BaFin の役割は、ドイツ金融システムの機能性、完全性、安定性を確保することです。
GwG は、ドイツにおける主要なマネーロンダリング防止規制です。したがって、BaFin 及び GwG の管轄区域内のすべての対象事業者は、適切な措置を講じて、AML(マネーロンダリング防止)と CFT(テロ資金供与対策)について積極的な姿勢を示す必要があります。
ドイツ連邦金融監督庁として BAIT(Bankaufsichtliche Anforderungen an die IT、「金融機関の IT の監督要件」という意味)を発行する BaFin は、ドイツの金融規制当局です。BaFin は、同国の金融業界が適切かつ安全に機能するように監督しています。BaFin の Mark Branson 長官は次のように説明します。
「私たちは、イノベーションを実現し、積極的に活用したいと考えています。1 点、明確にしておきたいのですが、原則として、イノベーションは顧客の役に立つからこそ業界を発展させるのであって、その逆ではありません。私たちは、公正なフレームワークの条件を確保し、革新的なビジネスモデルは持続可能でもあることを実証します」
BaFin の概要
BaFin はドイツの規制当局であり、主な役割は、銀行や保険会社を含む同国の金融業界の安全性と保護を監督することです。その一環として BaFin は、承認されていない不正な金融取引の防止に重点を置いています。また、金融犯罪に関連するリスクを緩和するために規制面で重要な役割を担っています。
BaFin は、ドイツの金融市場全体を対象とした、金融サービスと統合に関する法律(2002 年)を監督する目的で、2002 年 5 月 1 日に設立されました。また、 ドイツ銀行法 (Gesetz über das Kreditwesen)では、規制管理を実施するために BaFin が行使する法的統制と権限が提示されています。
BaFin は、次の 3 つの既存組織を統合して設立されました。
- 銀行監督庁
- 証券取引監督庁
- 保険監督庁
BaFin の規制範囲は、銀行取引、証券・株式取引、保険に及びます。さらに、ドイツ暗号資産転送規制(Kryptowertetransferverordnung – KryptoWTransferV)に基づき、暗号資産の分野で活動している企業の監督も実施しています。この規制は、暗号資産に関連するマネーロンダリングのリスク緩和を目的としています。
マネーロンダリング防止(AML)実行を推進、強化するために、BaFin は専門の「マネーロンダリング防止部門」を設けています。この部門は、 Geldwäschegesetz (GwG)マネーロンダリング法の第 50 項に準拠した、所管監督機関です。GwG に基づき、すべての機関、企業、サービスプロバイダー、及び個人によるマネーロンダリングの防止を意図した活動を監督します。
金融機関の BaFin コンプライアンス対応に関する Akamai の支援
Akamai は、銀行やその他の金融機関が顧客データを保護し、コンプライアンス対応を達成できるよう支援します。当社のセキュリティソリューションが提供するのは、ランサムウェア、DDoS 攻撃、その他の侵害を防止するために必要なインテリジェンスとエンドツーエンドの保護です。Akamai のサポートにより、セキュリティチームは従来のネットワークセグメンテーションから脱却し、セキュリティ投資の効果と ROI を最大化できるようになります。自動化と専門家の知見を組み合わせることで、プラットフォームは、脅威にさらされていないときのシステムの様子を学習できます。このようにして、システムが脅威にさらされたときでも、脅威を特定して防御する方法を把握しています。
Akamai は、以下の 3 点を提供します。
- ゼロトラスト・セキュリティを実行し、IT 環境を包括的にカバーする、グローバルなセキュリティプラットフォーム
- 資産、アクセス、ネットワークフローの詳細な可視性
- セキュリティポリシーの緻密な適用
このプラットフォームには、DDoS 攻撃と DNS 攻撃に対するアクティブな防御が含まれており、重要な資産とリソースを保護しながら、顧客とユーザーのシームレスなアクセスを維持します。
BaFin が組織に与える影響
BaFin が注視するのは、深刻なリスクとサイバー脅威です。毎年 BaFin は、監視の結果に基づき、特に深刻なリスクについてレポートを発行しています。最新のレポートでは、金融業界の重大なリスクとしてランサムウェアと DDoS 攻撃が挙げられました。レポートは、「金融業界の企業は、サイバー攻撃によって生じる経済的損失と大きな風評被害というリスクに直面している」と指摘しています。以下の組織は、BaFin に準拠する必要があります。
銀行と金融機関
BAIT では、金融機関における IT の監督要件が詳細に説明されています。金融業界はサイバー犯罪の標的となっており、金融機関を狙う攻撃の手口はフィッシングからデータ漏えい、金銭の窃盗、ランサムウェア攻撃、DDoS などのサイバー攻撃に至るまで多岐にわたります。 FS-ISAC のレポートによれば、金融機関を標的とした分散型サービス妨害(DDoS)攻撃は、2022 年に 22% 増加しました。また、銀行や金融機関ではデータを狙ったサイバー攻撃のリスクも高まっており、金融サービス業界への侵害は特に激しくなっています。 BAIT は 金融業界のデータに対する脅威を反映して、2021 年に更新されました。
