貸金業務取扱主任者 過去問
令和4年度（2022年）
問19 (法及び関係法令に関すること 問19)

正しいです。
サイバー空間を経由した不正アクセスやシステムの妨害行為、情報の改ざんなどを含む事案が「サイバーセキュリティ事案」に該当するとされています。

これは、監督指針が定める定義に沿った正しい内容です。

サイバー攻撃によって業務が停止したり、顧客情報が漏れたりする事態は、貸金業者にとって大きなリスクです。

正しいです。
システムトラブルが発生したときに誰が責任を持って対応するかを明確にしておくための体制整備に関する記述で、正しく、監督指針にも記載されています。

誤りです。

「通常の業務では使用しないシステム領域に格納されたデータを除くすべてのデータ保存領域について～」と記載されていますが、この除外の前提が誤りです。

監督指針では、通常の業務で使用しない領域であっても、資金需要者等の重要情報が含まれる可能性があるため、すべての領域を対象として網羅的に洗い出すことが求められています。

たとえば、システムの障害解析用のログや、店舗外ATMに保存されたデータなどは、普段の業務では見落とされがちですが、情報漏洩や不正アクセスのリスクが潜んでいるため、しっかりチェックする必要があります。

一定の領域を除外する考え方は、リスク管理の観点から不適切です。

正しいです。
システム部門とは独立した内部監査部門が、専門性のある人材によってシステム監査を行っているか、または必要に応じて外部監査を活用しているかを検証することが求められています。

このように、監査の客観性と実効性を確保する体制があるかどうかは重要なポイントです。

適切です。

サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆるサイバー攻撃により、サイバーセキュリティが脅かされる事案をいいます（監督指針Ⅱ-2-4）。

適切です。

システムリスク管理態勢の検証については、貸金業者の業容に応じて、例えば、システムリスクに対する認識等として、経営陣は、システムリスクの重要性を十分に認識した上で、システムを統括管理する役員を定めているかに留意して検証することとされています。

適切ではありません。

資金需要者等の重要情報の洗い出しを行う際には、業務、システム、外部委託先を含む対象範囲において、重要情報が含まれる可能性のあるすべてのデータを検証する必要があります。具体的には、通常の業務では使用しないシステム領域に格納されたデータや障害解析用にシステムから出力されたデータ、現金自動設備（店舗外も含む）に保存されている取引ログなど、これらを適切に洗い出すことで、重要情報の漏洩や不正使用のリスクを軽減します。
したがって、「通常の業務では使用しないシステム領域に格納されたデータを除く」とする記述は誤りです。

適切です。

システムリスク管理態勢の検証については、貸金業者の業容に応じて、例えば、システム監査として、システム部門から独立した内部監査部門において、システムに精通した監査要員による定期的なシステム監査が行われているか（外部監査人によるシステム監査を導入する方が監査の実効性があると考えられる場合には、内部監査に代え外部監査を利用して差し支えない。）に留意して検証することとされています。