リスク管理

MUFGは、さまざまな環境・社会課題に関するリスクをグループの持続的な成長に向けた経営を行う上で重要な課題と認識しています。

また、事業活動によって生じるリスクについても把握し、その管理と低減に努めています。MUFGでは、これらのサステナビリティに関わるリスクに対して、MUFG環境方針とMUFG人権方針に基づく「MUFG 環境・社会ポリシーフレームワーク」の枠組みの中で管理しています。同フレームワークは経営会議の傘下にあるサステナビリティ委員会にて審議され、グループの企業価値の毀損に繋がる評判リスクの管理の枠組みと整合するように構築されています。また、環境・社会にかかる機会およびリスクへの対応方針・取り組み状況は、テーマに応じてリスク管理委員会や投融資委員会、与信委員会においても審議・報告を行っています。各委員会の審議内容は経営会議への報告後、取締役会において報告・審議され、取締役会が環境・社会課題に関するリスクを監督する態勢としています。

MUFGがファイナンスの対象とする事業の環境・社会に対するリスクの特定・評価は、お客さまと直接接点を持つ部署が「標準デューデリジェンス」を行います。これにより、対象事業が特に留意が必要と判断された場合、「強化デューデリジェンス」を実施し、ファイナンスの実行の可否を決定します。

また、対象事業の環境・社会に対するリスクが重大であり、MUFGの企業価値の毀損に繋がりうる、評判リスクに発展する可能性がある事業については経営階層が参加する枠組みにおいて対応の協議を行っています。また、銀行では大規模なプロジェクトによる環境・社会に対するリスクと影響を特定、評価、管理するための枠組みである赤道原則を採択し、ガイドラインに沿ったリスクアセスメントを行っています。

MUFGは、環境・社会に対するリスクが重大とされる事業について、違法または違法目的の事業等を「ファイナンスを禁止する事業」に、先住民族の地域社会へ負の影響を与える事業等を「ファイナンスに際して特に留意する事業」に設定しており、石炭火力発電といった気候変動への影響が大きい事業へのポリシーを強化しています。今後も事業活動やビジネス環境が変化することで顕在化するリスクについて、サステナビリティ委員会による環境・社会ポリシーフレームワークの定期的な見直し、厳格化により対応していきます。

お客さまの大切な資産を守ること、並びに金融サービスを安全かつ安定的に稼働させることがMUFGの社会的責務であると認識しています。サイバー攻撃等に関するITリスクをMUFGのトップリスクの一つとして位置付け、経営主導によるサイバーセキュリティ対策を推進しています。

MUFGでは、国際的なガイドラインを参考にサイバーセキュリティの基準を整備し、戦略の策定や体制の構築、およびセキュリティ対策強化に向けた企画・推進を行っています。

年々、高度化・巧妙化するサイバー攻撃・犯罪への対応として、経営主導による管理態勢を強化するため、「サイバーセキュリティ経営宣言」を表明しています。グループCISO（Chief Information Security Officer）のリーダーシップのもと、2022年には専門組織であるサイバーセキュリティ推進部をシステム企画部の傘下から独立させました。取締役会や経営会議に対する適時適切なレポーティングを通じ、環境の変化に応じた合理的な経営判断ができるガバナンス態勢を整備しています。これにより、効果的かつ効率的なサイバーセキュリティ戦略の推進と、サイバー攻撃に対する日々の防衛に努めています。

MUFGではクラウドサービス、AI、ロボティクス、オープンAPIなど、新しい技術を積極的にビジネスに活用しています。

新技術を活用するプロジェクトでは、企画や設計といった初期段階からサイバーセキュリティ推進部が参画しています。それにより、新技術を安全に活用するための手続の制定、リスク評価、実装時の設定内容の監視など、多層的なセキュリティ対策を構築し、安全・安心と変革の両立に取り組んでいます。

サイバーセキュリティの対策は、ガバナンスやインテリジェンス、リスク管理から、エンジニアリング、監視オペレーション、インシデント対応まで多岐にわたります。MUFGではその全ての機能を自社のチームで管理運営しています。

一つひとつの対策を実践するために、必要とされる人材とスキルセットを体系的に整理し、各自のスキルレベルや担当業務、次のステップアップを考慮しながら、社内外の講習や演習を組み合わせた人材育成プログラムにより、メンバーの専門性の向上に努めています。また、新しい技術や利用環境の変化、サイバー攻撃の変化にも柔軟に適応すべく、セキュリティ対策の向上に果敢に挑戦することを通してプロフェッショナルとしての成長に繋げています。

金融インフラを安定的に稼働させるためには、社員一人ひとりがサイバーセキュリティの重要性を理解し、何をすべきか共に考え、同業他社や官公庁とも協働して取り組むカルチャーの醸成が不可欠です。

