サイバーセキュリティ経営宣言

三井住友フィナンシャルグループおよびグループ各社は、2018年3月16日に日本経済団体連合会(以下「経団連」)より公表された「経団連サイバーセキュリティ経営宣言」を受けまして「サイバーセキュリティ経営宣言」を策定しております。

(参考)経団連サイバーセキュリティ経営宣言

経団連サイバーセキュリティ経営宣言

サイバーセキュリティ経営宣言

株式会社三井住友フィナンシャルグループ(以下「SMFG」)およびグループ各社(注1)は、経団連が「経団連サイバーセキュリティ経営宣言」の中で、経営のトッププライオリティの1つとして「価値創造やバリューチェーンの構築、さらにはリスクマネジメントの観点から、実効あるサイバーセキュリティ対策を講じること」の必要性を認識し、SMFGの「サイバーセキュリティ経営宣言」(以下「本宣言」)を策定します。本宣言のもと、深刻化・巧妙化するサイバー脅威に対し、経営主導によるサイバーセキュリティ対策の強化をより一層推進してまいります。

1. 経営課題としての認識

経営者自らが最新情勢への理解を深めることを怠らず、DXを進めるうえで必須となるサイバーセキュリティを投資と位置づけて積極的な経営に取り組みます。また、経営者自らが現実を直視してデジタル化に伴うリスクと向き合い、サプライチェーン全体を俯瞰したサイバーセキュリティの強化を経営の重要課題として認識し、経営者としてのリーダーシップを発揮しつつ、自らの責任で対策に取り組みます。

具体的には、サイバーリスクをSMFGのトップリスクの1つとして定義し、経営会議・取締役会で定期的に議論・検証し、DXおよびデジタル化とセキュリティ対策の両立を意識して、適切なリソースを配分し、経営主導で継続的にリスク対策を推進します。

2. 経営方針の策定と意思表明

特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP(事業継続計画)の策定を行います。経営者が率先して社内外のステークホルダーに意思表明を行うとともに、認識するリスクとそれに応じた取り組みを各種報告書に自主的に記載するなど開示に努めます。

具体的には、経営主導の態勢強化のため、グループCIO(Chief Information Officer)・CRO(Chief Risk Officer)の下に、システムセキュリティ統括部長を「CISO(Chief Information Security Officer)」という専門的な責任者として配置し、サイバーリスクに対する戦略推進の中心を担うCISOの役割・責任を明確化するとともに、「CSIRT(Computer Security Incident Response Team)」「SOC(Security Operation Center)」を設置し、常時緊密に連携を図り、平時の対策のみならず、有事の際の手続・マニュアルを整備すると共に、年次のリスク管理方針の策定、定期的な演習・訓練の実施、コンティンジェンシープランの見直しを実施します。また、ディスクロージャー誌等を通じてセキュリティ強化の取組みについて開示します。

3. 社内外体制の構築・対策の実施

予算・人員等のリソースを十分に確保するとともに、社内体制を整え、人的・技術的・物理的等の必要な対策を講じ、経営・企画管理・技術者・従業員の各層における人材育成や教育を行います。また、サイバーセキュリティ対策のガイドライン・フレームワークの活用や、政府によるサイバーセキュリティ対策支援活動との連携等を通じて、取引先や委託先、海外も含めたサプライチェーン対策に努めます。

具体的には、サイバーセキュリティに係る専担部署に必要な人員を配置し、セキュリティ教育プログラム等を活用した継続的な人材育成、並びに、最新技術を活用したセキュリティ対策の実施に努めます。また、NISTやFISC等の国内外のガイドラインやフレームワークを参考にすると共に、政府・関係当局との連携を通じて、取引先、委託先でのサイバーセキュリティ対策状況のモニタリング、購入製品のセキュリティに係る脆弱性の管理態勢構築を通じてサプライチェーン対策を実施します。

4. 対策を講じたシステムやサービスの社会への普及

システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努めます。

特に、インターネットバンキング等のサービスを安心・安全にご利用いただくために、パスワードカード及びスマホアプリを配布するなど、お客さまにおいてご利用可能なセキュリティ対策を充実させるとともに、不正な取引のモニタリングを実施します。

5. 安心・安全なエコシステムの構築への貢献

関係官庁・組織・団体等との連携のもと、各自の積極的な情報提供による情報共有や国内外における対話、人的ネットワーク構築を図ります。また、各種情報を踏まえた対策に関して注意喚起することによって、サプライチェーン全体、ひいては社会全体のサイバーセキュリティ強化に貢献します。

具体的には、金融庁、内閣サイバーセキュリティセンター、情報処理推進機構、警察等の関係官庁等に適時適切な報告を行うと共に、金融ISAC、FS-ISAC、JPCERT等のセキュリティに関する情報機関には、積極的に情報提供を行い、グローバルベースで業界を超えた社会全体のセキュリティ対策の向上に努めます。

  • (注1)本宣言の対象となるグループ会社:
    三井住友銀行、SMBC信託銀行、三井住友ファイナンス&リース、SMBC日興証券、三井住友カード、SMBCファイナンスサービス、SMBCコンシューマーファイナンス、日本総合研究所、三井住友DSアセットマネジメント