「FISC準拠」と言われて慌てる前に｜ISMS取得企業が知るべき44項目チェックリストの正体

2026年5月27日2026年5月28日

「FISC準拠を求められているのですが、当社はISMS認証を取っているのに、また300項目もある安全対策基準を一からやり直さないといけないのでしょうか」

金融機関やFinTechサービスとの接続を検討している企業の担当者から、私のところによくこうした相談が寄せられます。

たしかに、ネット上の比較記事を眺めていると、FISCはISMSよりも遥かに厳しく、膨大な作業が必要であるかのように書かれているものが少なくありません。ようやくISMS認証を取得して一息ついたところに、「FISC」という見慣れない3文字が突きつけられれば、徒労感に苛まれる気持ちもよく分かります。

しかし、結論から先にお伝えします。

金融機関が、一般企業に対してFISCの完全準拠を求めることはありません。

これは、私が金融ITの最前線で複数の事業者の相談を受けてきた中で、繰り返し説明してきた事実です。多くの担当者が抱いている「FISCは300項目を全部やらないと取引できない」というイメージは、正確ではないのです。

実際の現場で起きていることは、もっとシンプルかつ合理的です。そして、ISMS認証をすでに取得しているあなたの会社は、想像以上に有利な立場にあります。

この記事では、FISCとISMSはそもそも比較する対象ではないという大前提を整理した上で、現場で実際に何が求められているのかを具体的にお話しします。読み終える頃には、漠然とした不安が、明確な行動計画に変わっているはずです。

本記事の著者

S.R（セキュリティ・コンサルタント）

証券システムの開発統括を経て、大手ネット証券にてシステム開発部長を歴任。2016年より同社にてセキュリティ部門を単独で立ち上げ、700名規模の組織におけるCSIRT導入と運用を主導しました。金融ISACでは脆弱性WG初代座長を務めるなど業界連携にも尽力しています。

現在では、証券・FX・流通業界等の企業に対し、CSIRT構築、金融庁ヒアリング対応、FISC導入支援などのコンサルティングに従事。インハウスでの組織立ち上げ経験と、外部専門家としての支援実績の双方から、実効性のあるセキュリティ体制構築を提案しています。

サイバー攻撃のトレンドは日々変化します。MPSのメールマガジン「セキュリティレポート」では、金融ITの最前線で分析した「今、現場が警戒すべき最新事例」を定期的に配信。他社の教訓を、貴社の運用設計に活かしてください。

メールマガジンを読む

金融機関は一般企業にFISC完全準拠を求めていない

「FISC準拠」という言葉を取引先から告げられた瞬間、多くの担当者が頭の中に描くのは、分厚い基準書を前にして膨大なチェック作業に追われる自分の姿ではないでしょうか。本章では、その不安が誤解に基づくものであることを整理します。

FISC（公益財団法人金融情報システムセンター）が発行する「金融機関等コンピュータシステムの安全対策基準・解説書」は、その名前の通り、日本の金融機関（銀行、証券、保険）が事業を行う上で完全準拠が求められる基準です。

つまり、自社が金融機関でない限り、この300項目を一字一句満たす義務はありません。

「でも、取引先の銀行から『FISCに準拠してください』と言われたのですが」

そう感じている方も多いかもしれません。それは、ある意味で正しく、ある意味で誤解を含んでいます。実は、金融機関が一般企業に対して、FISC全項目への網羅的な対応を要求することは、原則としてないのです。なぜなら、それは監査ではなく、あくまで取引前の確認作業だからです。

唯一の例外は、金融庁または財務局からサービス認可を受ける必要がある事業者です。たとえば暗号資産交換業者のように、サービス開始の認可条件としてFISC準拠が明示的に求められるケースであれば、完全準拠に近い対応が必要になります。それ以外の一般企業については、過剰に身構える必要はないということです。

本当にやってくる「44項目のAPI接続チェックリスト」

では、現場で実際に何が起きているのか。本章では、銀行などから一般企業に対して投げられる「現実のチェックリスト」の正体を明らかにします。

FISCは、「金融機関におけるAPI接続チェックリスト」という資料を公開しています（執筆時点の最新版は2025年12月版）。これは、銀行などの金融機関がAPI接続先（つまり一般企業）に対し、自社システムへのアクセスを許可する際の安全基準として、44項目に整理したチェックリストです。

参考：FISC｜金融機関におけるAPI接続チェックリスト

金融機関が一般企業に対してヒアリングを行う場合、その内容はこの44項目から抜粋された質問群、もしくは同等の項目であることがほとんどです。300項目ではなく、44項目。しかも、その全てではなく、サービスの性質に応じた抜粋です。

このチェックリスト作成には、FinTech企業も参加しています。決して金融機関側が一方的に押し付けたものではなく、現実的な接続要件として整理されたものなのです。

突然、銀行からヒアリングシートを渡されると「完全に回答を満たさなければ接続できない」と身構える担当者の方が非常に多いのですが、それは過剰な反応であることが多いというわけです。

私のところに相談に来られる担当者の多くは、決済サービスや銀行APIを扱う、社内でも信頼の厚い優秀な人材であることが少なくありません。だからこそ、責任感の強さが過度な完璧主義へと向かってしまう傾向もあります。まずは、44項目という現実的な範囲を正しく認識するところから始めてみてください。

ISMS認証は「一定の信頼の根拠」になる

ここからが、ISMS認証取得企業にとって嬉しい話です。本章では、なぜISMS取得済み企業がFISCチェックリスト対応で有利なのかを整理します。

すでにISMS認証を取得している企業については、金融機関は一定の信頼を持って評価します。チェックリストへの回答は、現在実施しているISMS対策の内容を記載するだけで十分なケースがほとんどです。

つまり、ゼロから戦う必要はないのです。

回答に不備や不足があった場合は、金融機関側から具体的な指摘がなされますので、それに従って改善策や追加説明を行えば、接続承認に進めるのが通常の流れです。「全然足りない」と一蹴されるようなことは、まずありません。

ここで重要なのは、自社のセキュリティ運用を金融機関とのインターフェースに合わせて整理し直すという姿勢です。新しい対策をゼロから構築するのではなく、既存のISMS対策をどう見せるかを工夫する。それだけで、十分な対応となるケースが多いのです。

もしそれでも「無駄だ」「理解できない」と感じてしまうのであれば、それはむしろ自社のISMSへの理解そのものが不十分である可能性を疑った方がいいかもしれません。FISCチェックリストの内容は、金融機関に接続するシステムとしては、決して大騒ぎするほどの基準ではないからです。

そもそも、FISCとISMSは「比較する対象」ではない

ここまでお読みいただいた方の中には、「結局、FISCとISMSはどう違うのか」という根本的な疑問を抱いている方もいらっしゃるでしょう。本章では、両者の関係性を整理します。

ネット上の比較記事を読んでいると、「FISCは詳細、ISMSは汎用的」「FISCは日本独自、ISMSは国際規格」といった整理が綺麗にまとめられていることが多いものです。たしかに、表層的な事実としては間違っていません。

しかし、私の実務感覚から言わせてもらえば、そもそもこの二つを並べて比較すること自体に、あまり意味がないのです。

少し誤解を恐れずに整理してみましょう。

	ISMS	FISC
本質	情報セキュリティの組織内管理	金融システムの運用管理
対象	組織の職員	システム運用者・意思決定者
目的	組織のルールづくりと遵守	金融システムの安全対策
性格	国際規格（業種を問わない国際ライセンス）	日本の金融機関基準（金融庁認可の条件）
見直しサイクル	約7年	随時（直近は1年ごと）
認証	第三者認証	原則として自己宣言