BaFin の目的は、金融業界の、不正行為やマネーロンダリングにつながる分野で、正しい行動を強化することです。BAIT の要件で、金融機関は、この業界を標的とするサイバー攻撃に対する耐障害性を備えるものとされています。ゼロトラスト・セキュリティ・モデルを使用して提供されるユーザーアクセス管理と最小権限アクセス権は、こうした要件に不可欠です。BAIT は MaRisk にも関連しており、リスク管理の最低要件に対応しています。
保険業界
VAIT(Versicherungaufsichtliche Anforderungen an die IT)では、必要なアクセス権の管理を含め、保険業界の IT 運用に関する BaFin の監督要件が詳細に説明されています。金融業界と同様に、保険業界もさまざまなサイバー脅威のリスクにさらされています。PwC の 『Global Economic Crime and Fraud Survey(グローバル経済の犯罪と不正行為に関する調査)』(2022 年)によれば、2021 年に保険会社の 3 分の 2 が詐欺または金融犯罪の攻撃を受けたことが明らかになっています。
保険会社は、BaFin と VAIT の要件に従うことで、重要資産の保護と DDoS 攻撃の防止が可能になります。ゼロトラスト・セキュリティのアプローチが提供するフレームワークとツールによって、保険会社は BaFin へのコンプライアンス対応を確実に実行できます。
BaFin コンプライアンスのための Akamai ソリューション
Akamai は、金融業界の重要資産を確実に保護するための包括的なゼロトラスト・セキュリティ・ソリューションを提供しています。このソリューションによって金融業界は、ランサムウェアが重要なシステムやデータに拡散するのを防ぎ、サイバー攻撃による大規模な事業の中断を回避できるようになります。当社の優れたセキュリティソリューションは、Akamai を使用して機微な情報をデジタルインフラ全体で保護している顧客から、クラス最高のソリューションとして評価されています。世界水準の当社ソリューションは、BaFin の規制要件と、BAIT 及び VAIT が定めるセキュリティ対策に対応するために必要なセキュリティ制御を提供します。Akamai は、拡大するインフラ全体で、IT 環境、重要な資産、アクセス要件、ネットワークフローを詳細に可視化します。組み合わせて使われる Akamai のセキュリティ・ソリューション・ファミリーは、現在の BaFin を確実に遵守するためのツールを提供するとともに、規制が更新される際は、新たに出現した金融業界に対する脅威の反映をサポートします。
BaFin AML/CFT(テロ資金供与対策)ポリシー
BaFin は、金融活動作業部会(FATF)の「40 の勧告」を実行する責任を担っています。長年掲げられてきたこの推奨事項は、定期的な更新を通じて、テクノロジーの変化と進化を続けるサイバー脅威の状況を反映しています。FATF の勧告で提示されるのは、金融犯罪に対処するためのフレームワークです。AML/CFT に関するリスクベースのアプローチが採用されており、以下に示す例のとおり、この勧告は、AML/CFT 規制への対応で BaFin が要求する対策の種類について、知見を提供してくれます。
- リスクベースの AML/CFT スキームの実装
- Know Your Customer(顧客確認、KYC)/Customer Due Diligence(顧客精査、CDD)対策の策定と展開
- 顧客スクリーニングを使用した、政治的に重要な地位に就いている人物(PEP)、詐欺師、その他監視対象者の特定
- 内部の AML/CFT プログラムの監督責任者の任命
BaFin コンプライアンスと EU のマネーロンダリング防止指令(AMLD)
ドイツは欧州連合(EU)の加盟国であるため、BaFin は、金融業界の EU 全域を対象とする規制へのコンプライアンスも監督する必要があります。第 6 次 AMLD(6AMLD)は、EU 全域におけるマネーロンダリング防止指令の最新版です。EU でよく見られるように、AMLD は、EU 全体(ドイツを含む)で AML をシンプルに実行するために考案されています。
コンプライアンス違反に対する BaFin の罰則
BaFin は法執行機関です。そのため、規制に従わず、要件に違反している対象事業者に対して法的措置を講じることができます。最近の事例では 2021 年に ドイツ銀行に対して 866 万ユーロの罰金を科しており、 次のとおり説明しています。
「ドイツ銀行は、監督されたコントリビューターとして、有効な予防システム、管理、ポリシーを適切に導入することなく、管理者に対する入力データのすべてのコントリビューションの完全性と信頼性を確保しませんでした」
よくある質問(FAQ)
BaFin はドイツの連邦金融監督庁です。銀行、金融サービス機関、保険事業、証券取引を監督します。
はい、ドイツの連邦財務省の監督下にある連邦機関です。
Why customers choose Akamai
Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.