金融機関・銀行・証券会社のクラウドストレージ活用ガイド【FISC・金融庁ガイドライン対応】 - HStorage

銀行・証券会社・保険会社がクラウドストレージを業務に使う場合、一般企業とは異なるハードルがあります。FISC安全対策基準と金融庁のサイバーセキュリティガイドラインへの準拠です。「クラウドは便利だがコンプライアンス要件が厳しくて踏み出せない」という声を現場でよく聞きます。この記事では、規制の要点を整理したうえで、金融機関がクラウドストレージを安全に活用するための具体的な方法を解説します。

金融機関がクラウドストレージを必要とする理由

契約書・報告書・顧客情報・コンプライアンス資料——金融機関が扱うドキュメントの種類と量は膨大です。紙やオンプレミスの共有サーバーで管理してきた組織では、次の課題が顕在化しています。

• 検索性の低さ: 部署ごとに異なる命名規則でサーバーに保管され、必要な書類を探すのに時間がかかる
• テレワーク対応の限界: VPN経由のファイルサーバーアクセスは速度が遅く、大容量ファイルの送受信が困難
• バックアップの属人化: 担当者が手動でバックアップを取る運用は、抜け漏れが発生しやすい
• コスト: オンプレミスのストレージ機器は保守費用と更改サイクルのコストが重くのしかかる

クラウドストレージへの移行は、これらをまとめて解消できる選択肢です。ただし金融機関の場合、セキュリティと規制対応を後回しにした移行は、監督当局からの指摘やインシデントとして返ってきます。

準拠すべき2つの規制フレームワーク

FISC安全対策基準

公益財団法人金融情報システムセンター（FISC）が策定する「コンピュータシステムの安全対策基準」は、日本の金融機関がシステムを整備・運用する際の実質的な業界標準です。クラウド利用に関しては別冊の「金融機関等におけるクラウド導入・運用に関する解説書」が公開されており、実務上の判断基準を提供しています。主な強調点は4つです。

• クラウド事業者との責任分界点の明確化
• 利用するクラウドサービスの提供機能の把握と確認
• 契約終了時の論理的廃棄の手順確認（暗号鍵の削除、データ削除の確認）
• 重要データの暗号化の徹底

特に「論理的廃棄」は盲点になりやすい。オンプレミスなら媒体を物理破壊すれば確実ですが、クラウドではデータが本当に消えているかをクラウド事業者に確認するしかありません。契約前に、廃棄の手順と廃棄済みを証明する書面を提供できるかどうかを必ず確認してください。

金融庁サイバーセキュリティガイドライン

金融庁は2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。クラウドサービス利用時の対応事項として、以下の6点が明記されています。

1. 利用するクラウドサービスの仕様を確認し、理解を深めること
2. 責任共有モデルを理解し、クラウド事業者との責任範囲を明確にすること
3. 情報公開等の設定にミスがないか確認すること（必要に応じて専門家による監査や自動検知サービスを活用）
4. 責任分界に応じて、サービス仕様が変わる際に影響を確認すること
5. 多岐にわたる関係主体を把握し、情報共有体制・インシデント対応体制を構築すること
6. 利用終了時のクラウド上データの取扱い（論理的廃棄）について確認すること

責任共有モデルを一言でまとめると、「クラウド事業者はインフラを守り、データは利用者が守る」です。暗号化の設定、アクセス権限の管理、ログの監視——これらはすべて金融機関側の責任範囲です。「クラウドに預けているから安全」はこのモデルの根本的な誤解であり、その認識のまま運用を始めると、規制対応の穴が生まれます。

クラウドストレージ選定の5つのチェックポイント

1. データの暗号化

保存データ（at-rest）と転送データ（in-transit）の双方が暗号化されているかを確認します。さらに、暗号鍵を金融機関側で管理できる「顧客管理鍵（BYOK）」に対応しているかどうかも確認してください。クラウド事業者が鍵を持つ場合、事業者側での内部不正や不正アクセスのリスクを完全には排除できません。

2. アクセス権限管理と多要素認証（MFA）

ファイル・フォルダ単位できめ細かなアクセス権限を設定できる製品を選びます。部門・役職・担当者ごとに「閲覧のみ」「編集可」「管理者」を使い分けられる設計が前提です。管理者アカウントへのログインには多要素認証（MFA）を適用してください。クラウド環境での不正アクセスは、IDの盗取を起点とするケースが多く、パスワード単独では金融機関の環境を守るには不十分です。

