リスク管理

当社グループでは、リスクカルチャーを醸成・浸透させていくために、以下の基本方針に基づきリスク管理をおこなっています。

当社グループは、子会社（横浜銀行・東日本銀行）がリスクの統括部署およびリスク種類ごとにリスク管理部署を設置し、リスクを管理するとともに、持株会社のリスク統括部がグループ全体のリスクを統合的に管理し、監査部長とは異なるリスク担当役員がリスクの状況について代表取締役社長、取締役会へ定期的に報告をしています。
具体的には、各子会社は、リスクプロファイルに応じた適切なリスク管理をおこなったうえで、リスクの状況について持株会社に報告し、持株会社は、その報告を受けて子会社に対し必要な指導をおこなっています。
取締役会では、当社グループのリスク管理が健全かつ効果的に実施されているかを確認するとともに、当社グループの戦略目標や外部環境の変化等を踏まえて、リスク管理の方針・手続きを定期的かつ継続的に見直しています。また、取締役会やALM・リスク管理会議（経営会議）では、各種リスクおよびグループ全体のリスクについてモニタリング・協議・決定し、これを監督しております。

各種リスクの潜在的な最大損失（リスク量）をVaR（バリュー・アット・リスク）などにより計測し、当該リスク量を自己資本のうちリスクテイクに充てられる金額の範囲内に抑えるため、リスク種類別に資本を配賦します。また、リスクアセットについては、計測したリスクキャパシティの範囲内でリスクアペタイトを決定しています。

グループ共通のストレスシナリオを用いて、リスク種類毎の損失を見積もり、資本や収益、リスクアセット、リスク量等への影響を計測し、予算計画上の資本の十分性および経営としてストレス時に容認できる利益水準の確保を確認することにより、リスクテイクの適切性を検証しています。なお、ストレス・テストは自己資本比率規制（バーゼルⅢ）等に基づき実施しています。

トップリスクを管理するため、リスクが将来顕在化する可能性を事前に捉えるための警戒指標としてKRI（Key Risk Indicator）を設定し、継続的にモニタリングをおこない予兆の把握に努め、リスクが顕在化した場合の機動的な対応に備えています。

上記記載項目は取締役会にて、モニタリング・協議・決定し、監督しています。

当社グループは、経営において重要で、管理していくべきリスク事象を、「トップリスク」として定めています。
「トップリスク」については、継続的にモニタリングをおこない予兆の把握に努め、リスクが顕在化した場合の機動的な対応に備えています。

当社グループは、地震をはじめとする大規模災害やシステム障害、感染症のまん延などが発生した際に、お客さまや従業員の安全、金融業務の円滑なる遂行、お客さまの財産の保全を基本原則として、危機管理態勢を整備しています。危機事案発生時には、当社の代表取締役社長を委員長とする危機管理委員会が、必要に応じて子会社に緊急時対策本部の設置を指示し、対応状況について一元的に管理する態勢としています。

また、お客さまに重大な影響を及ぼすシステム障害を未然に防ぐとともに、障害が発生した際の対応態勢も整備しています。当社グループは、お客さま・関係者の健康・安全を最優先に取り組むとともに、社会機能の維持に不可欠な金融インフラとして、金融機能の維持・継続に努めていきます。

当社グループは、グループ全体のリスクを「信用リスク」、「市場リスク」、「流動性リスク」、「オペレーショナルリスク」、「レピュテーショナルリスク」に分類・管理しています。そのうえで、商品やサービスの開発・提供・改定や業務の外部委託に係るリスクなども含め、可能な限りリスクを統合的に識別、評価、モニタリング、コントロールすることにより経営の健全性を確保しています。また、経営資源の適切な配分を通じてリスクに見合った安定収益の確保をはかる態勢としています。

当社グループは、各種リスクの潜在的な最大損失（リスク量）をVaR（バリュー・アット・リスク）などにより計測し、当該リスク量を実質自己資本（普通株式等Tier1から繰延税金資産相当額などを控除したリスク許容限度）の範囲内に抑えるため、リスク種類別に資本配賦をおこなっています。なお、資本配賦にあたっては、ストレス時において実質自己資本を超えることがないよう、バッファ（未配賦資本）の十分性を確認しています。

当社グループは、バッファ（未配賦資本）の十分性評価や、リスクテイクの適切性を確認するため、ストレスシナリオを設定し、当該ストレス事象が発生した際の損失やリスク量をリスクカテゴリー横断で見積もるストレス・テストをおこなっています。
ストレスシナリオは、過去の急激な景気後退や将来の環境変化の予測を考慮のうえ、グループ共通で設定し、ストレス・テストは自己資本比率規制（バーゼルⅢ）等に基づき実施しています。

当社は、これまでも国際標準ガイドラインであるNIST（米国立標準技術研究所）が定めるCyberSecurity Frameworkに基づいた外部監査、セキュリティ専門会社のエシカル(倫理的な)ハッカーが実際に内部のシステムに侵入し脆弱性を評価するTLPT(Thread-LedPenetration Test)を実施して課題を抽出し、サイバーセキュリティ対策を強化してきました。2021年度からは毎年のTLPTの実施に加え、グローバル金融機関のセキュリティ水準をめざすために米国の金融機関で広く使われるFFIEC（米国連邦金融機関検査協議会）の「Cybersecurity Assessment Tool」を活用して外部監査を実施し、判明した課題に対し継続して取り組みの強化を進めています。

経営主導でサイバーセキュリティ対策を実施することを明確にするため、2022年4月には「サイバーセキュリティ経営宣言」を策定しています。体制面では、当社グループ全体のセキュリティの統括者としてICT統括部担当役員をセキュリティオフィサーとすることをセキュリティポリシーにて定めています。また、取締役を中心に構成される定期的なALM・リスク管理会議や社長報告・CSIRT会議等において脅威や規制動向、それらを踏まえたセキュリティ対策、現在の状況を議題として報告し、報告内容に関して経営陣により指導・チェックが適切に実施される体制になっています。さらに、これらの報告内容については、定期的かつ状況変化に即して適宜取締役会に報告し、取締役会はその執行状況を監督しています。

クラウドサービスの利用や業務委託先に当社グループの情報を預ける際は、契約先・委託先への当社グループのセキュリティ基準についての準拠状況評価を、契約時だけでなく契約後も定期的に実施しており、重要度が高い情報を預託している場合は年に１回以上の頻度で定期検証をおこなっています。具体的には契約先・委託先のシステムの安全性に関する評価と、その従業員（契約社員・委託先も含む）への教育状況等情報管理態勢面の評価を実施しており、基準に満たない場合は改善の要請または委託先の変更を実施しています。

個人情報保護への取り組みとしては、法令等にしたがって個人情報の利用目的などをホームページなどで公表するほか、これらの情報を適切に管理し、情報を外部に漏えいさせたり業務に関係のない者が閲覧したりすることのないよう、役割に基づき権限を付与する等の物理的・システム的なアクセス制御の実施に加え情報分類・定義を各種規程・規則を整備したうえで厳格に定め、役職員に周知徹底しています。
システムの仕様については、企画・開発段階についてはセキュリティ・システムリスク専任要員によるセキュリティレビューを実施し、システムの新規公開前と公開後の定期的脆弱性診断を外部セキュリティベンダによって実施することで安全性を高めています。お客さま情報のような個人情報をシステムに保管する際は、役割に基づき権限を付与する等の物理的・システム的なアクセス制御の実施に加え、専用のツールを用いて暗号化を実施しています。またお客さまの端末から公式サイトやインターネットバンキングに接続する際の通信も暗号化を実施しています。これらの管理は各システムのセキュリティ責任者でもある各所管部署の長がその責任を負い、監査部による客観的なチェックを実施することでお客さまの個人情報の適切・安全な取り扱いに努めています。また、クレジットカード発行業務に関しては、クレジットカード業界の国際的なセキュリティ基準であるPCIDSSに準拠して運用しています。

進化するサイバー攻撃の脅威に対応するために、2023年度よりICT統括部内にセキュリティ統括室を組成し、室内に「サイバーディフェンスセンター」を設置しています。サイバーディフェンスセンターはグループ各社のCSIRTメンバーから構成される「コンコルディア・フィナンシャルグループ-CSIRT」と「プライベートSOC」から構成されています。
「コンコルディア・フィナンシャルグループ-CSIRT」では、日々の脅威情報の収集・発信、攻撃検知時の調査・対応を担うとともに、NISC（内閣サイバーセキュリティセンター）や金融庁、金融ISACが主催する訓練への定期参加を通じて、政府機関、業界団体およびグループ会社との連携を確認するなど、有事に備えた態勢としています。また、自社だけでなく基幹系システム「MEJAR（メジャー）」を運営する各地域金融機関およびNTTデータとの間でも「MEJAR-CSIRT」を組成し、定期的な情報交換、態勢確認、共同訓練をおこなっています。2023年度からはNTTデータ地銀共同センター参加行と「CMS-CSIRT」を設立し、共同訓練や勉強会だけでなく製品の共同調達やリソース共有についても視野に入れ、地域金融機関のセキュリティ態勢強化に取り組んでいきます。
「プライベートSOC」では最新の統合ログ監視ツールや自動化ツールを活用してセキュリティインシデントの早期発見および対処に取り組んでいます。組織体制の整備以外にも万が一のセキュリティインシデント発生に備え、ランサムウェア感染、DDoS攻撃、情報漏洩等インシデントの種類に応じた対応計画を策定しています。この対応計画は前述した各種訓練の結果をもとに、継続的に改善しています。また、インシデント発生時には、発生原因を究明し、是正処置・再発防止策（予防処置）を関連部署と連携し対応します。

当社グループはサイバーセキュリティに関するリテラシー向上のため、全役職員（パート、派遣社員を含む）に対して、「セキュリティポリシー」に基づいた訓練・研修を実施しています。訓練については緊急事態が発生したとしても、迅速・スムーズな対応を実施するため、不審メール訓練などを年に複数回実施しています。研修についてはE-learning形式で実施しており、昨今のサイバー攻撃の事例や情報資産の安全性を確保するための内容等を題材にしています。また、新入社員、新任役職者、管理役職者、統括役職者等、階層に応じた研修を、経営層向けには外部から専門家を招いた勉強会を実施しています。これらの取り組みを通じて、サイバーセキュリティに関する技量の維持とインシデントの種類（ランサムウェア感染、DDoS攻撃、情報漏洩等）に応じた対応手順のさらなる改善につなげています。
サイバーディフェンスセンターの専任社員に対してはCISSP、情報処理安全確保支援士の取得を推奨しています（研修・取得費用および維持費用は全額会社負担）。
また、Global Information Assurance Certification（GIAC）、Offensive Security Certified Professional（OSCP）のようなより専門的な国際資格の取得・トレーニング、セキュリティカンファレンスへの参加および情報セキュリティ大学院大学（博士前期課程）への派遣により、専任社員の知識・技量向上に取り組みます。これに加え、専門家の中途採用も目標値を定めたうえで、継続的に採用・育成を実施します。

フィッシング詐欺等による不正送金が多発していることを受け、一般財団法人日本サイバー犯罪対策センター（JC3）に加盟し、インターネットを利用した金融犯罪の情報収集に取り組んでいます。この活動の中で不正送金の手口や当社名を騙った不審メール、SMS（ショートメッセージ）の事例、フィッシングサイトの立ち上げ等の情報を入手した際には、当社ホームページ上に掲載し、お客さま向けに注意喚起を実施しています。
また、横浜銀行は、神奈川県内企業を対象としたサイバーセキュリティ啓発イベント「神奈川サイバーセキュリティフォーラム」を2022年3月に開催するなど、県内企業等におけるサイバーセキュリティ対策の向上・普及に取り組んでおり、2022年6月には、県内企業のサイバーセキュリティレベルの向上を目的とした「神奈川県企業サイバーセキュリティ官民合同プロジェクト」に加盟しました。本プロジェクトへの加盟により、先端技術や専門的な知見を有する企業等との情報共有を通じて自社技術の向上に努めるとともに、県内企業等におけるサイバーセキュリティレベルの向上を支援していきます。