スルガ銀行|SURUGA bank

English

リスク管理

ガバナンスに戻る

リスク管理への取組み

リスク管理に対する基本的な考え方

金融やデジタルテクノロジーの革新、新規業務への参入等、銀行を取り巻く環境が変化するにつれ、銀行が直面しているリスクはますます多様化、複雑化しております。
このような環境の中、当社では経営管理の枠組みとして、収益・リスク・資本のバランスを考慮しつつ、「リスクアペタイト(進んで受け入れようとするリスクの種類と総量)」及び「取らないリスク」を明確化・可視化し、モニタリングする手法である「リスクアペタイト・フレームワーク(RAF)」を導入しております。また、「統合的リスク管理規程」を定め、全ての銀行業務に内在する各種リスクを把握し、適正な管理を行う態勢を整備することが不可欠と認識し、経営の最重要課題として経営陣の積極的な関与のもと、リスク管理の高度化に努めております。
当社は、リスク状況の変化に応じた適時適切な戦略の見直しや危機対応を実施するため、各部門を第1線(営業店等)、第2線(リスク管理部門)、第3線(内部監査部門)に区分し、役割を明確化しております。

経営管理の枠組み

中期経営計画とリスクアペタイト・フレームワークを経営管理の両輪とし、
リスク・リターンの最適化を目指す

経営管理の枠組み

リスクアペタイト・フレームワーク(RAF)の運営

  1. 「リスクアペタイト」及び「取らないリスク」を明確化・可視化し、中期経営計画等の事業戦略と整合させつつ、持続可能なビジネスモデルを構築する取組みを計画・実践・モニタリング・修正(PDCA)するフレームワークと定義しております。
  2. 全社/事業領域ごと、及びリスク・カテゴリーごとにRAS(リスクアペタイト・ステートメント)を作成し、定性的な「基本方針」及び「リスクリミット」を定めております。
  3. RAF運営においては、統合リスク管理委員会において「健全性指標」「収益性指標」「リスク関連指標」を定例でモニタリングすることに加え、ストレステスト及び予兆管理を行っております。
経営管理の枠組み

統合的リスク管理

当社では各リスクに資本配賦を行い、計量化したリスク量を自己資本の範囲内にコントロールする統合リスク管理を実施し、その精度向上に努めております。また、信用リスク、市場リスク、流動性リスク、オペレーショナル・リスク(事務リスク、システムリスク等)といった様々なリスクが存在する銀行業務において、それぞれのリスクを個々に管理するだけでなく、リスクカテゴリーごとに評価したリスクを総体的に捉え、当社の経営体力(自己資本)と比較・対照し管理する、統合的なリスク管理態勢を整備しております。

市場リスク管理

市場リスクとは、金利、有価証券等の価格及び為替等の市場リスク要因の変動により、保有する資産の価値が変動し、金融機関が損失を被るリスクを言います。市場リスクが経営に与える影響を十分に認識し、統合リスク管理態勢における配賦資本によるリスクリミットの設定等、適切な市場リスク管理態勢の構築に努めております。

流動性リスク管理

流動性リスクとは、金融機関の信用悪化等により、必要な資金が確保できなくなり資金繰りがつかなくなる場合や、資金の確保において通常よりも著しく不利な条件での資金調達を余儀なくされることにより、金融機関が損失を被るリスクを言います。安定した資金繰りと高い流動性の確保が経営の重要課題であることや、流動性リスクが顕在化した場合において迅速に対応することの必要性を十分に認識し、リアルタイムでの状況把握及び報告体制等、適切な流動性リスク管理態勢の構築に努めております。
また、不測の事態に備えるため、市場流動性の高い有価証券の保有や、保有資産を活用した調達の準備等、調達手段の多様化に努めております。

