ニューヨーク州金融サービス局は今週、金融サービス企業に対してサードパーティプロバイダーを厳重に監視するよう促す長年の業界指針を更新して発表しました。
今回の指針の更新は多数ありますが、州によれば、主に技術環境の変化に応じて明確化を図るためのものです。局のプレスリリースでは、「新たな要件や義務を課すものではない」と述べられていますが、サイバーリスク企業Black Kiteの最高情報セキュリティ責任者ボブ・メイリー氏は、AIに関する条項など注目すべき点があると述べています。特に今週のAmazon Web Servicesの障害が、1つのサービスプロバイダーがインターネットの健全性に与える大きな影響を示したことを受けてのことです。
明確化されたルールは、ニューヨーク州で取引を行う銀行、保険、金融サービス企業に適用されます。これらのルールは、州のサイバーセキュリティ規則のパート500と呼ばれ、2017年に州民の個人情報を侵害するデータ漏洩の増加から金融サービス業界を守るために制定されました。ルールには報告義務、二要素認証の使用、データ保持要件などが含まれています。
ニューヨーク州のサードパーティサービスプロバイダー規則の初期にPayPalのグローバルサードパーティセキュリティ部門を率いたメイリー氏は、AIの追加が必要と判断されたのは、この技術が広く普及しているためだろうと述べています。こうした規制は、時代遅れになったり過度に制限的になったりしないよう、意図的に幅広く書かれていると指摘しました。
「これはまるで剣の刃の上を歩くようなものです」とメイリー氏は述べています。「AIやAIの利用についての文言が追加されており、ベンダーがどのようにモデルをトレーニングしているか、サードパーティでAIをどう扱うべきかについて契約書に盛り込むことを推奨しています。」
メイリー氏は、AIに関する指針は「素晴らしいこと」だが、サービスプロバイダーにとっては問題となる可能性もあると述べました。ベンダーの制限方法が分からず、「散弾銃的アプローチ」を取る企業も出てくるだろうと予想しています。彼は、顧客の承認なしにAIモデルに1つの変更も加えてはならないとする契約を見たことがあり、これでは俊敏性が損なわれる可能性があると振り返りました。
また、サードパーティプロバイダーの潜在的リスクについて事業責任者に周知を促す条項も評価しているとメイリー氏は述べました。ビジネスリーダーは、これまで以上に技術環境を把握しておく必要があるとしています。
ニューヨーク州のルールは多くの改訂を経てきました。メイリー氏は、過去のバージョンの中には必ずしも理にかなっていないものもあったが、それこそが改訂の目的だと述べています。
「当初の法律では、サードパーティを継続的に監視するか、年次のペネトレーションテストを受けることが重要だとされていました」と彼は述べました。「この2つは全く異なる概念です。」
翻訳元: https://cyberscoop.com/new-york-third-party-risk-guidance-ai-update-financial-services/
