有価証券報告書-第214期(2025/04/01-2026/03/31)

(3) リスク管理
・当行では、システムの導入時・更改時や外部のサービス利用時等に以下のステップでサイバーリスク評価を実施しております。また、定期的にリスク評価を実施することで、システムや外部サービスの安全性確保を図っております。

ステップ1 (対象の選定)	原則、全てのシステム・外部サービスをリスク評価の対象としています。
ステップ2 (リスクの評価)	サービスの特性、サイバー攻撃の可能性、情報資産の重要度および決済への影響等を考慮し、サイバーリスクを算出します。また、ITベンダーに対して、想定される脅威別(サイバー攻撃別)にセキュリティ対策の実施状況を確認し、行内で検証します。
ステップ3 (残存リスクへの対応)	システム・外部サービス毎に残存リスクを評価・分析し、リスクの大きさと情報資産の重要度に応じて、「回避」、「低減」、「移転」、「受容」といったリスクへの対応方針を策定し、対応を実施します。