信用リスク管理

信用リスクとは、信用供与先の財務状況の悪化等により、資産などの価値が減少ないし消失し、損失を被るリスクを言います。資産の健全性維持・向上を図るため、営業部門と信用リスク管理部門を分離・独立させ、各部門が互いに牽制しつつ客観的に評価することで、バランスのとれた与信ポートフォリオの構築を目指しております。
信用リスク管理部門は、与信管理部門、審査部門及び資産査定部門で構成されております。
与信管理部門では、お取引先の信用力を当社が設定した基準により判定する債務者格付制度の確立、与信ポートフォリオにおける信用リスクの計量化、大口信用供与先のモニタリング及び金融経済環境等の変化を想定した各種ストレステストを定期的に実施することで、信用リスク把握の精度向上を図っております。
審査部門では、営業及び融資を通じて蓄積した各種データをもとにしたデータベースを有効に活用し、仮説に基づいた分析・運用・検証を繰り返しながら、信用力判定の精度向上を図っております。また、投資用不動産融資における外部評価システムや不動産関連業者管理システムを適切に運用することで、不芳案件を排除する態勢を構築しております。
資産査定部門では、自己査定が適切に実施される態勢の整備や、資産健全性の維持・向上に努めております。

事務リスク管理

事務リスクとは役員及び社員が正確な事務を怠る、あるいは事故・不正・事務処理態勢の不備等により当社が損害を被るリスクを言います。事務全般に関するリスクを的確・適正に把握し適切なリスク管理を実施することにより、銀行業務の健全性を維持するとともに、事故・トラブル・苦情・不祥事及びそれに係る損失等を未然に防止することを事務リスク管理の方針と定めております。
管理手続は事務全般に対するリスクの把握と適切なリスク管理のために「オペレーショナル・リスク管理規程」に事務リスク管理を定め、これに基づき事務リスク管理態勢を構築しております。
「オペレーショナル・リスク管理規程」の事務リスク管理には、事務リスクを回避又は最小化するため、事務リスク管理に係る分析・評価・改善への対応策、営業店指導及びお客さまからの苦情等への対応策並びに不正・不祥事件等への対応策等を定めております。
当社においては、これらの事務リスクの管理状況について、定期的及び必要に応じた報告体制を整備するとともに問題点の是正(規程の是正・再発防止)に努めております。

セキュリティリスク管理

セキュリティリスクとは、当社の情報資産に係る情報漏えいや各種業務上の支障に起因し、当社のお客さまが損失を被る、当社が社会的責任を果たせなくなる、あるいは当社が損失を被るリスクを言います。これらセキュリティリスクの定義、及び管理態勢等について「セキュリティリスク・ポリシー」に定め、当社に関連した全ての社員等が守るべき具体的な基準・項目を「セキュリティリスク・スタンダード」に定めております。
セキュリティ対策の取組みは、取締役会や業務執行会議等で定期的かつ状況変化に即して報告され、経営陣がその取組状況を確認し、適切に監督する体制を整えております。

ガバナンス態勢

経営陣が主導し、セキュリティリスクの所在、リスクが顕在化した場合の影響度、リスクが顕在化する可能性、及びリスク対策の実施状況と残存するリスクのモニタリング状況を把握し、適切なリスクコントロールを行うとともに、当社の情報資産/IT資産を適切に保護するため、セキュリティリスク管理態勢を整備しております。
セキュリティ対策の取組みは、取締役会や業務執行会議等で定期的かつ状況変化に即して報告され、経営陣がその取組状況を確認し、適切に監督する体制を整えております。

セキュリティリスク管理体制
セキュリティリスク管理体制

サイバーセキュリティに対する取組み

当社ではサイバーセキュリティを事業継続の基盤であり、持続的な企業価値創造の中核要素と位置付けております。最新のセキュリティインシデントや対策状況は定期的に業務執行会議等で報告され、経営陣主導のもと、サイバーセキュリティ対策を推進しております。

