Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > 第三者リスク > 金融サービスにおける機密コンテンツ通信のプライバシーとコンプライアンスの成熟度評価
金融サービスにおけるデジタルコミュニケーションの成熟度

金融サービスにおける機密コンテンツ通信のプライバシーとコンプライアンスの成熟度評価

by Patrick Spencer updated 1月 26, 2025 第三者リスク
Reading Time: < 1 minutes

機密顧客情報データを収集する組織は、そのデータを保護し、プライバシーを維持する義務があります。個人識別情報(PII)の収集、保存、処理、共有に関しては、金融サービス業界が最も重要な位置を占めています。PIIは、ほぼすべての金融サービス企業の日常業務において重要です。

PIIは、さまざまな内部システム、ネットワーク、アプリケーションを通じて共有および送信されるだけでなく、無数の第三者とも送信および共有されます。機密コンテンツの内部および外部のデジタル通信は深刻なリスクを生む可能性があり、金融サービス組織はそれに対処するための適切なサイバーリスク管理戦略を確立する必要があります。PIIが事故や悪意のあるハッキングによって侵害されないようにするために、金融業界と政府機関は情報のデジタル交換を管理するための規制コンプライアンス要件を制定しています。

金融サービスは、商業および卸売銀行、小売銀行、保険、資産管理からなる広範な業界セクターです。ユースケースは多岐にわたります。以下はその一部です:

  • ビジネスの給与処理、クレジットカード取引、資産管理の動きを保護する
  • 大規模な商業ローンをシンジケートするために、他の銀行と顧客の財務情報を安全に共有する
  • ステートメントや顧客の申請書類を配信する際に、コンテンツの転送を保護し監査する
  • 住宅ローンのサービスや債権回収などの非コア業務のためにアウトソーシングされた企業に送信されるPIIを保護する
  • 統一されたガバナンスと承認を備えた安全でスケーラブルな展開でSFTP通信を統合する
  • AMLレポートを規制に、ステートメントを顧客に自動的に流すような苦情の作成と管理を行う

外国の国家、組織化されたサイバー犯罪シンジケート、単独の悪意のある行為者、その他の悪意のある行為者によるサイバー攻撃の複雑さと量の増加により、規制コンプライアンスを示し、データを保護することがますます難しくなっています。彼らはすべて、金融機関が共有し保持するデータの価値を理解しています。

リスクが伴うため、金融サービス企業はガバナンスコントロールとセキュリティ戦略の成熟度をベンチマークするためのメカニズムを確立する必要があります。このブログ記事では、金融サービスにおけるデジタル通信のプライバシーとコンプライアンスの全体像を検討し、ギャップに対処するために金融企業ができることについての推奨事項を明示します。また、FinTechのビジネスの混乱と、それが金融サービス組織がサイバーリスク管理アプローチで対処しなければならない新たなサイバーセキュリティリスクをどのように引き起こすかについても検討します。

金融サービスにおける第三者の普及 

金融サービスのサプライチェーンは、多くの場合、数百の組織と数千のユーザーで構成されています。金融サービスに関しては、多くの異なる第三者が存在し、最終的にはサイバーセキュリティリスクを増大させ、コンプライアンスをより困難にします。これらの第三者には、ソフトウェアベンダー、情報技術企業、法律事務所、会計事務所、人事企業などが含まれます。

金融システムにとって重要な第三者の中には、金融機関ではなく、多くの金融規制フレームワークの範囲外にあるものもあります。しかし、彼らが提供するサービスやソリューションの性質上、これらの第三者は多くの金融サービス企業にとって重要です。

これらの第三者は、ビジネスの効率を向上させる重要なソリューションを提供します。しかし、いくつかのサービスを第三者にアウトソーシングすることは、保持している機密データにアクセスする必要があることを意味することが多いです。彼らと契約を結んだとしても、このデータを保護する責任は組織にあります。このような場合、組織は第三者リスク管理(TPRM)戦略を導入する必要があります。

これらの第三者との機密データの転送は、悪意のある脅威行為者が悪用するための大きな抜け穴を作ります。実際、最新のVerizonデータ侵害調査報告書(DBIR)によると、昨年のデータ侵害の62%はサプライチェーンに関連していました。その理由の一つは、第三者が顧客ほど強力なセキュリティ対策を持っていないことが多いからです。

悪意のある行為者が組織のサプライチェーンにアクセスして下流のデータを悪用できない場合でも、第三者の運用が中断されることによって生じるダウンタイムは、第三者の数百、数千、または数万の顧客に悪影響を及ぼす可能性があります。これにより、財務的な影響が生じる可能性があります。これに対応するために、組織は適切なサプライチェーンリスク管理アプローチを確立する必要があります。

