リスク管理

基本的な考え方

当社グループでは、リスクカルチャーを醸成・浸透させていくために、以下の基本方針にもとづきリスク管理をおこなっています。

  • 当社グループは、景気変動などの悪影響を最小限にとどめ、地域から信頼される金融グループとして安定・継続して金融サービスを提供していくため、適切なリスク管理をおこないます。
  • グループ全体のリスクを可能な限り統合的に識別、評価、モニタリング、コントロールすることにより経営の健全性を確保し、経営資源の適切な配分を通じてリスクに見合った安定収益の確保をはかります。
  • 客観性を確保し、リスク間の相互作用を考慮するため、各種リスクを計量化し、統合的な管理に努めます。

リスク管理態勢

コンコルディア・フィナンシャルグループでは、子会社(横浜銀行・東日本銀行)がリスク種類ごとにリスクの統括部署および管理部署を設置しリスクを管理するとともに、持株会社がグループ全体のリスクを統合的に管理し、監査部から独立したリスク担当役員がリスクの状況について取締役会へ定期的に報告しています。
具体的には子会社は、リスクプロファイルに応じた適切なリスク管理をおこなったうえで、リスクの状況について持株会社に報告し、持株会社は、子会社に対し必要な指導をおこなうとともに、ALM・リスク管理会議(経営会議)において、各種リスクおよびグループ全体のリスクについてモニタリング・協議・決定し、監督しています。

リスクアペタイト・フレームワーク

リスクアペタイト・フレームワーク(RAF)の導入

コンコルディア・フィナンシャルグループは、リスクガバナンスの枠組みとして、収益・リスク・資本のバランスを考慮しつつ、経営として進んで受け入れるリスクの種類と量を明確化し、モニタリングする手法である「リスクアペタイト・フレームワーク」(RAF)を導入しています。
中期経営計画および年度の予算策定にあたっては、経営として進んで受け入れる、または回避すべきリスクの種類と量を定めた「リスクアペタイト・ステートメント」(RAS)を取締役会が決定しています。
RAFの活用を通じて、予算に織り込んだリスクアセットとリターンの関係を常にモニタリングし、リスクとリターンの最適化をはかります。
なお、RAFにおけるリスクカルチャーを醸成・浸透させていくために、取締役を含めた役員に対して、リスク管理の勉強会を適宜実施しています(2021年度は11月に実施しました)。

リスクアペタイト・フレームワーク(RAF)の管理態勢の概要

A. 資本配賦およびリスクキャパシティに応じた上限管理

各種リスクの潜在的な最大損失(リスク量)をVaR(バリュー・アット・リスク)などにより計測し、当該リスク量を自己資本のうちリスクテイクに充てられる金額の範囲内に抑えるため、リスク種類別に資本を配賦します。
また、リスクアセットについては、計測したリスクキャパシティの範囲内でリスクアペタイトを決定しています。

B. ストレステスト

グループ共通のストレスシナリオを用いて、リスク種類毎の損失を見積もり、資本や収益、リスクアセット、リスク量等への影響を計測し、予算計画上の資本の十分性および経営としてストレス時に容認できる利益水準の確保を確認することにより、リスクテイクの適切性を検証しています。

C. トップリスク管理

トップリスクを管理するため、リスクが将来顕在化する可能性を事前に捉えるための警戒指標としてKRI(Key Risk Indicator)を可能な限り設定し、継続的にモニタリングをおこない予兆の把握に努め、リスクが顕在化した場合の機動的な対応に備えています。

トップリスク

コンコルディア・フィナンシャルグループでは、経営において重要で、管理していくべきリスク事象を、「トップリスク」として定めています。
「トップリスク」については、継続的にモニタリングをおこない予兆の把握に努め、リスクが顕在化した場合の機動的な対応に備えています。

おもなトップリスク

  • 新型コロナウイルス感染拡大による景気悪化
  • エネルギー・原材料価格の高騰等による企業の業況悪化
  • 金融政策の変更
  • 中国の国内政策の失速
  • システム障害による大規模な損害
  • 大規模な自然災害の発生
  • 脱炭素社会への移行など
  • 当社が認識しているリスクの一部であり、上記以外のリスクによっても経営上、特に重大な悪影響が生じる可能性があります。

危機管理

当社グループは、地震をはじめとする大規模災害やシステム障害、感染症のまん延などが発生した際に、お客さまや社員の安全、金融業務の円滑なる遂行、お客さまの財産の保全を基本原則として、危機管理態勢を整備しています。
危機事案発生時には、当社の代表取締役社長を委員長とする危機管理委員会が、必要に応じてグループ内会社に緊急時対策本部の設置を指示し、対応状況について一元的に管理する態勢としています。

