内に監督当局に対してできるだけ迅速に通知しなければならない。

• (1) 政府機関、自主規制期間、もしくは他の監督当局への通知が義務付けられているサイバーセキュリティ・イベント。
• (2) 対象事業者の通常のビジネス業務に被害を与えている合理的な可能性があるサイバーセキュリティ・イベント。

(b) 各対象事業者は、毎年2月15日までに対象事業者が本規則の要件に従い準拠していることを示す書面を、付録Aの形式で、監督当局に提出しなければならない。各対処事業者は５年間において、監督当局からの検査に備えて、本証明書の根拠となるすべての記録、スケジュールデータを保持しなければならない。重要な改善・更新・再設計を必要とする分野、システムまたはプロセスを特定した場合、対象事業者は、当該分野・システム・プロセスに対処するための計画と進行中の是正措置について、文書化しなければならない。そのような書類は、監督当局の検査のためにいつでも提出できる状態でなければならない。

Section 500.18 機密性

(a) 本規則に従い、対象事業者によって提供された情報は、銀行法、保険法・金融サービス法、公務員法、もしくは他の適用可能な州法、連邦法の下で開示の免除の対象となる。

Section 500.19 免除規定

(a) 限定的な免除規定。 以下の対象事業者は、本規則の要件500.04、 500.05、 500.06、 500.08、 500.10、 500.12、 500.14、 500.15、 500.16については、限定的に免除として扱われる。

• (1) 個人契約社員を含み、10人未満の社員で構成されている事業者。
• (2) 直近３年間の各会計年度において、年間総売上500.万ドル（$5,000,000）の事業者。
• (3) 一般に認められた会計手法に従って計算し、全ての関係組織の試算を含め、年度末の総資産が1000万ドル（$10、000、000）未満の事業者。

(b) 対象事業者の従業員、代理人、代表者、被指名人が、対象事業者自体である場合、本規則から免除され、対象事業者のサイバーセキュリティ・プログラムが適用される限りにおいて、従業員、代理人、代表者、被指名人、個人事業主は独自のサイバーセキュリティ・プログラムを開発する必要はない。

(c) 直接的にも間接的にもいかなる情報システムを運用、維持、活用、管理しておらず、非公開情報を直接的にも間接的にも管理、所有、アクセス、作成、受領、保有していない、もしくはする必要がない対象事業者は本規則の要件Section 500.02、 500.03、 500.04、 500.05、 500.06、 500.07、 500.08、 500.10、 500.12、 500.14、 500.15、500.16から免除される。

(d) 本用件に従い、免除を受ける対象事業者は、Appendix Bで定める形式に従い、免除通知書を提出しなければならない。

(e) 対象事業者が、直近の会計年度の終了時において免除対象外となった場合、対象事業者は、本規則の該当要件全てに準拠するため、当該の会計年度の終了時から180日の猶予期間をもつことができる。

Section 500.20 施行

(a) 本規制は、適用法のもとで金融サービス局監督当局の権限に従い施行され、また監督当局の権限を制限することを意図しない。

Section 500.21 発効日

(a) 本規則は、2017年3月1日に発効する。対象事業者は、2018年2月15日に開始する第500.17条（b）に基づき、毎年、ニューヨーク州金融サービス局のサイバーセキュリティ規制に準拠していることを示す 準拠証明書（COC：Certification of Compliance）を準備し、局長宛に提出しなければならない。

Section 500.22 移行期間

(a) 移行期間。 対象事業者は、本規則の要件に従うため、特に明記されない限り、本規則の発効日から180日の移行期間をもつことができる。

(b) 以下の規定は、追加の移行期間について言及する。対象事業者は、以下の特定の要件について、追加猶予期間を持つことができる。

• (1) 本規則のSection 500.04(b)、 500.05、 500.09、 500.12、 500.14(a)(2)の要件を満たすため、本規則の発効日から１年間の移行期間を持つことができる。
• (2) 本規則のSection 500.06、 500.08、 500.13、 500.14 (a)(1)、 500.15の要件を満たすため、本規則の発効日から18ヶ月の移行期間を持つことができる。
• (3) 本規則のSection 500.11の要件を満たすため、本規則の発効日から2年間の移行期間をもつことができる。

Section 500.23 法的分離条項

(a) 本規則の条項、もしく本条項の適用が管轄権を有する裁判所によって無効であると判断された場合、その判決は本規則の他の条項やその適用の効力・妥当性を損なうものではない。