サイバーセキュリティ管理体制

巧妙化するサイバー攻撃の脅威に対応するための専門組織(スルガ銀行CSIRT)を設置し、内閣サイバーセキュリティセンター等の外部機関を通じて新たな脅威などの情報の収集・共有・分析を行うことで、当社全体のセキュリティ対策の実効性を確保しております。

サイバーセキュリティ対策の主要領域と具体的な取組み

主要領域 目的 主要な取組み
セキュリティリスク評価 システム導入・利用時のリスク可視化と対策の徹底
  • システムごとの機密性・完全性・可用性・重要度等を考慮したリスク評価
  • リスク評価項目の継続的な見直しと最新化
サイバー攻撃防御 潜在的リスクの早期発見と、巧妙化する攻撃への対策強化
  • 定期的な脆弱性診断の実施
  • TLPT(脅威ベースのセキュリティテスト)の実施
  • ゼロトラストセキュリティ、クラウド対応の最新サービス導入
  • 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」への対応
インシデント対応・復旧 インシデントの予兆検知、早期発見、迅速な対処と復旧
  • スルガ銀行CSIRTを主体とした監視・対応
  • インシデント種別(ランサムウェア、DDoS等)ごとの対応計画策定
  • 外部専門機関との情報連携
外部委託先等の管理 委託先も含めたセキュリティレベルの維持・向上
  • 委託先・契約先の情報セキュリティ対策への取組み状況の評価
  • 重要度に応じた委託先・契約先の現地調査・ヒアリング
金融犯罪対策 特殊詐欺や不正送金等の金融犯罪によるお客さまの被害防止
  • 警察等との連携による犯罪手口・傾向の分析と不正取引検知
  • フィッシングサイトの検知・閉鎖サービスの活用
  • お客さまへの継続的な注意喚起
演習・訓練 実践的な対応能力と、全社的なセキュリティ意識の向上
  • インシデント対応マニュアルに基づく実践的対処訓練
  • 金融庁や金融ISACが主催するサイバー共同訓練への定期参加
  • 全社員を対象とした標的型攻撃メール訓練の継続実施
人財育成・確保 最新の脅威に対応できる専門知識と全社員のセキュリティリテラシー向上
  • 専門人財に対する外部研修・セキュリティベンダー研修への参加
  • キャリア採用による専門人財の積極的な確保
  • 役職に応じた階層別研修の実施

セキュリティリスク評価

システム導入やクラウドサービスの利用にあたり、公益財団法人金融情報システムセンター(FISC)の安全対策基準に基づいた、システムごとの機密性・完全性、可用性、重要度等を考慮したセキュリティリスク評価を行い、サイバー攻撃に対するリスクを可視化するとともに、必要な対策を講じております。この評価項目は、新たな脅威に対応できるよう、FISCの安全対策基準の改訂等にあわせて適宜見直し、最新化することで、新たな脅威への対策強化を図っております。

サイバーセキュリティリスクの特定と防御

インターネットバンキングをはじめとするオンライン取引サービス等へのサイバー攻撃の対策として、定期的な脆弱性診断を行っております。また、万が一内部のシステムに侵入された場合の脆弱性を評価するため、TLPT※1を実施し、課題の洗い出しと防御策の検討・対応を行っております。これらの対応により、潜在的なセキュリティリスクを早期に発見し、迅速に対処することで、サービス全体のセキュリティレベルを継続的に向上させております。
さらに、ITプラットフォームのクラウド化に伴い、サイバーセキュリティ対策の強化及び高度化にも取り組んでおります。想定される脆弱性、DDoS攻撃、不正アクセスといったセキュリティリスクに対し、定期的な対策の再点検と必要な対応を実施し、ゼロトラストセキュリティやクラウド環境に対応した最新のセキュリティ対策サービスを導入するなど、脆弱性への早期対応や複雑化・巧妙化するサイバー攻撃への対策を強化しております。また、金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」をもとにサイバーセキュリティ対策の対応状況を評価し、必要な対策等は、計画的に実施しております。

サイバーインシデント対応及び復旧

スルガ銀行CSIRTが主体となり、情報セキュリティに関するインシデントの予兆検知、早期発見、迅速な対処に取り組んでおります。外部のセキュリティ機関やIT・セキュリティベンダー等と連携し、新しく発見された脆弱性情報やその対応方法について情報連携を行うことで、常に最新の脅威に対応できる体制を構築しております。また、ランサムウェア感染、DDoS攻撃、Web改ざん等のセキュリティインシデント別に対応計画を策定するとともに、NISC※2や金融庁、金融ISACが主催する訓練への定期参加を通じて、セキュリティインシデント対応における実効性の向上を図っております。

サイバーインシデント対応フロー

外部委託先等の管理

業務委託やクラウドサービス利用時は、委託先・契約先に対して情報セキュリティに対する準拠状況(基本方針、組織的、人的、技術的安全管理措置等)に関する評価を行っております。この評価は契約後も定期的に行うとともに、業務内容の重要度に応じて、委託先・契約先の現地で実際に調査・ヒアリング等のモニタリングを行うことで、セキュリティ対策への取組み状況の評価を行っております。

金融犯罪への対策強化

近年増加している特殊詐欺に対しては、金融庁や警察等と情報連携を図るとともに特殊詐欺に関する犯罪手口や取引の特徴・傾向について情報収集を行うことで、不正取引を早期に検知するとともに、お客さまへの迅速な連絡や利用制限により、被害の未然防止や拡大防止を図っております。また、フィッシングなどによる不正送金の増加に対しては、フィッシングサイトの検知・閉鎖サービスを利用し、適切な対応を行っております。これらの対策に加え、お客さまご自身が金融犯罪に巻き込まれないよう、ホームページや電子メールを通じて、継続的な注意喚起を行うことで、金融犯罪の未然防止に努めております。

サイバーセキュリティ演習・訓練

金融業界を取り巻く環境は、デジタル化の加速やクラウド技術の普及など、大きく変化しております。当社では、これらの変化に対応し、複雑化・巧妙化するサイバー攻撃からお客さまの資産を守るため、セキュリティインシデントに応じた演習・訓練を実施しております。
ランサムウェア感染、DDoS攻撃、Web改ざん等への対応マニュアルを整備し、迅速にセキュリティインシデントへ対応するための対処訓練に加え、金融庁や金融ISACが主催するサイバー共同訓練にも参加し、実践的な対応能力の向上を図っております。また、全社員に対して標的型攻撃メール訓練を継続的に行い、組織全体のセキュリティ意識の定着と対応能力の向上を図っております。

サイバーセキュリティ人財育成・確保

サイバーセキュリティ専門人財に対しては、外部研修機関やIT・セキュリティベンダーの研修への参加を通じた、セキュリティ対策の高度化に加え、クラウドサービスに対応した新たなセキュリティ対策等の専門知識の習得により、最新のサイバー攻撃手法や脆弱性に対応できるよう育成・強化を図るとともに、キャリア採用により専門人財の積極的な確保も行っております。役職に応じた階層別のセキュリティリスクに関する教育や研修を定期的に行い、最新のサイバー攻撃の手口や情報漏えい事案などを周知・共有することにより、全社員に対してサイバーセキュリティに関する教育・啓発を積極的に行っております。

AIガバナンス

生成AIの活用に際し、日本ディープラーニング協会がまとめた『生成AIの利用ガイドライン』を参考に、配慮すべき注意事項をまとめたガイドラインを制定し、教育や研修を通じて、生成AIの注意事項を正しく理解したうえで業務効率化等に活用できる人財の育成を継続的に図っております。

  1. TLPT(Threat-Led Penetration Testing):脅威ベースのセキュリティ診断
  2. NISC(National center of Incident readiness and Strategy for Cybersecurity):内閣サイバーセキュリティセンター