「完全準拠」か「部分準拠」か|一般企業こそ活かしたいFISCの普遍的な価値
「自社はFISC準拠が必要なのでしょうか。それとも不要なのでしょうか」
セキュリティ対策を検討している事業者の方で、このような疑問を持っている方も多いのではないでしょうか。インターネット上でFISCの情報を集めようとすると、「金融機関向け」と書かれている記事と「一般企業も対応すべき」と書かれている記事が混在しており、結局自社がどちらに該当するのか、判断がつかないことも多いでしょう。
結論から先にお伝えすると、FISCへの向き合い方には、「完全準拠が必要」「部分準拠で十分」「主体的な対応は不要」の3区分があります。
そして、どの区分に該当するかは、業態と金融機関との関わり方で機械的に判定できます。難解な解釈は必要ありません。
さらに重要なのは、「主体的な対応は不要」とされる一般企業であっても、FISCには活かすべき普遍的な価値があるということです。経営層の関与を促す統制基準、リスクベースアプローチの考え方、対策の具体性。これらは金融業界に限らず、あらゆる組織のセキュリティ運用に応用できる知恵だからです。
この記事では、自社の立ち位置を判定する基準と、業態別の対応指針、そして一般企業こそ活かしたいFISCの普遍的価値について整理します。読み終える頃には、「自社はFISCとどう付き合うべきか」が明確になっているはずです。
S.R(セキュリティ・コンサルタント)
証券システムの開発統括を経て、大手ネット証券にてシステム開発部長を歴任。2016年より同社にてセキュリティ部門を単独で立ち上げ、700名規模の組織におけるCSIRT導入と運用を主導しました。金融ISACでは脆弱性WG初代座長を務めるなど業界連携にも尽力しています。
現在では、証券・FX・流通業界等の企業に対し、CSIRT構築、金融庁ヒアリング対応、FISC導入支援などのコンサルティングに従事。インハウスでの組織立ち上げ経験と、外部専門家としての支援実績の双方から、実効性のあるセキュリティ体制構築を提案しています。
サイバー攻撃のトレンドは日々変化します。MPSのメールマガジン「セキュリティレポート」では、金融ITの最前線で分析した「今、現場が警戒すべき最新事例」を定期的に配信。他社の教訓を、貴社の運用設計に活かしてください。
完全準拠が必要な事業者:準金融機関の扱いを受ける業態
FISC安全対策基準への完全準拠が、事実上必要となる事業者があります。本章では、その代表的な業態を整理します。
金融機関(銀行、証券、保険)ではないにもかかわらず、FISC完全準拠が必要となるのは、主に以下の業態です。
- 暗号資産交換業者(現在は金融機関と同じ扱い)
- ブロックチェーン関連事業者(特にウォレットの秘密鍵管理を行う事業者)
これらの事業者は、金融庁または財務局からサービス認可を受ける際、FISC準拠が認可条件として明示的に求められることが多くあります。準金融機関として扱われるため、ここでの対応は妥協が許されません。
特に暗号資産交換業者の場合、過去の業界全体での資産流出事件を受けて、規制当局のチェックは年々厳格化しています。新規参入を目指す事業者にとっては、FISC準拠の体制を整えることが、事業開始の前提条件となっているわけです。
ブロックチェーン関連でも、秘密鍵管理は文字通り資産そのものを預かる行為であり、FISCの設備基準・実務基準の両面で、金融機関と同等の水準が求められます。ウォレットサービスを提供する事業者は、自社が「準金融機関である」という自覚を持って臨む必要があるということです。
部分準拠で十分な事業者:金融システムと連携する業態
完全準拠までは求められないものの、利用者である金融機関や準金融機関から、必要な範囲のFISC基準への準拠を求められる事業者も多く存在します。本章では、その業態と対応の勘所を整理します。
代表的な業態は以下の通りです。
- クラウド会計、人事労務SaaS、決済代行サービスなど、銀行オープンAPIと連携して銀行口座情報を扱う事業者
- IaaSやSaaSを提供するデータセンター・クラウド事業者(主に設備基準)
- 金融システムに接続する中継システムを開発・運用する事業者(主に実務基準)
- 通信キャリア、大手ECサイト、自社ポイントで決済や後払いを行う小売事業者
- 少額保険などの組み込み型金融サービスを非金融事業者として提供する事業者
これらの事業者に求められるのは、FISC全項目の準拠ではなく、自社のサービス特性に応じた部分準拠です。たとえば、クラウド事業者であれば設備基準の該当部分、銀行APIを使うSaaS事業者であれば実務基準の通信・認証関連部分、というように対応範囲を絞り込めます。
