ニューヨーク州 金融サービス局

注意事項

行政規則集第23巻500編

金融サービス企業に対するサイバーセキュリティ要件

私、Maria T. Vullo金融サービス局局長は、金融サービス法 第102編、第201編、第201編、第202編、第301編、第302編、第408編に基づいて付与された権限に従い、ニューヨーク州行政規則集第23巻500編をここに交付する。ニューヨーク州官報に公開された時点で効力を生じ、以下のように制定する。

(All MATTER IS NEW)

Section 500.00 はじめに

ニューヨーク州金融サービス局は、国家、テロ組織、犯罪者による情報システム・金融システムに対する継続的な脅威を注意深く監視してきました。特に最近では、サイバー犯罪者は重要情報にアクセスするために技術的な脆弱性を悪用しようとしています。サイバー犯罪者は、不正な目的で個人情報を漏洩させたり奪取することにより、ニューヨーク州の消費者ばかりでなく、金融サービス局が監督している企業に対しても、大きな金銭的損失を与えようとしています。金融サービス業界は、サイバーセキュリティの脅威の重要な標的となりえます。金融サービス局は、多くの企業が積極的にサイバーセキュリティ・プログラムを導入して成功していることに感謝しています。

問題の深刻さと全ての規制対象企業に対するリスクを考慮すると、ある一定レベルのセキュリティ基準は保証されるべきだと考えています。但し、サイバーセキュリティ・プログラムは、関連するリスクと技術的進歩に即している必要があるため、過剰な制約を課す意図はありません。したがって、この規制は、規制対象企業の情報技術システムばかりでなく、顧客情報の保護を促進するように設計されています。この規制により、各企業は特定のリスクプロファイルを評価し、厳格な方法でリスクに対処するプログラムを設計する必要があります。経営層は、この問題を真剣に受け止め、組織のサイバーセキュリティ・プログラムに責任を負い、これらの規制に準拠していることを証明する書類を毎年提出しなければなりません。規制対象企業のサイバーセキュリティ・プログラムは、組織の安全性と健全性を確保し、顧客を保護しなければなりません。

まだサイバープログラムの導入を実施していない全ての規制対象企業は、迅速かつ早急にプログラムを導入し、当該プログラムが最低限の基準を満たしていることが重要になります。サイバー攻撃の数は着実に増加しており、金融サービス業界の潜在的なリスクのから逃れることは難しくなっています。そのためニューヨーク州としては、この規制に記載されているプログラムの導入を重要事項として位置づけています。

Section 500.01 定義

本規則の目的に限り、以下の定義を適用する:

(a) 関係組織(Affiliate) とは、当該当事者を支配するか、当該当事者に支配されるか、または当該当事者と共通の支配下にある法人を意味する。本規則の定義において「支配」とは、株式の保有もしくは他の手段により、組織の業務、経営方針に関して、直接または間接的に、指示もしくは指揮する権限の所持を意味する。

(b) 正規ユーザ(Authorized User) は、対象事業者のビジネス業務に携わり、対象事業者の情報システムとデータにアクセスできる権限を持つ従業員、 契約社員、 代理人、法人を意味する。

(c) 対象事業者(Covered Entity) とは、銀行法、保険法・金融サービス法など各種法律にて規定された手続き(※1)を元に業務を実施している法人を意味する。(※1:ライセンス取得・事業者登録・法人設立認可・資格・許可・それに準じる認可などを意味する。)

(d) サイバーセキュリティ・イベント(Cybersecurity Event) とは、情報システムへの不正アクセス・破壊・不正利用、もしくは情報システム上にあるデータを盗み出す目的で、成功可否にかかわらず発生したアクション・試行を意味する。

(e) 情報システム(Information System) とは、電子データの収集、処理、運用、利用、共有、普及、配備を管理するための電子データリソースの集合体、もしくは産業用制御システム、電話交換系統、構内交換機系統(PBX : Private Branch eXchange)、環境制御系統などを含む特定の目的に応じたシステムを意味する。

(f) 多要素認証(Multi-Factor Authentication) とは、以下に示す認証形式の中から少なくても2つ以上を利用して検証を行う認証メカニズムを意味する。

(g) 非公開情報(Nonpublic Information) は公開情報ではない電子情報と以下に示す情報を指す。

(h) 法人(Person) とは、民間のパートナーシップ、企業、支店、代理店、協会など任意の個人・民間主体を意味する。

(i) 侵入テスト(Penetration Test) とは、 対象事業者の情報システムの内外から、コントロールやデータベースに不正にアクセスすることにより、情報システムのセキュリティ機能を評価するテスト手法を意味する。

