有価証券報告書-第21期(2025/04/01-2026/03/31)
② 戦略
ⅰ.サイバーセキュリティ関連のリスク及び機会の識別
当社グループは、世界的に活動する金融機関として、ランサムウェア、フィッシング、分散型サービス拒否攻撃など、さまざまなサイバーセキュリティリスクにさらされています。これらのリスクは、攻撃者による犯罪活動、国際的な紛争、その他の脅威環境等によってトレンドは変化しますが、ますます複雑で洗練されたものになってきており、対応がより困難になっています。私たちは、お客様からお預かりした資産をサイバーセキュリティの脅威から保護し、安全で安定した金融サービスを提供するという責任を負っています。そのため、サイバー攻撃やその他の関連する事象によるリスクと脅威を最重要リスクの一つとして認識し、経営陣の監督の下でグループ・グローバル横断でのサイバーセキュリティに係る戦略・方針を策定し、統一的な対策を実施しています。
私たちは、サイバーセキュリティリスクに対して常に警戒を怠らず、対応を検討し実施し続ける努力をしていますが、今後発生する可能性のあるサイバーセキュリティのインシデントを防ぐ、又は軽減することができないケースも想定されます。サイバーセキュリティインシデントを起因として、情報通信システムの不具合や不備が生じ、取引処理の誤りや遅延等の障害、情報の流出等が生じ、業務の停止及びそれに伴う損害賠償の負担その他の損失が発生する可能性、当社グループの信頼が損なわれ又は評判が低下する可能性、行政処分の対象となる可能性、並びにこれらの事象に対応するための追加費用等が発生する可能性があります。
これらのリスクは、短期、中期及び長期にわたって影響が生じる可能性があります。
ⅱ.ビジネス・モデル及びバリュー・チェーンに与える影響
サイバーセキュリティリスクに対して常に警戒を怠らず、対応を検討し実施し続ける努力をしていますが、今後発生する可能性のあるサイバーセキュリティのインシデントを防ぐ、又は軽減することができないケースも想定されます。これは、現在及び将来のビジネス・モデル、バリュー・チェーン全体に重大な悪影響を及ぼす可能性があります。
インターネットバンキングをはじめとするインターネット上での電子決済の利用が急増していることに伴い、こうしたオンラインサービスを狙ったサイバー犯罪等が社会的課題になっており、インターネットに公開されているシステムの保護等の対策を講じています。
ⅲ.財務的影響
(現在の財務的影響)
当年度において、私たちのビジネス戦略、業績、又は財務状況に実質的な影響を及ぼす、又は合理的に見て実質的な影響を及ぼす可能性があると判断される、重要性のあるサイバーセキュリティの脅威は確認されませんでした。
(予想される財務的影響)
サイバーセキュリティリスクに対して常に警戒を怠らず、対応を検討し実施し続ける努力をしていますが、短期、中期、長期にわたって今後発生する可能性のあるサイバーセキュリティのインシデントを防ぐ、又は軽減することができないケースも想定されます。これは、私たちのビジネス戦略、業績、財政安定性に重大な悪影響を及ぼす可能性があります。
サイバーセキュリティに関するインシデントが発生した場合の影響を見積るにあたり、測定の不確実性の程度が高く、定量的情報が有用でないため、定量的情報の開示を行っていません。
なお、他のサステナビリティ関連のリスク又は機会及びその他の要因との複合的な財務的影響について、開示すべき重要性のある情報はありません。
ⅳ.戦略及び意思決定に与える影響