サイバーセキュリティに携わる社員だけでなく、サービスの企画推進に携わる社員に対しても、サイバー攻撃の脅威への必要な対策を習得するための教育プログラムを実施しています。また、主要グループ会社向けにeラーニングの提供やフィッシングメール訓練、サイバー攻撃への注意喚起と対応策を周知するニュースレターを発行しているほか、グループ企業を広く対象にしたセミナーを開催しています。さらに、内閣サイバーセキュリティセンターや金融庁、警視庁主催の各種訓練・演習への参加など、さまざまな活動にも積極的に取り組んでいます。

2022年7月にサイバーセキュリティ人材育成に向けて産学官連携で協定を締結しました。この協定を通じて、異業種や大学との相互交流を広げ、MUFGとしてのサイバーセキュリティ対策の向上に繋げていきます。また、MUFGの知見を社会にも還元し、社会全体のサイバーセキュリティ向上に貢献します。

悪質な金融犯罪に対する対策を講じるとともに、被害者の救済に取り組み、お客さまが安心してサービスをご利用いただけるように努めています。

全国で多発しているATMコーナーでの特殊詐欺被害を防止するため、注意を呼びかけるご案内を、ポスターやATM画面等で行っています。また、携帯電話が特殊詐欺の手口で使用されることを踏まえたATMコーナーでの携帯通話禁止運動を推進しています。加えて、犯罪による被害抑止のため、一部のお客さまを対象に被害懸念のあるATM取引について取引制限を実施しています。

店頭での多額の現金引き出しや振り込みの受付に際しては、係員が直接注意を呼びかけ、お取引の内容・目的等をお伺いするほか、警察へ連携する等、犯罪を未然に防止する取り組みを行っています。

さらに、口座開設時は、ご本人であることの確認やご利用目的等をお伺いしており、また、配布チラシやホームページで口座の売買・譲渡が犯罪であることの注意喚起を行う等、銀行口座が犯罪に利用されないように努めています。

キャッシュカードの偽造による被害を防止するため、ICカードの発行を導入しています。また、暗証番号を他人に知られたり、推測されないように、覗き見防止のための後方確認ミラーの設置をはじめ、ATM画面への偏光フィルムの貼付けや、画面上での暗証番号管理の呼びかけを実施しています。

インターネットバンキング取引では、フィッシング詐欺やコンピューターウィルスによる第三者の不正アクセス、ご契約者本人へのなりすまし等に対し、適切なセキュリティ対策を構築しています。

送信元を確認できる「電子署名」を導入し、お客さまに送信したメールが途中で改ざんされた場合、警告メッセージが表示される等の対策を講じています。

また、インターネットバンキング等の取引画面において、真正なサーバーに接続されているかどうか、お客さまのパソコンから確認していただくことができます。

個人のお客さまには、インターネットバンキングの取引認証において、お取引ごとに1回限り有効のパスワードを表示する「ワンタイムパスワードカード」等を提供し（銀行と信託ではスマートフォンアプリでのワンタイムパスワードも提供しています）、第三者による不正取引リスクの低減を図っています。

一方、法人のお客さまには、法人向けインターネットサービス「BizSTATION」（銀行）、「MUTBビジネスダイレクト」（信託）において、それぞれ「ワンタイムパスワードカード」（銀行）、「トランザクション認証用トークン」（信託）等を提供しております。

さらに、お客さまのパソコンのマルウェア感染対策として、インターネットバンキング専用のウィルス対策ソフト「Rapport（ラポート）」（無料）の利用をおすすめするなど、MUFGではさまざまなセキュリティ対策を実施しております。

ニコスは、クレジットカードの会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ国際基準「PCIDSS（Payment Card Industry Data Security Standard）」に準拠するため、全社的な取り組みを行っています。クレジットカード事業に関わるシステムの準拠認定を取得し、セキュリティの維持・向上に努めています。

また、悪質なカード犯罪にお客さまが巻きこまれないようにするためにAI等を活用した「不正使用検知システム」を導入し、お客さまのクレジットカードが第三者に不正に使用されていないかのモニタリングを24時間365日体制で実施しています。

お客さまに安心してカードをご利用いただくため、不審なお取引を検知した場合には、その取引を保留し「保留取引ご確認メール」、または取引成立後にお電話もしくはSMS（ショートメッセージサービス）にてご本人のご利用であるかの確認をしています。なお、お客さまご自身のご利用でないことが判明した場合には、不正使用被害の防止のため、お手持ちのカードの利用を停止し、カード番号を変更した新しいカードへ差し替える手続きを行います。

ニコスの「NICOS」ブランド各事業にかかわる本番システムの運用部門は、情報セキュリティマネジメントシステムの国際規格「ISO/IEC27001」の認証を取得し、情報セキュリティレベルの向上に取り組んでいます。

ニコスは、一般財団法人日本情報経済社会推進協会（JIPDEC）より個人情報の保護レベルを評価する「プライバシーマーク（Pマーク）」の認証を取得しています。「プライバシーマーク（Pマーク）」は、個人情報の適切な保護措置を講ずる体制が整備され、個人情報に関するJIS規格（JISQ15001：2017）に準拠している事業者であることを証明するものです。お客さまの個人情報保護水準の維持・向上に取り組んでいます。