金融セクターで重要視される「オペレーショナル・レジリエンス」

はじめに

今回のテーマは「オペレーショナル・レジリエンス(Operational Resilience)」です。日本では「オペレジ」と略されることもあります。

金融庁の資料によると、オペレーショナル・レジリエンスとは、「システム障害、サイバー攻撃、自然災害等が発生しても、重要な業務を、最低限維持すべき水準において、提供し続ける能力」とされています。

また、ガートナー社によると、オペレーショナル・レジリエンスとは、「事業継続マネジメントプログラムを拡張し、社内外の利害関係者(従業員、顧客、市民、パートナーなど)に対する製品・サービス提供の中断がもたらす影響、関連するリスク許容度、許容レベルに焦点を当てる取り組み」と定義されています。

オペレーショナル・レジリエンスに関する法規制については、特に社会への影響が大きく、必要不可欠な基幹となるインフラを担う業界においてその必要性が高まっており、その中でも金融セクターは、一足先に監督機関による原則や業界を対象とする法規制が定められています。

今回は、金融業界におけるオペレーションレジリエンスについて、バーゼル銀行監督委員会が発表したオペレーショナル・レジリエンスのための諸原則とともに、現在先行して法規制の整備が進んでいるEUにおけるデジタルオペレーションレジリエンス法(DORA)について紹介します。

なぜ金融セクターが進んでいるのか?

これから紹介する原則やEUでの規制については冒頭でも述べたように金融セクターを対象としたものです。なぜ金融セクターではこうした規制がいち早く導入されているのか疑問に思う方もいらっしゃるかと思います。本題に入る前にこの理由について説明しないわけにはいきません。

その理由について、金融庁が公開しているディスカッションペーパー オペレーショナル・レジリエンス確保に向けた 基本的な考え方(案)の中で金融セクターにおけるオペレーショナル・レジリエンスの重要性について言及されている箇所について紹介します。

  1. なぜ今オペレーショナル・レジリエンスか

金融機関を取り巻く環境は急速に変化している。ITシステムへの依存の高まり、大規模システム障害の発生、感染症の拡大、サイバーセキュリティ上の脅威の高まり、クラウドサービスの利用の広がり、FinTech企業等との連携による相互依存度の高まりなど、リスク環境は複雑化する一方である。 こうした中、既存のリスク管理(未然に事故や障害を防ぐための態勢整備)や、BCP(地震などの特定のリスク事象を想定した対応計画)だけでは、想定外の事象が生じた場合に、決済サービスなどの金融システムにとって重要な業務を提供し続けることができないおそれがある。未然防止策を尽くしてもなお、業務中断は必ず起こることを前提に、利用者目線に立ち、代替手段等を通じた早期復旧や影響範囲の軽減を担保する枠組みを確保することが重要である。外部委託業務や連携サービスを含めた業務プロセス全体の包括的な態勢整備によって、オペレーショナル・レジリエンス(業務の強靭性・復旧力。以下「オペレジ」)を確保することは、国際的にも重要視されている

出典:ディスカッションペーパー オペレーショナル・レジリエンス確保に向けた 基本的な考え方(案), 金融庁

文末の「国際的にも重要視されている」という点では、バーゼル銀行監督委員会によるオペレーショナル・レジリエンスのための諸原則の公表やEUにおけるデジタルオペレーションレジリエンス法(Digital Operational Resilience Act)の制定など、近年の「オペレーショナル・レジリエンス」に関するフレームワークや法規制が背景にあります。

グローバル

グローバルでの金融セクターにおける原則や基準のうち、銀行分野についてはバーゼル銀行監督委員会が間接的にその役割を担っています。

バーゼル銀行監督委員会(BCBS:Basel Committee on Banking Supervision)は、国際的な規制そのものを制定あるいは実施する権限を有してはいませんが、銀行監督に関する概括的な基準、指針あるいは推奨事項(バーゼル合意)をとりまとめ、それが各国の法令の制定自に参照されるという流れにおいて、結果的に銀行監督に関する国際的に共通のアプローチあるいは規準が形成する働きをしています。

2007年から2009年に発生した金融危機以降、バーゼル銀行監督委員会によって銀行の財務耐性を強化するための構造改革を行われてきました。

しかし、委員会はそれだけでは不十分であり、パンデミック、サイバー攻撃、システム障害、自然災害など業務へのリスクに対する事象に対する耐性を強化し、銀行のレジリエンスを高めることが、金融システムのさらなるセーフガードになるとの考えから、2021年3月31日、BCBSが「オペレーショナル・レジリエンスのための諸原則」の最終文書を公表しました。また「健全なオペレーショナル・リスク管理のための諸原則」についても情報通信技術の進展などを踏まえ、同タイミングにて改訂(2003年策定、2011年改訂)しています。