3. 監査ログの取得と保管

誰がいつどのファイルにアクセス・操作したかを記録する監査ログは、内部統制と税務調査・金融検査への対応に欠かせません。ログが改ざんできない形式で保管され、期間を指定して検索・出力できることが求められます。

4. 論理的廃棄と鍵管理

FISC安全対策基準が求める論理的廃棄の方法は主に2つです。

• 特定データの削除: 管理インタフェースを通じたデータの完全削除
• 暗号鍵の削除: データを暗号化したまま、鍵を破棄することで事実上読み取り不能にする

契約前に「廃棄の実施方法」と「廃棄を証明できる書面の提供可否」をクラウド事業者に確認してください。

5. 第三者認証とSLAの確認

ISO/IEC 27001やSOC 2 Type IIなどの第三者認証を取得しているクラウド事業者は、少なくとも外部の監査を受けた実績があります。認証の有無を選定条件の一つに加えてください。SLAについては、基幹業務に近いデータを扱うなら99.9%以上のアップタイム保証を持つサービスを選ぶのが現実的な基準です。

金融機関のユースケース別活用法

顧客との契約書・申込書管理

顧客の署名を含む書類は機密性が高く、アクセスを担当者に限定する必要があります。フォルダ単位でアクセス権限を設定し、閲覧者のダウンロードを禁止できるビュアー共有機能があると管理が楽になります。また、電子帳簿保存法の要件を満たすためにファイル名に取引日・取引先・金額を含めるルールを社内で統一します。

内部監査・コンプライアンス資料

内部監査部門が作成するレポートや、コンプライアンス部門が保管する規程類・研修資料は、一定期間の保存と変更履歴の保持が求められます。バージョン管理機能を持つクラウドストレージであれば、誰がいつどう変更したかを遡って確認できます。

決算書・有価証券報告書のアーカイブ

決算書類は法定保存期間（会社法で10年）に沿ったアーカイブが必要です。クラウドストレージに保管することで、紙のファイリングや物理的なアーカイブスペースのコストを削減できます。フォルダ構成を年度・書類種別で統一し、検索性を確保します。

外部委託先との書類共有

監査法人・弁護士・外部システム会社との書類共有では、有効期限付きの共有リンクを活用します。共有期間が終われば自動的にアクセスが無効になるため、情報漏えいリスクを抑えられます。パスワードを設定することで、リンクが第三者に転送された場合でも保護できます。

HStorageでの実装例

推奨フォルダ構成

finance/
├── contracts/              # 顧客契約書（担当者のみアクセス可）
│   ├── 2026/
│   │   └── 20260619_田中太郎_口座開設.pdf
│   └── archive/            # 保存期間経過後
├── compliance/             # コンプライアンス規程・研修資料
│   ├── regulations/        # 閲覧のみ
│   └── training/
├── audit/                  # 内部監査資料（監査部門のみ）
│   └── 2026/
└── disclosure/             # 開示書類・有価証券報告書
    └── 2026/
        └── annual-report-2026.pdf

アクセス権限設計の例

S3互換APIによる自動連携

HStorageはS3互換APIに対応しており、既存の業務システムやRPAツールからファイルを自動アップロード・ダウンロードする連携が組めます。決算処理システムが生成するレポートを、処理完了後に自動でストレージへ転送する仕組みを作ると、手動操作のミスをなくせます。

導入前チェックリスト

金融機関がクラウドストレージを導入する前に確認すべき項目をまとめます。

導入に向けて

金融機関がクラウドストレージを導入する際の出発点は、責任共有モデルを正確に理解することです。クラウド事業者がインフラを守り、金融機関自身がデータを守る。この分担を明確にしてから、暗号化・アクセス権限・監査ログ・論理的廃棄の各要件を満たすストレージを選んでください。

HStorageはWebDAV・S3互換API・暗号化ファイル管理・アクセスログ・有効期限付き共有リンクといった機能を備えており、金融機関の実務で必要とされる要件の多くに対応しています。規制対応のご相談やトライアルについては、こちらのページからお問い合わせください。