多くの組織にとって、コンプライアンス要件はサプライチェーンにも及びます。彼らがサプライチェーンで使用するツールは、規制コンプライアンスを満たさなければなりません。たとえば、銀行が従業員の個人識別情報(PII)を第三者の給与プロバイダーと共有する場合、FIPS(連邦情報処理規格)140-2を満たすファイル共有ソリューションを介して行わなければなりません。これを怠ると、罰金やペナルティが科される可能性があり、組織のブランドにも悪影響を及ぼす可能性があります。

第三者の機密コンテンツ通信リスク管理

いかなる第三者をオンボードする前に、金融機関はセキュリティインフラストラクチャを監査して、そのセキュリティ体制が十分であることを確認することが賢明です。しかし、オンボード後も、すべての第三者ベンダーに対して継続的なデューデリジェンスを行うことが良い慣行です。

デューデリジェンスの目的は、悪意のある脅威行為者が悪用できるギャップを迅速に発見し、事前に修正することです。最新のIBMとPonemon Instituteの「データ侵害コストレポート」によると、昨年の金融サービスにおけるデータ侵害の平均コストは5.97百万ドルで、すべての業界セグメントの中で2番目に高い(医療が最も高い)です。

第三者リスク管理プロトコルの重要なステップは、すべての第三者ベンダーを正確に特定するための包括的なベンダーインベントリです。このリストは常に最新の状態に保たれ、リスク評価に役立ちます。

第三者プロセスに関する規制コンプライアンスを確保する際に多くの組織が直面する課題は、リスク評価の取り組みが断片的であることです。一部の組織は、プロセスを統合し自動化するために技術的なソリューションに投資しています。

FinTechの混乱が新たなサイバーターゲットを生む方法

FinTech企業は、過去数年間で急速に進化し、従来の金融サービス企業を超えてサイバー犯罪者の新たなターゲットを生み出しました。この混乱は新たな機会を開く一方で、新たなリスクも生み出します。

64%の消費者が過去1年間に2つ以上のFinTechプラットフォームを使用したと示しています。この浸透は金融サービスセクター全体に混乱を引き起こし、22%の保険、資産、資産管理会社と28%の銀行および支払いサービス会社が混乱のリスクにさらされ、収益を失う可能性があります。

このトレンドは、すべての業界におけるベンチャー資金の5ドルのうち1ドルがFinTechに向かう資金調達の状況で観察されています。金融サービス組織が効率を向上させ、コストを削減し、顧客サービスを強化するための多くの機会が存在する一方で、サイバー脅威に関するリスクも存在します。具体的には、ある報告によれば、世界のトップ100のFinTech企業のうち98社が今日サイバー攻撃に対して脆弱です。

規制と基準は、これらの新しい破壊的技術に追いついていません。これにより、脅威行為者が機密データを扱うFinTech企業を見つけて攻撃するための肥沃な土壌が生まれます。これに対応して、規制機関は、組織が適切なデータプライバシートラッキングとコントロールを実施することを要求する新しい基準を制定する方法を模索しています。

金融サービスにおける機密コンテンツ通信のプライバシーとコンプライアンス

その背景を考慮すると、いくつかの重要な質問が浮かび上がります。

  • 金融サービスおよびFinTech業界セクターは、サイバーセキュリティの脅威にどのように対処しているのか?
  • どのようにしてコンプライアンスを確保しているのか?
  • 第三者によるサイバーリスクにどのように対応しているのか?

これらの質問やその他の質問に答えるために、Kiteworksの「2022年機密コンテンツ通信のプライバシーとコンプライアンスレポート」を参照し、金融サービスにおけるデジタル通信のプライバシーとコンプライアンスの成熟度を検討することをお勧めします。

データはすべての金融サービス機関およびFinTech企業の中心にあります。彼らのビジネスモデルは、日常業務や長期的なイノベーションのために、クライアントのPIIや財務データを取得、共有、転送、保存することに大きく依存しています。

すべての活動とプロセスは、厳格なセキュリティとコンプライアンス基準によって管理されています。EUの一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、カリフォルニア州消費者プライバシー法(CCPA)などのプライバシー規制は、個人識別情報(PII)および保護対象保健情報(PHI)がどのように取得、共有、使用、保存されるかを管理しています。

金融機関が多くの顧客情報を互いに共有するという事実は、データが転送および共有される際にコンプライアンスも考慮しなければならないことを意味します。TPRMは、データセキュリティ、プライバシー、コンプライアンスに関して金融業界の重要な要素です。

Kiteworksレポートの調査結果によれば、これを実現することは容易ではありません。予想通り、最大の課題は第三者とのデータの共有と転送でした。回答者の51%は、機密コンテンツ通信に関連する第三者のセキュリティとコンプライアンスリスクに対して十分に保護されていないと述べ、53%のみが第三者とのすべての機密コンテンツ通信を暗号化しています。

金融サービスの回答者の57.5%が1,000以上の第三者とプライベート情報を共有し、58%が第三者リスクを測定するためのコントロールを実施していないことを考慮すると、このセクターが関連する規制に対するコンプライアンスと悪意のある脅威行為者からの機密データの保護に関して直面している課題の全体像を描き始めることができます。

金融サービスにおける第三者の機密コンテンツ通信に関する最優先事項。

表1. 金融サービスにおける第三者の機密コンテンツ通信に関する最優先事項。

金融サービスにおけるガバナンス、リスク管理、コンプライアンス

優先事項をランク付けするよう求められた際、機密コンテンツ通信の管理がリストのトップに上がりました。たとえば、金融サービスの回答者の22.5%が、コンテンツのデジタル通信の管理、ポリシーの追跡、報告を統一することをリストのトップにランク付けしました。これに続いて、17%が暗号化、ファイル共有、報告、その他のプロセスの自動化が最優先事項であると述べました。

これらは、堅牢なガバナンス、リスク管理、コンプライアンスアプローチに依存しています:

金融サービスにおけるガバナンス

世界中の組織は、すべてのデータプライバシー規制に準拠し、それを示すために包括的なガバナンストラッキングとコントロールを確立する必要があります。金融サービスとデータプライバシーに関しては、金融セクターは世界で最も規制された業界です。たとえば、世界中の国々の調査によれば、86%の国がデータのセキュリティと送信に関連する法律と規制を持ち、87%がサイバーセキュリティに関連する規制またはルールを持ち、78%が顧客データの共有に関連する規制を持ち、65%がデジタルIDシステムと電子PII IDに関連する規制を持っています。

Kiteworksの「2022年機密コンテンツ通信のプライバシーとコンプライアンスレポート」に関する金融サービスに関するもう一つの重要な質問は、現在のプライバシーとコンプライアンスアプローチが成長を妨げているかどうかです。金融サービスの回答者のほぼ3分の1が、第三者コンテンツ通信のガバナンスと保護には新しいアプローチまたは大幅な改善が必要であると考えています。回答者の7割が、第三者との機密データ通信を追跡、制御、保護するために4つ以上のシステムを使用していると示しています。デジタルコンテンツ通信に使用されるツールのこの分裂は、各チャネル(メール、ファイル共有、自動ファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API))で標準化されたガバナンスのための一連のポリシーを実施することを困難にしています。そのため、第三者コンテンツ通信に関連するリスクを測定するための技術とプロセスを持っているのはわずか35%に過ぎません(表1参照)。

金融サービスにおけるリスク管理

機密コンテンツ通信のリスクを管理することは、金融サービス組織にとって課題です。レポートは重要なギャップを明らかにしました:

  • わずか半数以上(52%)が、第三者からのデータ通信を検証するためにアンチウイルスおよびアンチスパム技術を使用しています(すべての業界の中で最も成熟しています)。
  • 10社中4社が、第三者とのファイル共有および転送にDLPを使用していません(ただし、すべての業界の中で最も成熟しており、次の業界より33%高い)。
  • わずか半数以上が、第三者とのコンテンツ通信を暗号化しています。
  • ほぼ半数が、クラウドでのコンテンツ通信を管理または監視していないか、一部のみを管理または監視しています。

これらの欠陥を考慮すると、回答者はリスク管理に自信を持っていません。10社中4社以上が、第三者コンテンツ通信のリスク管理セキュリティには新しいアプローチまたは大幅な改善が必要であると述べています。その結果、半数が、第三者コンテンツ通信リスクに対して組織が十分に保護されていないことを認めています。

金融サービスにおけるコンプライアンス

金融サービス組織は、コンプライアンス規制を管理するためにますます多くの時間とリソースを費やしています。回答者は、年間7つ以上のコンプライアンスレポートを生成しなければならないと述べています。半数以上が、各レポートの生成に40時間以上を費やしていると述べています。しかし、これらの努力にもかかわらず、回答者の20%のみがこれらのレポートが正確であると信じており、18.5%がさまざまな場所でやや正確または不正確であると指摘しています。

金融サービスがKiteworks対応のプライベートコンテンツネットワークに目を向ける

年次IBMとPonemon Instituteの「データ侵害コストレポート」が詳述しているように、機密データ通信を追跡、制御、保護しないことは、財務的なペナルティ、ブランドの損害、IPの損失などの悪影響をもたらす可能性があります。そして、ランサムウェア攻撃の場合、身代金のコストを追加することができます。

これに対応して、金融サービス企業は機密コンテンツ通信に対する統一されたアプローチを必要としています。それは、今日の「制御された」アプリケーションとワークロードにコンテンツがとどまらないため、コンテンツ定義のゼロトラストを採用するプライベートコンテンツネットワークを必要とします。これにより、すべてのユーザーがデフォルトで信頼されず、すべてのコンテンツがデフォルトで信頼されず、最小特権の強制が行われます。これにより、金融企業はプライベートなPII、IP、クライアントの財務記録、保険請求などがプライベートであり、世界的な規制に準拠していることを確保できます。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks