損保協会、IAIS保険者のサイバーセキュリティ監督に係る文書案に意見提出

損保協会では、保険監督者国際機構（IAIS）が公表した「保険者のサイバーセキュリティ監督に係るアプリケーション・ペーパー案」に対する意見を8月9日（木）に提出した。
同文書は、保険者のサイバーリスク、サイバーセキュリティおよびサイバー攻撃耐性の監督手法を開発・強化している監督者向けにさらなる指針を提供することを目的に主に次の内容をまとめたもので、6月29日（金）から8月13日（月）まで市中協議（パブリック・コメント）に付された。
＜文書の主な内容＞
・保険者のサイバーリスク、サイバーセキュリティおよびサイバー攻撃耐性の監督手法を開発・強化している監督者向けの指針提供。
・保険者も、良好なサイバーセキュリティ慣行の開発・実施に役立てるために、本文書を検討することが奨励される。
・継続的に発展する脅威の性質および規制の一貫性の利益を認識し、プリンシプルベースを採用。
・「金融セクターのサイバーセキュリティに関するG7の基礎的要素（G7FE）」、「金融セクターのサイバーセキュリティの効果的な評価に関するG7の基礎的要素（G7FEA）」および「CPMI-IOSCO金融市場インフラのためのサイバー攻撃耐性に係るガイダンス（CPMI-IOSCOガイダンス）」を含む複数の文書のフレームワークおよび指針に基づいて構築。
・サイバー保険は取り上げていない。
・網羅的であること、規範的であることを意図していない。
・日本を含む各国の現行監督規制に新たな要件を求めるものではない。
同協会では、同文書の方向性に賛同しつつ、サイバーセキュリティリスクは保険会社固有の課題ではないことなどを踏まえ、金融機関向けの汎用のガイドラインをベースに検討を行う方が妥当であることを指摘するとともに、監督者や保険者が問題の重要性に応じて裁量を持てる内容とするよう要望した。
＜同協会意見概要＞
・全体的に、記述してある内容は正しい方向性である。
・サイバーセキュリティリスクは保険会社固有の課題ではなく、他の金融機関等に対するガイドラインや規制との整合性を保持し、重複を回避する必要があることから、金融機関向けの汎用のガイドラインをベースに検討を行う方が妥当。
・取締役会と経営陣の間の役割や責任の配分、考慮すべきサイバーイベントのレベル感や内容等について、監督者や保険者が重要性に応じて裁量を持てる記載にすべき。
・当該保険者の事業規模、複雑性、事業特性などに応じた統治形態が容認されるべき。
・「FS-ISAC」、「金融ISAC」への参加判断は、保険会社が自己の責任で適切に行うべき。
IAISは、今回の市中協議に寄せられた意見を参考にさらなる検討を進める予定である。
同協会は、IAISにおける国際保険監督基準策定の議論に積極的に参加しており、今後も関係国際機関等に対して本邦業界の意見を表明していく。