当社グループのサイバーセキュリティリスクに係る対応は、国立標準技術研究所(NIST)が発行したものなど、世界的に認知された基準を取り入れています。このような世界的に認知された基準に基づき、グループ最高情報セキュリティ責任者(CISO)の監督下にあるサイバーセキュリティ推進部は、当社グループの情報システムを保護するためのポリシーと基準を策定し、サイバーセキュリティリスク評価を行います。その他の責任の中でも、サイバーセキュリティ推進部は新たに発見された脆弱性や過去の経験に対する中央集約型の情報収集と影響分析、及びそのような影響の予防と修復に焦点を当てています。また、サイバーセキュリティ推進部は、セキュリティ更新や設定の欠陥を特定し防ぐために、当社グループのインターネット公開システムの日常的な監視を行っています。当社グループは、サイバーセキュリティの脅威分析と情報セキュリティソリューションを専門とするMUFGサイバーセキュリティフュージョンセンター(MUFG CSFC)を設立し、24時間体制の監視とインシデント対応能力を強化するよう努めています。子会社レベルでは、コンピュータセキュリティインシデント対応チーム(CSIRTs)が各子会社内に設立され、MUFGコンピュータセキュリティインシデント対応チーム(MUFG-CERT)と連携して、各子会社からのサイバーセキュリティインシデントの報告を受け、調査し、対策を実施します。
このように、ガバナンスやインテリジェンス、リスク管理から、エンジニアリング、監視オペレーション、インシデント対応まで多岐にわたる対応を行っており、当社グループではその全ての機能を自社のチームで管理運営しています。
加えて、こうした一つひとつの対策を実践するために、必要とされる人材とスキルセットを体系的に整理し、各自のスキルレベルや担当業務、次のステップアップを考慮しながら、社内外の講習や演習を組み合わせた人材育成プログラムにより、メンバーの専門性の向上に努めています。また、新しい技術や利用環境の変化、サイバー攻撃の変化にも柔軟に適応すべく、セキュリティ対策の向上に果敢に挑戦することを通してプロフェッショナルとしての成長に繋げています。これは、サイバーセキュリティに携わる社員だけでなく、サービスの企画推進に携わる、派遣やパートを含めたグループの社員を対象に、サイバー攻撃の脅威への必要な対策を習得するための教育プログラムを実施しています。また、主要グループ会社向けにeラーニングの提供やフィッシングメール訓練、サイバー攻撃への注意喚起と対応策を周知するニュースレターを発行しているほか、グループ企業を広く対象にしたセミナーを開催しています。
今後も上記取組みを継続するとともに、適時適切に改善も図っていきます。
当社グループではクラウドサービス、AI、ロボティクス、オープンAPIなど、新しい技術を積極的にビジネスに活用しているところ、新技術を活用するプロジェクトでは、企画や設計といった初期段階からサイバーセキュリティ推進部が参画し、新技術を安全に活用するための手続の制定、リスク評価、実装時の設定内容の監視など、多層的なセキュリティ対策を構築することによって、安全・安心と変革の両立に取り組んでいます。
サイバーセキュリティ関連のリスクを、企業の見通しに影響を与えると合理的に見込みうるリスクと識別しています。サイバーセキュリティ関連のリスクと機会に重要性のあるトレードオフはありません。
ⅴ.レジリエンス
ランサムウェア、フィッシング、分散型サービス拒否攻撃等、日々高度化するサイバー攻撃に対し、外部の守りを固めるだけでなく、内部侵入を前提においた対策が重要と考え、レジリエンス強化を推進しています。具体的には、お客様への影響や重要データの保有有無等、特に侵害されると影響が大きいシステムを中心にシステムCP(Contingency Plan)の策定を実施しており、有事の際にも迅速なシステム復旧が行える態勢作りを行っています。また、リスクシナリオについては年次で見直しを実施しており、最新のリスクシナリオに沿ったシステムCPの策定を行う運用を構築しています。
これらの取組みについては、取締役会・経営会議にも報告しており、必要な資源を適切に確保できるような取り組みを行っています。
これらの取組を通じて、当社グループはサイバーセキュリティ関連のリスクから生じる不確実性に包括的に対処しており、短期、中期及び長期にわたり戦略及びビジネス・モデルを調整する能力を有していると評価しています。
ⅰ.サイバーセキュリティ関連のリスク及び機会の識別
当社グループは、世界的に活動する金融機関として、ランサムウェア、フィッシング、分散型サービス拒否攻撃など、さまざまなサイバーセキュリティリスクにさらされています。これらのリスクは、攻撃者による犯罪活動、国際的な紛争、その他の脅威環境等によってトレンドは変化しますが、ますます複雑で洗練されたものになってきており、対応がより困難になっています。私たちは、お客様からお預かりした資産をサイバーセキュリティの脅威から保護し、安全で安定した金融サービスを提供するという責任を負っています。そのため、サイバー攻撃やその他の関連する事象によるリスクと脅威を最重要リスクの一つとして認識し、経営陣の監督の下でグループ・グローバル横断でのサイバーセキュリティに係る戦略・方針を策定し、統一的な対策を実施しています。
私たちは、サイバーセキュリティリスクに対して常に警戒を怠らず、対応を検討し実施し続ける努力をしていますが、今後発生する可能性のあるサイバーセキュリティのインシデントを防ぐ、又は軽減することができないケースも想定されます。サイバーセキュリティインシデントを起因として、情報通信システムの不具合や不備が生じ、取引処理の誤りや遅延等の障害、情報の流出等が生じ、業務の停止及びそれに伴う損害賠償の負担その他の損失が発生する可能性、当社グループの信頼が損なわれ又は評判が低下する可能性、行政処分の対象となる可能性、並びにこれらの事象に対応するための追加費用等が発生する可能性があります。
これらのリスクは、短期、中期及び長期にわたって影響が生じる可能性があります。
ⅱ.ビジネス・モデル及びバリュー・チェーンに与える影響
サイバーセキュリティリスクに対して常に警戒を怠らず、対応を検討し実施し続ける努力をしていますが、今後発生する可能性のあるサイバーセキュリティのインシデントを防ぐ、又は軽減することができないケースも想定されます。これは、現在及び将来のビジネス・モデル、バリュー・チェーン全体に重大な悪影響を及ぼす可能性があります。
インターネットバンキングをはじめとするインターネット上での電子決済の利用が急増していることに伴い、こうしたオンラインサービスを狙ったサイバー犯罪等が社会的課題になっており、インターネットに公開されているシステムの保護等の対策を講じています。
ⅲ.財務的影響
(現在の財務的影響)
当年度において、私たちのビジネス戦略、業績、又は財務状況に実質的な影響を及ぼす、又は合理的に見て実質的な影響を及ぼす可能性があると判断される、重要性のあるサイバーセキュリティの脅威は確認されませんでした。
(予想される財務的影響)
サイバーセキュリティリスクに対して常に警戒を怠らず、対応を検討し実施し続ける努力をしていますが、短期、中期、長期にわたって今後発生する可能性のあるサイバーセキュリティのインシデントを防ぐ、又は軽減することができないケースも想定されます。これは、私たちのビジネス戦略、業績、財政安定性に重大な悪影響を及ぼす可能性があります。
サイバーセキュリティに関するインシデントが発生した場合の影響を見積るにあたり、測定の不確実性の程度が高く、定量的情報が有用でないため、定量的情報の開示を行っていません。
なお、他のサステナビリティ関連のリスク又は機会及びその他の要因との複合的な財務的影響について、開示すべき重要性のある情報はありません。
ⅳ.戦略及び意思決定に与える影響