(j) 公開情報(Publically Available Information) は、対象事業者が連邦・州または地方自治体の記録、広く配布された媒体、または連邦、州または地方の法律によって一般市民への開示が決められた情報など、合法的に利用可能と考えられる合理的な根拠を有する情報を指す。

(k) リスク・アセスメント(Risk Assessment) とは、本規則のSection 500.09に基づき、書く対象事業者が実施を義務付けられている評価を意味する。

(l) リスクベース認証(Risk-Based Authentication) とは、ユーザの通常利用パターンからの変化・逸脱や異常パターンを検知した場合、秘密の質問などを通して、ユーザに関する追加認証を行う認証のリスクベースシステムである。

(m) 上級管理職(Senior Officer) は、対象事業者、およびこの規則の対象となる海外の金融機関の代理店もしくは支店も含む、経営・オペレーション・セキュリティ、情報システム、コンプライアンス、リスクに責任を持つ個人、個人の集合体(通常、会議体の形式をとる)を意味する。

(n) 外部委託先(Third Party Service Provider) とは、(i)対象事業者の関係組織に所属しておらず、(ii)対象事業者にサービスを提供し、 (iii) 対象事象者のサービス提供を通して、対象事業者の非公開情報の維持、処理、もしくは非公開情報へのアクセスが許可されている法人を意味する。

Section 500.02 サイバーセキュリティ・プログラム

(a) サイバーセキュリティ・プログラム。 各対象事業者は、保有する情報システムの機密性・完全性・可用性を守るために設計されたサイバーセキュリティ・プログラムを維持しなければならない。

(b) サイバーセキュリティ・プログラムは、対象事業者のリスク・アセスメントに基づき、かつ以下に示す基本的なサイバーセキュリティ機能を実行できるように設計されていなければならない。

(c) 対象事業者は、サイバーセキュリティ・プログラムが対象事業者の情報システム・非公開情報を包含しており、かつ該当要件を満たしていることを条件に、現時点で保持しているプログラムを利用して本規則の要件を満たすことができる。

(d) 対象事業者のサイバーセキュリティ・プログラムに関連する全ての資料と情報は、監督当局の要請に応じていつでも提出できる状態であること。

Section 500.03 サイバーセキュリティ・ポリシー

(a) サイバーセキュリティ・ポリシー。情報システムと情報システムに保存されている非公開情報の保護を目的とした指針・手順を定めるため、対象事業者の上級管理職、経営取締会、適切な委員会、もしくはそれらと同等の権限をもつ組織体により承認された明文化したポリシーを導入し、維持しなければならない。サイバーセキュリティ・ポリシーは、対象事業者のリスク・アセスメントに基づいて作成され、対象事業者の業務の適用範囲において、以下の分野について言及されていなければならない。

Section 500.04 最高情報セキュリティ責任者

(a) 最高情報セキュリティ責任者(Chief Information Security Officer)。 各対象事業者はサイバーセキュリティ・プログラムの導入と監督、およびサイバーセキュリティ・ポリシーの適用に責任を持つ適切な能力を持った個人を指名する必要がある。(本規則では、最高情報セキュリティ責任者もしくはCISOと呼ぶ。)CISOは、対象事業者の雇用者を任命することもできれば、関係組織・外部委託先の一人を任命することもできる。但し、関係組織・外部委託先の個人を利用して本用件を満たす場合、対象事業者は以下の条件を満たす必要がある。

(b) 報告。 対象事業者のCISOは、対象事業者の経営取締役会、もしくはそれに準じる管理組織体において、少なくても年1回、報告書を提出する必要がある。もし、経営取締役会などに準じる会議体が存在しない場合、対象事業者のサイバーセキュリティ・プログラムに責任を持つ上級理職に対して当該報告が適切なタイミングで実施される必要がある。CISOは、サイバーセキュリティ・プログラムの状況と具体的なサイバーセキュリティ・リスクについて報告しなければならない。CISOは、以下の適用範囲について考慮する必要がある。

Section 500.05 侵入テストと脆弱性診断

(a) 対象事業者のサイバーセキュリティ・プログラムは、プログラムの有効性を評価するため、リスク・アセスメントの結果に従い、モニタリング・検証されなければならない。モニタリング・検証は、継続な監視もしくは定期的な侵入テスト・脆弱性診断を含み、定期的に実施される必要がある。効果的な継続的なモニタリングや、脆弱性を生じさせる情報システムの変化を持続的に検知する仕組みが存在しない場合、対象事業者は以下のことを実施する必要がある。