参考:バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」の公表について

バーゼル銀行監督委員会:オペレーショナル・レジリエンスのための諸原則

以下、金融庁の資料「バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」の公表について」に掲載されている7つの原則の抄訳です。(各原則の原文を見たい方はこちら

出典:バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」の公表について P10 , 金融庁

証券・保険分野におけるオペレーショナル・レジリエンスの動き

証券監督者国際機構(IOSCO:International Organization of Securities Commissions)では、外部委託先の管理について「Principles on Outsourcing」(2021年10月)や、新型コロナウイルス感染症発生下で得られたオペレジの教訓をまとめた「Operational resilience of trading venues and market intermediaries during the COVID-19 pandemic & lessons for future disruptions」(2022年7月)を公表し、議論が進められています。

また保険監督者国際機構(IAIS:International Association of Insurance Supervisors)でも、2023年5月、イシューペーパー(論点書)を公表し、保険分野のオペレーショナル・レジリエンスに影響を与える問題を特定し、新型コロナウイルス感染症パンデミック中に学んだ教訓を考慮し、監督当局がこれらの進展にどのように取り組んでいるかの例を示しています。

EU :デジタルオペレーションレジリエンス法(DORA)について

デジタルオペレーションレジリエンス法(DORA:Digital Operational Resilience Act)は、EUの「規制:Regulation」であり、EU加盟国に対して直接適用されます。

金融セクターを対象としているが、それ以外の重要なICTサードパーティサービスプロバイダーにも影響

この法律は、EU域内の金融セクターを対象とした法的拘束力のある包括的な情報通信技術(ICT:Information and Communication Technology)のリスクマネジメントフレームワークを構築し、金融機関だけでなく、重要な「ICT サードパーティサービスプロバイダー」についても、ICT システムに実装する必要のある技術標準を規定しています。

ここでいう金融セクターに含まれる事業者とは、銀行、投資会社、クレジット会社のような伝統的な金融業から、暗号資産サービスやクラウドファンディングプラットフォームまで含まれます。(対象となる事業者のリストは、同法第2条1項参照

「ICTサードパーティサービスプロバイダー」とは?

デジタルオペレーションレジリエンス法( 第3条15項)によると、「ICTサードパーティサービスプロバイダー」は、クラウドコンピューティングサービス、ソフトウェア、データ分析サービス、データセンターのプロバイダを含む、デジタルおよびデータサービスを提供する(サードパーティの)事業者を意味します。

DORAは、2020年9月に欧州委員会により法案が提出され、2022 年 11 月に DORA を正式に採択し、2023年1月16日に発効、2025年1月17日に施行開始予定です。

法の執行は、各EU加盟国で指定された管轄当局に委ねられ、管轄当局は金融機関に対し、特定のセキュリティー対策を講じて脆弱性を修復するよう要請することができます。また、遵守しない事業体に対しては、行政罰、または場合によっては刑事罰を課すことも可能となります。

DORAの要求事項

DORAでは、金融機関とICTプロバイダーに対して、ICTリスク管理(CHAPTER II)、ICT 関連インシデントの管理、分類、報告(CHAPTER III)、オペレーショナル・レジリエンス・テスト(CHAPTER IV)、 ICTサードパーティリスク管理(CHAPTER V)といった領域にわたる要求事項を定めています。

また、情報共有の取り決めCHAPTER VI)についても必須ではありませんが推奨事項として含まれています。

各要求事項についての詳細は、IBM社のサイトにまとめられているのでそちらをご確認ください。

さいごに : 日本のオペレジについて

日本における金融セクターのオペレーショナル・レジリエンスについて最後に紹介します。

金融庁は、2022年12月に「オペレーショナル・レジリエンス確保に向けた基本的な考え方(案)」を公表し、2月16日まで意見募集を行い、集まったコメントについて7つのカテゴリと66項目にまとめられたコメントの概要に対する金融庁の考えが別紙にまとめられ、金融庁のサイトにて公開されています。

また、2023年4月には、上記のコメントを踏まえ、追記・修正が行われた「オペレーショナル・レジリエンス確保に向けた基本的な考え方」についても公開されています。

今後、金融庁は、同サイトで「今後も、国際的な議論の進展や技術・外部環境の変化も踏まえつつ、各金融機関のオペレーショナル・レジリエンス確保に向けたよりよい実務の構築に向け、幅広い関係者との間で対話を深めてまいります」と結んでいるようにサーベイや様々なレベルでの意見交換を通じて検討を進めていくようです。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください