DXで加速する金融機関のサードパーティとの連携とそのリスク管理

金融機関は、DXの進展によりサードパーティに対する新たなリスク管理体制を構築するという課題に直面しています。本稿では、金融機関が構築すべき今後のリスク管理体制について考察します。

金融機関は、DXの進展によりサードパーティに対する新たなリスク管理体制を構築するという課題に直面しています。本稿では、金融機関が構築すべき今後のリスク管理体制について考察します。

デジタルトランスフォーメーション(DX)の進展は、金融機関に対して自前主義からオープンイノベーションへの転換という大きな変革を迫っています。非対面チャネルにおける顧客接点(UI)の維持拡大のためには、金融以外の機能を提供することが求められ、顧客基点のサービス開発では外部事業者(サードパーティ)の技術などの積極的な活用が求められています。
他方で、従来の外部委託とは異なる多様なサードパーティとの連携のあり方が登場したことで、金融機関は、これまでの外部委託先に対するリスク管理手法とは異なるサードパーティに対するリスク管理体制を構築するという新たな課題に直面しています。
なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。
 

ポイント

  • デジタルトランスフォーメーションの進展により、金融機関が外部事業者(以下「サードパーティ」という)と連携するオープンイノベーションの動きが加速している。
  • サードパーティとの連携は、従来のような外部委託に限らず、API接続や決済サービスの加盟店、クラウドサービスの利用など多様な形態が現れている。
  • サードパーティに対するリスク管理は、厳格な外部委託先管理の手法を当てはめると過剰なものとなるため、連携の形態や業務への影響度、第三者認証の活用など取り得るリスク管理手段などを勘案し、適切なサードパーティに対するリスク管理を構築する必要がある。

Ⅰ.DXで加速する金融機関のサードパーティとの連携

1. DXへの対応で不可欠になるサードパーティとの連携

デジタルトランスフォーメーション(以下「DX」という)が進展するなかで、顧客の消費行動がPCやスマホ経由にシフトするとともに、商品やサービスを提供する事業者ではなく、顧客を基点としてあらゆるビジネスモデルが再定義・再構築されています。
金融機関もこうした流れと無縁ではありません。たとえば、顧客との取引は、店舗といった対面チャネルからインターネット経由の非対面チャネルにシフトする動きが継続しています。
こうした非対面チャネルへのシフトに対応するうえで、留意すべき点が2つあります。
1つは、顧客接点(以下「UI」という)を維持拡大するために、サードパーティと連携協働するオープンイノベーションが不可欠だということです。
「企業」単位ではなく「商品・サービス」の単位でアンバンドリング(分解)され、顧客ニーズに応じてリバンドリング(再構築)されるUIが支持される非対面チャネルにおいては、単に金融の機能を非対面で提供するだけではUIを獲得することは難しくなっています。
金融機関は、顧客に支持されるUIを構築し、そこに自社の金融機能「も」提供する仕組みを構築する必要があります。そのためには、顧客ニーズを捉える商品・サービスを提供するサードパーティと連携して、顧客基点でのUIの価値を高める戦略が求められます(図表1参照)。
もう1つは、UIではなく自らが顧客に提供する商品・サービスの価値を高めるために、サードパーティを積極的に活用する方向への転換です。可能な限り自前リソースで対応しようとするのではなく、顧客基点でニーズを捉えた商品・サービスとするために積極的にサードパーティのリソースを活用する姿勢が求められています。
いずれにしても、金融機関は、これまでよりも多くのサードパーティと連携協働し、ビジネスを再構築していくことがDXに対応するうえで必要不可欠となっています。

