ウクライナ国立銀行は、ノンバンク金融サービス市場の提供者に対する情報セキュリティとサイバー防護の要件を更新した。対象には保険会社、信用組合、金融会社、質屋などが含まれる。規則は2025年12月13日に施行され、事業者は1年以内に運用を要件へ適合させることが求められる。
投資家や融資者にとって、これは単なるコンプライアンスではない。規制当局がオペレーショナルレジリエンスとガバナンスの最低ラインを引き上げ、同時に遅れている事業者には短期的な投資負担を発生させるというシグナルである。
実務上の主な要件
リスク志向の考え方が前提となり、責任体制と内部統制の整備が求められる。技術の選定も、方針や手続きに裏付けられた形で運用される必要がある。
- リスク管理: サイバーリスクと情報セキュリティリスクの管理プロセスを必須化。
- 責任者の明確化: 要件実装の責任者を任命するか、経営トップが直接担当。
- 内部規程: 情報セキュリティに関する規程や標準を策定し、年1回以上見直し。
- 周知徹底: 一般ユーザーと特権ユーザーが内部文書の内容を確認した証跡を残す。
- 技術基準: 関連法令に沿ったソフトウェアとハードウェアの利用を徹底。
- サポート付きの公式版: ベンダーのセキュリティ更新が提供される公式版のみを利用。
- レガシー運用の条件: サポート終了版を使う場合はリスク分析と監視、監査、バックアップなどの補完策を実装。
- 移行期限: 監督機関レベルで承認された移行計画を策定し、2年以内に実行。
市場構造への影響
対応負荷はレガシー比率の高い事業者ほど大きい。期限が明確なため、セキュリティ運用、監査、インフラ更新への需要が増え、結果として一部セグメントでは再編や統合が進む可能性がある。
投資家が見るべきポイント
重要なのは文書の有無ではなく、実装の証拠である。デューデリジェンスでは、体制、資産管理、移行計画、運用ログなどの実務面を確認したい。
- 経営層の関与と報告ラインが機能しているか。
- 規程の年次見直しと従業員周知の証跡があるか。
- ソフトウェア資産とサポート状況、移行計画の現実性。
- インシデント対応、監視、バックアップの運用実態。
- 1年以内の適合に必要な予算と工程が確保されているか。
総じて、要件強化はノンバンク市場の信頼性を底上げする一方、準備不足の事業者にはオペレーショナルリスクを可視化する期限となる。
