[ ここから本文です ]

リスク管理

MUFGの統合的なリスク管理の取り組みについては、以下のページをご参照ください。

ファイナンスにおける環境・社会に関するリスクの管理

リスク管理の考え方

MUFGは、グループが優先課題として挙げている気候変動対応・環境保全をはじめとするさまざまな環境・社会課題に関するリスクをグループの持続的な成長に向けた経営を行う上で重要な課題と認識しています。

また、事業活動によって生じるリスクについても把握し、その管理と低減に努めています。MUFGでは、これらのサステナビリティに関わるリスクに対して、MUFG環境方針とMUFG人権方針に基づく「MUFG 環境・社会ポリシーフレームワーク」の枠組みの中で管理しています。同フレームワークは経営会議の傘下にあるサステナビリティ委員会にて審議され、グループの企業価値の毀損に繋がる評判リスクの管理の枠組みと整合するように構築されています。また、環境・社会にかかる機会およびリスクへの対応方針・取り組み状況は、テーマに応じてリスク管理委員会や投融資委員会、与信委員会においても審議・報告を行っています。各委員会の審議内容は経営会議への報告後、取締役会において報告・審議され、取締役会が環境・社会課題に関するリスクを監督する態勢としています。

リスクアセスメントプロセス

MUFGがファイナンスの対象とする事業の環境・社会に対するリスクの特定・評価は、お客さまと直接接点を持つ部署が「標準デューデリジェンス」を行います。これにより、対象事業が特に留意が必要と判断された場合、「強化デューデリジェンス」を実施し、ファイナンスの実行の可否を決定します。

また、対象事業の環境・社会に対するリスクが重大であり、MUFGの企業価値の毀損に繋がりうる、評判リスクに発展する可能性がある事業については経営階層が参加する枠組みにおいて対応の協議を行っています。また、銀行では大規模なプロジェクトによる環境・社会に対するリスクと影響を特定、評価、管理するための枠組みである赤道原則を採択し、ガイドラインに沿ったリスクアセスメントを行っています。

ファイナンス対象事業の環境・社会に対するリスクまたは影響を特定・評価するプロセス

主要なリスクと対応

MUFGは、環境・社会に対するリスクが重大とされる事業について、違法または違法目的の事業等を「ファイナンスを禁止する事業」に、先住民族の地域社会へ負の影響を与える事業等を「ファイナンスに際して特に留意する事業」に設定しており、石炭火力発電といった気候変動への影響が大きい事業へのポリシーを強化しています。今後も事業活動やビジネス環境が変化することで顕在化するリスクについて、サステナビリティ委員会による環境・社会ポリシーフレームワークの定期的な見直し、厳格化により対応していきます。
ファイナンスを禁止する事業 ファイナンスに際して特に留意する事業
  • ・違法または違法目的の事業
  • ・公序良俗に反する事業
  • ・ラムサール条約指定湿地へ負の影響を与える事業
  • ・絶滅のおそれのある野生動植物の種の国際取引に関する条約(ワシントン条約)に違反する事業
  • ・児童労働・強制労働を行っている事業
  • ・クラスター弾製造企業、非人道兵器製造事業

【セクター横断的な項目】

・先住民族の地域社会へ負の影響を与える事業

・非自発的住民移転に繋がる土地収用を伴う事業

・保護価値の高い地域へ負の影響を与える事業

 

【特定セクターに係る項目】

・石炭火力発電、鉱業(石炭)、石油・ガス、大規模水力発電、森林、パーム油セクター

 

サイバーセキュリティ

基本方針

お客さまの大切な資産を守ること、並びに金融サービスを安全かつ安定的に稼働させることがMUFGの社会的責務であると認識しています。サイバー攻撃等に関するITリスクをMUFGのトップリスクの一つとして位置付け、経営主導によるサイバーセキュリティ対策を推進しています。

サイバーセキュリティ管理態勢

ガバナンス態勢

MUFGでは、国際的なガイドラインを参考にサイバーセキュリティの基準を整備し、戦略の策定や体制の構築、およびセキュリティ対策強化に向けた企画・推進を行っています。

年々、高度化・巧妙化するサイバー攻撃・犯罪への対応として、経営主導による管理態勢を強化するため、「サイバーセキュリティ経営宣言」を表明しています。さらに、2022年度よりグループCISO(Chief Information Security Officer)のリーダーシップを強化し、サイバーセキュリティ推進部をシステム企画部の傘下から独立させました。取締役会や経営会議に対する適時適切なレポーティングを通じ、環境の変化に応じた合理的な経営判断ができるガバナンス態勢を整備しています。これにより、効果的かつ効率的なサイバーセキュリティ戦略の推進と、サイバー攻撃に対する日々の防衛に努めています。