Section 500.06 監査証跡

(a) 本項目はリスク・アセスメントに基づき、適用可能な範囲において、各対象事業者は以下の条件を満たす必要がある。

(b) 各対象事業者は、最低5年以上、本条項で規定されている記録を保持しなければならない。

Section 500.07 アクセス権限

(a) サイバーセキュリティ・プログラムの一環として、リスク・アセスメントに基づき、各対象事業者は、非公開情報へのアクセス可能な情報システムへのアクセス権限を限定し、それらのアクセス権限は定期的に見直さなければならない。

Section 500.08 アプリケーション・セキュリティ

(a) 各対象事業者のサイバーセキュリティ・プログラムは、対象事業者により実施されている内部開発アプリケーションのセキュア開発の試みを確実にするため、明文化された実施手順・ガイドライン・スタンダードを用意しなければならない。また、対象事業者の技術環境を踏まえた上で、対象事業者により実施されている外部開発アプリケーションのセキュリティ評価・セキュリティ検証・セキュリティテストに関する実施手順が定義されていなければならない。

(b) これらの実施手順・ガイドライン・スタンダードの全ては、対処事業者のCISO(またはそれに準じた権限を持つ人)により、定期的にレビュー・評価・更新されなければならない。

Section 500.09 リスク・アセスメント

(a) 各対象事業者は、本規則で求められているサイバーセキュリティ・プログラムの設計に適切な情報を提供するため、対象事業者の情報システムに対して定期的なリスク・アセスメントを実施しなければならない。このリスク・アセスメントは、対象事業者の情報システム・非公開情報・ビジネス業務の変化に対処するため、合理的な必要性に基づき、継続的に実施されなければならない。対象事業者のリスク・アセスメントは、技術的進歩と進化する脅威に対応するコントロールに対する見直しをサポートし、サイバーセキュリティ、収集・保存された非公開情報、利用されている情報システム、非公開情報と情報システムを守るためのコントロールの可用性および有効性について、対象事業者のビジネス業務の特定のリスクを考慮できなければならない。

(b) リスク・アセスメントは、文書化されたポリシー・プロシージャーに従い実施され、記録されなければならない。ポリシー・プロシージャーは以下を含まなければならない。

Section 500.10 サイバーセキュリティ人材とインテリジェンス

(a) サイバーセキュリティ人材とインテリジェンス。対象事業者は、500.04(a)に定められた要件に加えて、以下を実施する必要がある。

(b) 対象事業者は、本規則のSection 500.11に規定された要件に従い、本規則に記載された要件を満たすため、関係組織、もしくは適切な外部委託先を活用することができる。

Section 500.11 外部委託先に対するセキュリティ・ポリシー

(a) 外部委託先に関するポリシー。各対象事業者は、外部委託先が利用可能である、もしくは保有している情報システムと非公開情報のセキュリティを確保する目的で、明文化されたポリシー・プロシージャーを実装しなければならない。当該ポリシー・プロシージャーは対象事業者のリスク・アセスメントに基づいて作成され、以下に適用されなければならない。

(b) 上記のポリシー・プロシージャーは、デュー・デリジェンスと契約保護のため、以下に列挙する、外部委託先に関する関連ガイドラインも含まれる。

(c) 限定的免除。対象事業者の代理人、従業員、代表者、被指名人が、対象事業者自身である場合、本規則で準拠が求められている対象事業者のポリシーさえ準拠すれば、改めて外部委託先情報セキュリティ・ポリシーを作成する必要はない。

Section 500.12 多要素認証

(a) 多要素認証。 リスク・アセスメントに基づき、各対象事業者は多要素認証やリスクベース認証などを含む効果的なコントロールを用いて、非公開情報や情報システムを不正アクセスから守らなければならない。

(b) 多要素認証は、対象事業者のCISOが、合理的に判断して、同等もしくはより安全なアクセスコントロールの利用について書面にて承認しない限り、外部から対象事業者の内部ネットワークに対するあらゆるアクセスに対して適用されなければならない。

Section 500.13 データ保持に関する制限

(a) サイバーセキュリティ・プログラムの一部として、 各対象事業者は、法・規制によって保有を義務付けられた場合、あるいは情報保全の観点から対象となるデータの消去が合理的に実現不可能である場合を除き、ビジネス業務もしくは対象事業者の正統なビジネス目的に照らし合わせて不要であると判断された500.01(g)(2)-(3)にて定義された非公開情報について、定期的な頻度で安全に消去するためのポリシー・プロシージャーを定めなければならない。

