米連邦銀行規制当局、銀行に36時間以内のサイバー攻撃報告を義務付ける新規則を承認

2021年11月18日（木）、米国の連邦銀行規制機関は、重大なコンピュータセキュリティインシデントが発生した場合、銀行は36時間以内に主要な連邦規制機関に通知することを義務付ける新ルールを承認しました。現在、銀行が重大なサイバー攻撃を報告しなければならないのは、それが銀行の業務、銀行商品やサービスの提供能力、または米国金融セクターの安定性に影響を与えているか、与える可能性が高い場合のみです。

この規則は、金融サービス業界を標的としたサイバー攻撃が増加しており、これらの攻撃が銀行組織のネットワーク、データ、システムに大きな影響を与え、最終的には通常の業務を再開する能力にまで影響を及ぼすことが確認されたことを受けて制定されました。この最終規則は、2022年4月1日に発効し、完全遵守は2022年5月1日まで延長されます。

この新規則の目的は、米国の金融システムに対する新たなサイバー脅威に対する銀行組織の意識を向上させることであり、その結果、増加・蓄積する脅威が米国の金融システムにとって大きな問題となる前に連邦銀行規制機関が対応することができるようになります。この法案が成立すれば、ランサムウェアによる攻撃を受けた米国の金融機関は、財務省金融犯罪取締局の局長に攻撃の詳細と身代金要求の内容を通知することが義務付けられます。