新型コロナウイルスへの対応では、店頭におけるアルコールやアクリル板等対策備品の設置、お客さまへのソーシャルディスタンス確保のお願い等により、徹底した感染防止に取り組んでいます。
従業員は、基本的な感染予防策の徹底に加え、テレワークや時差出勤により職場の「密」を回避するよう努めています。
また、本部の重要業務を中心にスプリット・オペレーションを導入し、業務継続に必要な人員の確保もはかっています。

また、お客さまに重大な影響を及ぼすシステム障害を未然に防ぐとともに、障害が発生した際の対応態勢も整備しています。当社グループは、お客さま・関係者の健康・安全を最優先として感染拡大防止に取り組むとともに、社会機能の維持に不可欠な金融インフラとして、金融機能の維持・継続に努めていきます。

統合的なリスク管理

Ⅰ.基本的な考え

当社グループでは、グループ全体のリスクを「信用リスク」、「市場リスク」、「流動性リスク」、「オペレーショナルリスク」、「レピュテーショナルリスク」に分類・管理しています。
そのうえで、商品やサービスの開発・提供・改定や業務の外部委託に係るリスクなども含め、可能な限りリスクを統合的に識別、評価、モニタリング、コントロールすることにより経営の健全性を確保しています。
また、経営資源の適切な配分を通じてリスクに見合った安定収益の確保をはかる態勢としています。

信用リスク
信用供与(融資)先の財務状況の悪化などにより、資産の価値が減少・消失し、損失を被るリスク
市場リスク
金利、有価証券などのさまざまな市場のリスク・ファクターの変動により、保有する資産・負債の価値が変動し、損失を被るリスク
流動性リスク
予期せぬ資金の流出などにより損失を被るリスク(資金繰りリスク、市場流動性リスク)
オペレーショナルリスク
不適切な事務、システムの不備、法令等違反、自然災害、役職員の健康被害などに起因して損失を被るリスク
レピュテーショナルリスク
当社グループおよび役職員などの言動・行動の結果が、対外的なマイナスイメージを与えることなどにより損失を被るリスク

Ⅱ.統合的なリスク管理の枠組み

資本配賦による健全性の確保

当社グループでは、各リスクの潜在的な最大損失(リスク量)をVaR(バリュー・アット・リスク)などにより計測し、当該リスク量を実質自己資本(普通株式等Tier1から繰延税金資産相当額などを控除したリスク許容限度)の範囲内に抑えるため、リスク種類別に資本配賦をおこなっています。
なお、資本配賦にあたっては、ストレス時において実質自己資本を超えることがないよう、バッファ(未配賦資本)の十分性を確認しています。

ストレス・テストによる健全性の確保

当社グループでは、バッファ(未配賦資本)の十分性評価や、リスクテイクの適切性を確認するため、ストレスシナリオを設定し、当該ストレス事象が発生した際の損失やリスク量をリスクカテゴリー横断で見積もるストレス・テストをおこなっています。
なおストレスシナリオは、過去の急激な景気後退や将来の環境変化の予測を考慮し、グループ共通で設定しています。

サイバーセキュリティ

サイバーセキュリティガバナンス

外部監査体制

コンコルディア・フィナンシャルグループでは、これまでも国際標準ガイドラインであるNIST(米国立標準技術研究所)が定めるCyberSecurity Frameworkに基づいた外部監査、セキュリティ専門会社のホワイトハットハッカーが実際に内部のシステムに侵入し脆弱性を評価するTLPT(Thread-Led Penetration Test)を実施して課題を抽出し、サイバーセキュリティ対策を強化してきました。2021年度からは毎年のTLPTの実施に加え、グローバル金融機関のセキュリティ水準をめざすために米国の金融機関で広く使われるFFIEC(米国連邦金融機関検査協議会)の「Cyber security Assessment Tool」を活用して外部監査を実施し、判明した課題に対し継続して取り組みの強化を進めています。

経営層の関与

経営主導でサイバーセキュリティ対策を実施することを明確にするため、2022年4月には「サイバーセキュリティ経営宣言(PDFをダウンロード)」を策定しています。体制面では、当社グループ全体のセキュリティの統括者としてICT統括部担当役員をセキュリティオフィサーとすることをセキュリティポリシーにて定めています。また、取締役を中心に構成される定期的なALM・リスク管理会議や社長報告・CSIRT会議等において脅威や規制動向、それらを踏まえたセキュリティ対策、現在の状況を議題として報告し、報告内容に関して経営陣により指導・チェックが適切に実施される体制になっています。