ここで一点、注意していただきたいことがあります。それは、「準拠していない事業者は、ビジネス機会そのものを失う」ということです。金融機関や準金融機関は、取引相手の選定段階で、FISC関連のチェックリストを使って事業者を絞り込んでいます。「準拠していないから契約しない」と明示的に断られなくても、選ばれないという形で機会損失が発生してしまうわけです。
部分準拠で良いとはいえ、必要な範囲は確実に押さえる。この見極めが、事業の継続性を左右することになります。
PCI DSS と FISC を混同しない
FISC関連の相談を受けていると、しばしば「カード決済を扱うのですが、FISC準拠は必要ですか」という質問を頂きます。本章では、ここで混同されやすいPCI DSSとの違いを整理します。
結論から言えば、カード決済は金融庁の管轄外です。クレジットカード会社が独自に提供するサービスであり、加盟店や決済代行事業者には、FISCではなくPCI DSS(Payment Card Industry Data Security Standard)といったカード会社が定める認証認可の取得が求められます。
PCI DSSは、カードホルダーデータの保護に特化した国際的なセキュリティ基準であり、対象も目的もFISCとは大きく異なります。「決済 = FISC」と短絡してしまうと、本来取得すべきPCI DSSへの対応が後手に回ってしまう恐れがあるのです。
両者の違いを簡単に整理すると、以下の通りです。
| FISC | PCI DSS | |
|---|---|---|
| 管轄 | 公益財団法人金融情報システムセンター | カードブランド連合(PCI SSC) |
| 対象 | 金融機関の情報システム全般 | カード決済を扱う全事業者 |
| 規制根拠 | 金融庁監督指針との連動 | カード会社との契約上の義務 |
| 認証 | 原則として自己宣言 | 第三者監査(QSA) |
決済領域でビジネスを展開している事業者は、まず自社が扱うのが「銀行口座決済」なのか「カード決済」なのかを切り分けることから始めてください。前者ならFISC、後者ならPCI DSSが優先される、というのが基本の判断軸になります。
一般企業こそ活かしたいFISCの「普遍的な価値」
「FISCは難易度が高い」「膨大なコストがかかる」「適切な人材がいない」
FISCに対して、こうした印象を持っている方は多いと思います。たしかに、金融機関が完全準拠する場合には、それなりの体制構築と継続的な運用コストが発生します。
しかし、本章でお伝えしたいのは、部分的な活用であれば、一般企業にも十分に開かれた基準であるということです。
FISCには、金融機関でない一般企業にとっても普遍的な価値が4つあります。
- 1. 経営層の関与を促す「統制基準」
-
FISC安全対策基準は、大きく「統制基準」「実務基準」「設備基準」の3つに分かれています。このうち統制基準は、金融機関に限らず、すべての経営層が把握しておくべき内容です。対象は経営層、項目数も二十数項目程度に絞られており、数日のヒアリングで自社の問題点を抽出できます。
- 2. リスクベースアプローチという思想
-
FISCがクラウド時代に大きく舵を切ったのが、リスクベースアプローチという考え方です。「セキュリティ事故は発生するもの」という現実を前提に、被害をいかに最小化し、迅速に復旧させるかを設計する。すべての項目を完璧に満たすのではなく、自社のリスク特性に応じて優先順位の高い対策にリソースを集中する。この発想は、限られた予算と人員でセキュリティを運用するあらゆる組織に通用します。
- 3. 責任共有モデルという整理
-
クラウド事業者と利用企業のあいだで責任を明確に切り分ける「責任共有モデル」の考え方は、金融業界に限らず、クラウド活用を進めるすべての企業に応用できます。事業者の責任範囲、利用者の責任範囲を明文化し、設定確認の習慣を組織に根付かせるための強力な指針となります。
- 4. 解説書に詰まった対策の具体性
-
「FISC安全対策基準解説書」には、極めて具体的かつ詳細な対策が記載されています。導入を前提としなくても、一読する価値は十分にあると私は考えています。
これら4つの価値は、自社のセキュリティ体制を見直す上での強力な道具です。完全準拠を目指す必要がなくても、自社に必要な部分だけを「つまみ食い」して活用することができるわけです。
具体的な活用例としては、以下のような使い方があります。
- 同業他社で発生したサイバー攻撃・漏洩事故への自社耐性確認(該当する基準項目だけチェック)
- ISMSの対象外領域(対顧客サービス・外部連携)のセキュリティ確認
- 経営層向けのセキュリティKPI設計(統制基準を流用)
- 自社のセキュリティ予算配分の優先順位付け(リスクベースで判断)
FISCを「金融機関の専売特許」と捉えるのではなく、自社のセキュリティを金融グレードに引き上げるための知識資産として活用してみてはいかがでしょうか。
「張りぼて準拠」だけは避ける
最後に、一点だけ釘を刺させてください。本章では、FISC対応で最も避けるべき「形だけ」のアプローチについてお話しします。
「当社はFISC準拠です」と公言しながら、対象システムの定義もせず、具体的な運用内容も定めないまま放置している事業者を、残念ながら時々見かけます。これは、業界用語で言うところの「張りぼて」です。
FISC基準は抽象度が高めに設定されています。たとえばFISC実務基準のNO1は、「他人に暗証番号・パスワード等を知られないように対策すること」とだけ書かれています。具体的な対策例は補足説明に詳述されていますが、何を選択するかは企業に任されているのです。
この自由度を、自社のリスク特性に合わせた合理的な実装に活かすのか、それとも「やったふり」の隠れ蓑にするのか。その選択が、組織のセキュリティ文化そのものを表すと言っても過言ではありません。
部分準拠であれ、完全準拠であれ、自社が「どこまでを対象とし、どう運用しているか」を具体的に説明できる状態を作る。それが、FISC対応で本当に守るべき一線ということです。
まとめ:FISCを「重荷」ではなく「武器」に変える
最後に、改めて整理させてください。
- 完全準拠が必要な事業者:暗号資産交換業者、ブロックチェーン関連(秘密鍵管理)
- 部分準拠で十分な事業者:銀行API SaaS、組み込み型金融、決済代行、データセンター・クラウド事業者など
- PCI DSSとFISCを混同しない:カード決済はFISCではなくPCI DSSの領域
- 一般企業こそ活かせる4つの普遍的価値:統制基準、リスクベースアプローチ、責任共有モデル、対策の具体性
- 「張りぼて準拠」だけは避ける:対象システムと運用内容を必ず明文化する
FISC準拠を「重荷」と捉えるのか、「自社のセキュリティを金融グレードに引き上げる武器」と捉えるのか。その視点の違いが、最終的にはセキュリティ運用の質を分けるのではないでしょうか。
完全準拠も部分準拠も、それぞれの事業者にとって意味のある選択です。大切なのは、自社の立ち位置を正しく認識し、必要な範囲で確実に対応することです。
「そもそもFISC準拠を求められた状況に戸惑っている」「ISMSとの関係から整理したい」という方は以下の記事をご覧ください。
また、クラウド利用時の責任分界点について整理したい方は、以下の記事が参考になるかと思います。
私たちマネーパートナーズソリューションズ(MPS)は、金融ITの最前線で「24時間365日、止められないサービス」を作り続けてきた経験を基盤に、FISC安全対策基準の導入支援、暗号資産交換業者・組み込み型金融事業者向けのコンサルティング、リスクベースアプローチに基づくセキュリティ体制設計を行っています。
「自社の業態でFISC対応が必要か判定したい」「完全準拠を目指したいが、何から手を付ければよいか分からない」「統制基準だけでも経営層に共有したい」
そうした漠然とした不安をお持ちであれば、ぜひ一度、私たちの知見を頼ってください。金融業界という最も厳しい環境で磨かれたノウハウを、貴社の業態と規模に応じた最適な形でお届けします。
ご興味をお持ちいただけましたら、以下のフォームよりお問い合わせください。
最新のセキュリティ情報について、無料のメールマガジンを配信しています。以下のフォームからご購読ください。
- セキュリティ人材教育「1万時間の壁」|「高度セキュリティ専門エンジニア」を待つより組織の仕組みを磨くべき理由
- 「FISC準拠」と言われて慌てる前に|ISMS取得企業が知るべき44項目チェックリストの正体
関連記事
-
クラウド時代のFISC|「責任共有モデル」が変えた風景と、見落としやすい責任分界点 -
「FISC準拠」と言われて慌てる前に|ISMS取得企業が知るべき44項目チェックリストの正体
-
セキュリティ人材教育「1万時間の壁」|「高度セキュリティ専門エンジニア」を待つより組織の仕組みを磨くべき理由
-
脆弱性診断の不都合な真実|エンジニアを動かし、経営責任を果たすためのガバナンス構築術
-
CSIRTの役割は「企業の消防署」である|事故を前提としたリスクベースの思考法
-
形だけのセキュリティテストはもう終わり|ペネトレーションテストを実務に活かすプロの流儀
-
【CIO兼務の限界】CISOの役割と理不尽な板挟みを突破する「組織の盾」の作り方
-
SOCアウトソーシングの成功は運用設計で決まる|現場の不安を解消し24時間監視を実現する方法