Section 500.14 トレーニングとモニタリング

(a) サイバーセキュリティ・プログラムの一部として、 各対象事業者は以下を実施しなければならない。

Section 500.15 非公開情報の暗号化

(a) サイバーセキュリティ・プログラムの一部として、リスク・アセスメントに基づき、各対象事業者が保有する、あるいは外部ネットワークに対して送受信する非公開情報を守るため、暗号化を含むコントロールを実装しなければならない。

(b) 対象事業者が代替コントロールを利用できる範囲で、上記の事項について、少なくても年1回は、代替コントロールの有効性と暗号化の実現可能性についてCISOによるレビューを実施しなければならない。

Section 500.16 インシデントレスポンス・プラン

(a) サイバーセキュリティ・プログラムの一部として、各対象事業者は、対象事業者の情報システムとビジネス業務の継続性の観点から、機密性・完全性・可用性へ影響を与える具体的なサイバーセキュリティ・イベントに迅速に対応し、回復するために、明文化されたインシデントレスポンス・プランを構築しなくてはならない。

(b) インシデントレスポンス・プランは以下の分野について言及していなければならない。

Section 500.17 監督当局への通知

(a) サイバーセキュリティ・イベントの通知。 各対象事業者は、以下のようなサイバーセキュリティ・イベントが発生したと判断してから、72時間以内に監督当局に対してできるだけ迅速に通知しなければならない。

(b) 各対象事業者は、毎年2月15日までに対象事業者が本規則の要件に従い準拠していることを示す書面を、付録Aの形式で、監督当局に提出しなければならない。各対処事業者は5年間において、監督当局からの検査に備えて、本証明書の根拠となるすべての記録、スケジュールデータを保持しなければならない。重要な改善・更新・再設計を必要とする分野、システムまたはプロセスを特定した場合、対象事業者は、当該分野・システム・プロセスに対処するための計画と進行中の是正措置について、文書化しなければならない。そのような書類は、監督当局の検査のためにいつでも提出できる状態でなければならない。

Section 500.18 機密性

(a) 本規則に従い、対象事業者によって提供された情報は、銀行法、保険法・金融サービス法、公務員法、もしくは他の適用可能な州法、連邦法の下で開示の免除の対象となる。

Section 500.19 免除規定

(a) 限定的な免除規定。 以下の対象事業者は、本規則の要件500.04、 500.05、 500.06、 500.08、 500.10、 500.12、 500.14、 500.15、 500.16については、限定的に免除として扱われる。

(b) 対象事業者の従業員、代理人、代表者、被指名人が、対象事業者自体である場合、本規則から免除され、対象事業者のサイバーセキュリティ・プログラムが適用される限りにおいて、従業員、代理人、代表者、被指名人、個人事業主は独自のサイバーセキュリティ・プログラムを開発する必要はない。

(c) 直接的にも間接的にもいかなる情報システムを運用、維持、活用、管理しておらず、非公開情報を直接的にも間接的にも管理、所有、アクセス、作成、受領、保有していない、もしくはする必要がない対象事業者は本規則の要件Section 500.02、 500.03、 500.04、 500.05、 500.06、 500.07、 500.08、 500.10、 500.12、 500.14、 500.15、500.16から免除される。

(d) 本用件に従い、免除を受ける対象事業者は、Appendix Bで定める形式に従い、免除通知書を提出しなければならない。

(e) 対象事業者が、直近の会計年度の終了時において免除対象外となった場合、対象事業者は、本規則の該当要件全てに準拠するため、当該の会計年度の終了時から180日の猶予期間をもつことができる。

Section 500.20 施行

(a) 本規制は、適用法のもとで金融サービス局監督当局の権限に従い施行され、また監督当局の権限を制限することを意図しない。

Section 500.21 発効日

(a) 本規則は、2017年3月1日に発効する。対象事業者は、2018年2月15日に開始する第500.17条(b)に基づき、毎年、ニューヨーク州金融サービス局のサイバーセキュリティ規制に準拠していることを示す 準拠証明書(COC:Certification of Compliance)を準備し、局長宛に提出しなければならない。

Section 500.22 移行期間

(a) 移行期間。 対象事業者は、本規則の要件に従うため、特に明記されない限り、本規則の発効日から180日の移行期間をもつことができる。

(b) 以下の規定は、追加の移行期間について言及する。対象事業者は、以下の特定の要件について、追加猶予期間を持つことができる。

Section 500.23 法的分離条項

(a) 本規則の条項、もしく本条項の適用が管轄権を有する裁判所によって無効であると判断された場合、その判決は本規則の他の条項やその適用の効力・妥当性を損なうものではない。