委託先等管理

クラウドサービスの利用や業務委託先に当社グループの情報を預ける際は、契約先・委託先への当社グループのセキュリティ基準についての準拠状況評価を、契約時だけでなく契約後も定期的に実施しています。具体的には契約先・委託先のシステムの安全性に関する評価と、その従業員(契約社員・委託先も含む)への教育状況等情報管理態勢面の評価を実施しており、基準に満たない場合は改善の要請または委託先の変更を実施しています。

インシデントレスポンス態勢

進化するサイバー攻撃の脅威に対応するために、グループ各社のCSIRTメンバーから構成される「コンコルディア・フィナンシャルグループ-CSIRT」を組成しています。日々の脅威情報の収集・発信、攻撃検知時の調査・対応を担うとともに、NISC(内閣サイバーセキュリティセンター)や金融庁、金融ISACが主催する訓練への定期参加を通じて、政府機関、業界団体およびグループ会社との連携を確認するなど、有事に備えた態勢としています。また、自社だけでなく基幹系システム「MEJAR(メジャー)」を運営する各地域金融機関およびNTTデータとの間でも「MEJAR-CSIRT」を組成し、定期的な情報交換、態勢確認、共同訓練をおこなっています。
組織体制の整備以外にも万が一のセキュリティインシデント発生に備え、ランサムウェア感染、DDoS攻撃、情報漏洩等インシデントの種類に応じた対応計画を策定しています。この対応計画は前述した各種訓練の結果をもとに、継続的に改善しています。2022年度からは「サイバーディフェンスセンター」を自社内に設置し、最新の統合ログ監視ツールや自動化ツールを活用してセキュリティインシデントの早期発見および対処に取り組んでいきます。

教育・啓発

グループ役職員向けの教育・訓練

当社グループは役職員全体のサイバーセキュリティに関するリテラシー向上が不可欠と考えており、万が一緊急事態が発生したとしても、迅速・スムーズな対応を実施するため、訓練については派遣社員・契約社員を含む役職員に対して不審メール訓練などを年に複数回実施し、研修についてはE-learning形式で年に2回以上を専門ベンダによって当社に最適化された題材を用いて実施しています。なお、不審メール訓練に関しては、継続的な実施により訓練メール本文に記載されたURLのクリック率は1%程度の低水準を維持しています。また、新入社員、新任役職者、管理役職者、統括役職者等、階層に応じた研修を、経営層向けには外部から専門家を招いた勉強会も実施しています。これらの取り組みを通じて、サイバーセキュリティに関する技量の維持とインシデントの種類(ランサムウェア感染、DDoS攻撃、情報漏洩等)に応じた対応手順のさらなる改善につなげています。
CSIRT専任社員については高度なサイバーセキュリティ資格であるCISSP(Certified Information Systems Security Professional)、情報処理安全確保支援士(試験合格を含む)をメンバーの半数以上が保有し、2022年度からはより専門的な国際資格の取得、トレーニング、およびセキュリティカンファレンスへ参加することによって、専任社員の知識・技量向上に取り組みます。これに加え、専門家の中途採用も目標値を定めたうえで実施するなど、継続的に専門性の高い人財の採用・育成に取り組んでいきます。

参加・実施訓練一覧

  • 金融業界横断的な
    サイバーセキュリティ演習(Delta Wall)

  • 経営層向け訓練
  • NISC分野横断的演習
  • MEJAR-CSIRT演習
  • 金融ISAC共同演習
  • 金融ISACサイバークエスト
  • 不審メール訓練

お客さま向けの啓発

フィッシング詐欺等による不正送金が多発していることを受け、一般財団法人日本サイバー犯罪対策センター(JC3)に加盟し、インターネットを利用した金融犯罪の情報収集に取り組んでいます。この活動の中で不正送金の手口や当社名を騙った不審メール、SMS(ショートメッセージ)の事例、フィッシングサイトの立ち上げ等の情報を入手した際には、当社ホームページ上に掲載し、お客さま向けに注意喚起を実施しています。
また、横浜銀行は、神奈川県内企業を対象としたサイバーセキュリティ啓発イベント「神奈川サイバーセキュリティフォーラム」を2022年3月に開催するなど、県内企業等におけるサイバーセキュリティ対策の向上・普及に取り組んでおり、2022年6月には、県内企業のサイバーセキュリティレベルの向上を目的とした「神奈川県企業サイバーセキュリティ官民合同プロジェクト」に加盟しました。本プロジェクトへの加盟により、先端技術や専門的な知見を有する企業等との情報共有を通じて自社技術の向上に努めるとともに、県内企業等におけるサイバーセキュリティレベルの向上を支援していきます。