当社グループのサイバーセキュリティリスクに係る対応は、国立標準技術研究所(NIST)が発行したものなど、世界的に認知された基準を取り入れています。このような世界的に認知された基準に基づき、グループ最高情報セキュリティ責任者(CISO)の監督下にあるサイバーセキュリティ推進部は、当社グループの情報システムを保護するためのポリシーと基準を策定し、サイバーセキュリティリスク評価を行います。その他の責任の中でも、サイバーセキュリティ推進部は新たに発見された脆弱性や過去の経験に対する中央集約型の情報収集と影響分析、及びそのような影響の予防と修復に焦点を当てています。また、サイバーセキュリティ推進部は、セキュリティ更新や設定の欠陥を特定し防ぐために、当社グループのインターネット公開システムの日常的な監視を行っています。当社グループは、サイバーセキュリティの脅威分析と情報セキュリティソリューションを専門とするMUFGサイバーセキュリティフュージョンセンター(MUFG CSFC)を設立し、24時間体制の監視とインシデント対応能力を強化するよう努めています。子会社レベルでは、コンピュータセキュリティインシデント対応チーム(CSIRTs)が各子会社内に設立され、MUFGコンピュータセキュリティインシデント対応チーム(MUFG-CERT)と連携して、各子会社からのサイバーセキュリティインシデントの報告を受け、調査し、対策を実施します。
このように、ガバナンスやインテリジェンス、リスク管理から、エンジニアリング、監視オペレーション、インシデント対応まで多岐にわたる対応を行っており、当社グループではその全ての機能を自社のチームで管理運営しています。
加えて、こうした一つひとつの対策を実践するために、必要とされる人材とスキルセットを体系的に整理し、各自のスキルレベルや担当業務、次のステップアップを考慮しながら、社内外の講習や演習を組み合わせた人材育成プログラムにより、メンバーの専門性の向上に努めています。また、新しい技術や利用環境の変化、サイバー攻撃の変化にも柔軟に適応すべく、セキュリティ対策の向上に果敢に挑戦することを通してプロフェッショナルとしての成長に繋げています。これは、サイバーセキュリティに携わる社員だけでなく、サービスの企画推進に携わる、派遣やパートを含めたグループの社員を対象に、サイバー攻撃の脅威への必要な対策を習得するための教育プログラムを実施しています。また、主要グループ会社向けにeラーニングの提供やフィッシングメール訓練、サイバー攻撃への注意喚起と対応策を周知するニュースレターを発行しているほか、グループ企業を広く対象にしたセミナーを開催しています。
今後も上記取組みを継続するとともに、適時適切に改善も図っていきます。
当社グループではクラウドサービス、AI、ロボティクス、オープンAPIなど、新しい技術を積極的にビジネスに活用しているところ、新技術を活用するプロジェクトでは、企画や設計といった初期段階からサイバーセキュリティ推進部が参画し、新技術を安全に活用するための手続の制定、リスク評価、実装時の設定内容の監視など、多層的なセキュリティ対策を構築することによって、安全・安心と変革の両立に取り組んでいます。
サイバーセキュリティ関連のリスクを、企業の見通しに影響を与えると合理的に見込みうるリスクと識別しています。サイバーセキュリティ関連のリスクと機会に重要性のあるトレードオフはありません。
ⅴ.レジリエンス
ランサムウェア、フィッシング、分散型サービス拒否攻撃等、日々高度化するサイバー攻撃に対し、外部の守りを固めるだけでなく、内部侵入を前提においた対策が重要と考え、レジリエンス強化を推進しています。具体的には、お客様への影響や重要データの保有有無等、特に侵害されると影響が大きいシステムを中心にシステムCP(Contingency Plan)の策定を実施しており、有事の際にも迅速なシステム復旧が行える態勢作りを行っています。また、リスクシナリオについては年次で見直しを実施しており、最新のリスクシナリオに沿ったシステムCPの策定を行う運用を構築しています。
これらの取組みについては、取締役会・経営会議にも報告しており、必要な資源を適切に確保できるような取り組みを行っています。
これらの取組を通じて、当社グループはサイバーセキュリティ関連のリスクから生じる不確実性に包括的に対処しており、短期、中期及び長期にわたり戦略及びビジネス・モデルを調整する能力を有していると評価しています。
10年以上蓄積したファイナンスデータとAIを掛け合わせて、投資の意思決定を加速させるポジションです。
