(4)システムリスク管理の強化

当社では、重要規程の「情報管理規程」、基本規程の「システムリスク管理規則」に基づき、情報システムの管理・運営およびシステムリスク(システムセキュリティを含む)の管理を行っている。具体的には、グループシステム戦略会議において毎年「システムリスク管理の基本方針」を定め、これに従ってグループ各社のシステムリスク統括部署が図表12-8のPDCAサイクルに則って、システムリスクを適切に管理している。

図表12-8 システムリスク管理におけるPDCAサイクル、すなわち「PLAN、システムリスク対策の策定」「DO、システムリスク対策の実施」「CHECK、システムリスクの評価」「ACT、見直し・改善」のPDCAサイクルにより、システムリスクを適切に管理
(図表12-8)システムリスク管理のPDCAサイクル

グループ全体のシステムリスク管理は、当社システムセキュリティ統括部(注17)が担っており、システムリスク統括責任者を配して、各種リスクアセスメントやモニタリング等を通じて、定期的に各社のシステムリスク管理状況について確認・評価し、支援・指導を実施している。

システムリスク管理においても、この10年間は、グループ化・グローバル化への対応を強化すると同時に、AIやRPA(注18)など新たな技術への対応が求められた時期だった。

グループ化については、グループ企業が増える都度、上記「システムリスク管理のPDCAサイクル」に組み込んでガバナンスの強化を図っていったが、グローバル化については規程の整備が不十分だった。そこで、「システム障害対策規則」の海外適用(2014年3月)や「システム企画開発規則」の海外適用(2015年4月)などグローバルベースでの規程統一を通じてリスク管理態勢を強化し、全体最適なシステム管理態勢を構築した。また、新たな技術等については、図表12-9の通り、開発や利用に際してのガイドラインを制定し、適切な活用・運営・リスク管理を図った。

図表12-9 新たな技術に対応したガイドライン等制定の流れをまとめた一覧表
(図表12-9)ガイドライン等制定の流れ

システムリスクへの対応としては、緊急時対応も重要である。従来から、当社「システムリスク管理規則」および三井住友銀行「システムセキュリティ管理規則」に則り、コンティンジェンシープランを策定・更新し、教育・訓練を実施してきた。この10年間においては、国内基幹系と市場国際系システムの合同訓練の実施、海外拠点における訓練の実施など対象範囲を拡大しているほか、大規模システム障害の発生を想定した訓練の実施やシナリオブラインド演習(注19)の新設などレベルアップを図っている。

また、2016年6月には、国内勘定系システムの機器更改に合わせて、同システムを首都圏のセンターと関西圏のセンターの東西相互バックアップ方式に変更した。従来、災害時バックアップ対応しか行っていなかった関西圏のセンターでも常時本番運用を行うことで、災害運用時の実効性が向上し、業務継続性の強化が図られることとなった。