管理態勢

脅威に関する分析やセキュリティ対策を提供するMUFG-CSFC(MUFG Cyber Security Fusion Center)を立ち上げ、グループ・グローバルで脅威の監視・対策の運用を日夜実施しています。また、サイバーセキュリティ事案発生時にグループ全体を統括する組織としてMUFG-CERTを設置し、MUFGのグループ各社に設置したCSIRTと情報連携しています。事案発生時に情報連携、意思決定、対外広報、技術的対応等を確実かつ迅速に行えるよう、定期的に演習や訓練を実施しています。加えて、官公庁や業界他社との連携、日本シーサート協議会をはじめとするセキュリティコミュニティでの活動も強化しています。
サイバーセキュリティ管理態勢(MUFG)

サイバーセキュリティに対する主な取り組み

高まる脅威に対応したセキュリティ対策

昨今の国際情勢等の影響もあり、ランサムウェア被害が世界的に広がるなど、サイバー攻撃のリスクが高まっています。MUFGでは、サイバー攻撃の脅威に関する情報を収集・分析する専担組織を組成し、新たに確認された脆弱性や過去の攻撃事案による影響度合いの調査およびそれに対する是正措置などを、グループ・グローバルで集中的に指揮管理しています。また、外部に公開しているシステムについては、意図しない対応漏れや設定不備が存在していないことを日々確認しています。

インターネットバンキングをはじめとするインターネット上での電子決済の利用が急増していることに伴い、こうしたオンラインサービスを狙ったサイバー犯罪も社会的課題となっています。MUFGでは、お客さまに安全なサービスを安心してご利用いただくため、個人認証の強度の確保や脆弱性対策の徹底、脅威動向の分析や異常検知、不正な取引のモニタリングなどに取り組んでいます。

デジタルトランスフォーメーションへの対応

MUFGではクラウドサービス、AI、ロボティクス、オープンAPIなど、新しい技術を積極的にビジネスに活用しています。

新技術を活用するプロジェクトでは、企画や設計といった初期段階からサイバーセキュリティ推進部が参画しています。それにより、新技術を安全に活用するための手続の制定、リスク評価、実装時の設定内容の監視など、多層的なセキュリティ対策を構築し、安全・安心と変革の両立に取り組んでいます。

セキュリティ専門人材の育成

サイバーセキュリティの対策は、ガバナンスやインテリジェンス、リスク管理から、エンジニアリング、監視オペレーション、インシデント対応まで多岐にわたります。MUFGではその全ての機能を自社のチームで管理運営しています。

一つひとつの対策を実践するために、必要とされる人材とスキルセットを体系的に整理し、各自のスキルレベルや担当業務、次のステップアップを考慮しながら、社内外の講習や演習を組み合わせた人材育成プログラムにより、メンバー一人ひとりの専門性の向上に努めています。また、新しい技術や利用環境の変化、サイバー攻撃の変化にも柔軟に適応すべく、セキュリティ対策の向上に果敢に挑戦することを通してプロフェッショナルとしての成長に繋げています。

カルチャーの醸成とサイバーセキュリティ教育

金融インフラを安定的に稼働させるためには、社員一人ひとりがサイバーセキュリティの重要性を理解し、何をすべきか共に考え、同業他社や官公庁とも協働して取り組むカルチャーの醸成が不可欠です。

サイバーセキュリティに携わる社員だけでなく、サービスの企画推進に携わる社員に対しても、サイバー攻撃の脅威への必要な対策を習得するための教育プログラムを実施しています。また、主要グループ会社の全社員を対象に、eラーニングの提供やフィッシングメール訓練、サイバー攻撃への注意喚起と対応策を周知するニュースレターを発行しているほか、グループ企業を広く対象にしたセミナーを開催しています。さらに、金融業界の情報連携組織「金融ISAC」との協働、内閣サイバーセキュリティセンターや金融庁、警視庁主催の各種訓練・演習への参加など、さまざまな活動にも積極的に取り組んでいます。

金融犯罪対策

悪質な金融犯罪に対する対策を講じるとともに、被害者の救済に取り組み、お客さまが安心してサービスをご利用いただけるように努めています。

特殊詐欺の被害防止対策

全国で多発しているATMコーナーでの特殊詐欺被害を防止するため、注意を呼びかけるご案内を、ポスターやATM画面等で行っています。また、携帯電話が特殊詐欺の手口で使用されることを踏まえたATMコーナーでの携帯通話禁止運動を推進しています。加えて、犯罪による被害抑止のため、一部のお客さまを対象に被害懸念のあるATM取引について取引制限を実施しています。

店頭での多額の現金引き出しや振り込みの受付に際しては、係員が直接注意を呼びかけ、お取引の内容・目的等をお伺いするほか、警察へ連携する等、犯罪を未然に防止する取り組みを行っています。

さらに、口座開設時は、ご本人であることの確認やご利用目的等をお伺いしており、また、配布チラシやホームページで口座の売買・譲渡が犯罪であることの注意喚起を行う等、銀行口座が犯罪に利用されないように努めています。

偽造・盗難キャッシュカード被害防止対策

キャッシュカードの偽造・盗難による被害を防止するため、ICカードの発行を導入しています。また、暗証番号を他人に知られたり、推測されないように、覗き見防止のための後方確認ミラーの設置をはじめ、ATM画面への偏光フィルムの貼付けや、画面上での暗証番号管理の呼びかけを実施しています。

インターネットバンキングのセキュリティ対策

インターネットバンキング取引では、フィッシング詐欺やコンピューターウィルスによる第三者の不正アクセス、ご契約者本人へのなりすまし等に対し、適切なセキュリティ対策を構築しています。

送信元を確認できる「電子署名」を導入し、お客さまに送信したメールが途中で改ざんされた場合、警告メッセージが表示される等の対策を講じています。

また、インターネットバンキング等の取引画面において、真正なサーバーに接続されているかどうか、お客さまのパソコンから確認していただくことができます。

個人のお客さまには、インターネットバンキングの取引認証において、お取引ごとに1回限り有効のパスワードを表示する「ワンタイムパスワードカード」等を提供し(銀行と信託ではスマートフォンアプリでのワンタイムパスワードも提供しています)、第三者による不正取引リスクの低減を図っています。

一方、法人のお客さまには、法人向けインターネットサービス「BizSTATION」(銀行)、「MUTBビジネスダイレクト」(信託)において、それぞれ「ワンタイムパスワードカード」(銀行)、「ワンタイムパスワード(トークン)」(信託)等を提供しております。

さらに、お客さまのパソコンのマルウェア感染対策として、インターネットバンキング専用のウィルス対策ソフト「Rapport(ラポート)」(無料)の利用をおすすめするなど、MUFGではさまざまなセキュリティ対策を実施しております。

クレジットカードの不正利用に対する取り組み

ニコスは、クレジットカードの会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ国際基準「PCIDSS(Payment Card Industry Data Security Standard)」に準拠するため、全社的な取り組みを行っています。2010年9月にインターネットでのカード決済を提供する「ECカード決済システム」にて準拠認証を取得。その後順次適用範囲を広げ、2014年12月には主要システムの準拠認定を取得し、セキュリティの維持・向上に努めています。

また、悪質なカード犯罪にお客さまが巻きこまれないようにするために「不正使用検知システム」を導入し、お客さまのクレジットカードが第三者に不正に使用されていないかの監視を24時間365日体制で行っています。

お客さまに安心してカードをご利用いただくため、不審なお取引を検知した際、一時的にカードの利用を停止のうえ、お客さまへご連絡を差し上げる場合がございます。またカード情報が第三者に流出している可能性のあるお客さまには、新たなカードへの差替え(再発行)等の対策を実施しております。

ISO/IEC27001認証の取得

ニコスの「NICOS」ブランド各事業にかかわる本番システムの運用部門は、情報セキュリティマネジメントシステムの国際規格「ISO/IEC27001」の認証を取得し、情報セキュリティレベルの向上に取り組んでいます。

プライバシーマーク(Pマーク)使用許諾事業者認定の取得

ニコスとアコムは、一般財団法人日本情報経済社会推進協会(JIPDEC)より個人情報の保護レベルを評価する「プライバシーマーク(Pマーク)」の認証を取得しています。「プライバシーマーク(Pマーク)」は、個人情報の適切な保護措置を講ずる体制が整備され、個人情報に関するJIS規格(JISQ15001:2017)に準拠している事業者であることを証明するものです。お客さまの個人情報保護水準の維持・向上に取り組んでいます。

(2022年9月現在)