図表1 非対面チャネルにおけるUIに求められる機能

図表1 非対面チャネルにおけるUIに求められる機能

2. 顧客接点を維持拡大するためのサードパーティとの連携

金融機関がUIを獲得するためサードパーティと連携している事例として、地方金融機関などがクライアントに対して提供しているビジネスマッチングの情報等が挙げられます。
金融機関が法人のクライアントに対してインターネットバンキング(以下「IB」という)等のサービスを提供することが増えていますが、単にIBを提供するだけでなく、法人ポータルを構築し、IBはそのなかの1つの機能として提供しつつ、ビジネスマッチングの情報等を提供することがあります。
ただ、自行の保有する情報では十分とは言えないことから、他の地方金融機関と連携して双方のクライアントが双方の保有する情報を利用可能にするといった提携が行われることがあります。そして、こうした金融機関の保有する情報をマッチングさせるプラットフォームを提供するスタートアップ企業が現れています。金融機関は、そのスタートアップ企業と提携することでそこに提携している金融機関の情報が利用可能になります。サードパーティと連携してUIの価値を高めていると言えます。
また、金融分野において顧客ニーズに合わせて商品やサービスをリバンドリングしたUIとして、家計簿アプリを提供する電子決済等代行業者が挙げられます。
顧客が利用する金融機関に応じて、金融機関のIBといった機能をリバンドリングし、顧客の金融資産の全体像を把握しやすくし、効率的に家計管理が行えるようにしています。
金融機関の観点からは、UIを獲得しているわけではなく、API接続を通じて銀行機能だけを提供している形態であることから、受動的なサードパーティとの連携協働と言えますが、外部委託とは異なる新たなサードパーティとの連携であることに違いはありません。

3. 新しいサービスを提供するためのサードパーティとの連携

サードパーティと連携して新たなサービスを創出する事例として、2018年11月から取り扱いが認められたオンラインで完結する本人確認方法(以下「eKYC」という)が挙げられます。
従来の非対面による本人確認は、転送不要郵便を顧客住所宛に送付するプロセスが入り、取引開始まで数日を要していました。これに対して、eKYCでは転送不要郵便のプロセスが不要となり顧客が取引を希望しているタイミングで取引開始が可能となるため顧客基点の観点から金融機関が導入を進める価値はあります。
他方、金融機関がeKYCを導入するためには、本人確認書類や本人の画像を撮影するソフトウェアを準備する必要があります。
法規制上の要件を満たすソフトウェアを金融機関単体で開発・運用する負担は軽くないうえに、顧客にとっても仕様の異なるeKYCが乱立することは好ましいことではありません。
こうした課題に対して、金融機関は、eKYCサービスを提供するサードパーティと連携することで解決することも可能です。この場合、金融機関は非対面における本人確認プロセスの一部を当該サードパーティに委託することになります(図表2参照)。

図表2 eKYCにおける一部業務プロセスの外部委託の例

図表2 eKYCにおける一部業務プロセスの外部委託の例

II. サードパーティのリスク管理

1. 多様化する金融機関とサードパーティとの連携の形態

これまで金融機関においてサードパーティとの連携といえば、複数行が連携して構築する共同センター等をも含め、情報システムの「外部委託」が中心でした。
しかしながら、近年拡大している金融機関とサードパーティとの連携は、前述の電子決済等代行業者との「API接続」のように基本的に対等な立場であるケースや、大手クラウド業者のクラウドサービスの利用など力関係が逆転して金融機関の方が立場が弱いケースなど多様化が進んでいます。
また、前セクションでは取り上げなかったものの、銀行等が単なる銀行機能の提供にとどまらず、〇〇ペイやデジタル地域通貨のような決済サービスを提供する場合は、当該決済サービスに係る「加盟店」という形態で銀行等と連携するケースもあります。
このように多種多様なサードパーティとの連携が拡大することで金融機関のリスク管理のあり方も大きく変わることになります。

2. 外部委託先に係るリスク管理

サードパーティとの連携に伴う金融機関のリスク管理のあり方については、従来から存在していた外部委託先に対するリスク管理とそれ以外のサードパーティに対するリスク管理で大きく異なります。
まず、金融機関にとって、外部委託先に対するリスク管理は、これまで長年にわたって経験してきており、金融情報システムセンター(FISC)安全対策基準等の評価基準を始め、リスク評価手法も確立されています。
また、業務委託契約に基づく外部委託の場合、委託元となる金融機関が委託先となる企業に対して強い立場に立つため、金融機関は、財務基盤も含めて厳格な基準を設け、資料提出や実施調査に至るまで強力な権限を保持しならがのリスク管理が可能です。

3. 外部委託先以外のサードパーティのリスク管理

外部委託先以外のサードパーティに係るリスク管理は外部委託先に係るリスク管理と比較して異なる点が多く、外部委託先管理の手法をそのまま当てはめることは適切ではありません。
まず、外部委託先以外のサードパーティは、これまで触れてきたような電子決済等代行業者、クラウド業者、決済サービス提供における加盟店など非常に多様であるとともに、一般的に対象となる企業数は外部委託先よりも多くなります。このため、リスク管理の対象となるサードパーティを、適切な定義の設定も含めて自社にかかわるサードパーティの全体像を正確に把握することから始める必要があります。
次に、金融機関とサードパーティの契約関係についても留意が必要になります。業務委託契約とは異なる形態で連携する場合、必ずしも業務委託契約のように金融機関が委託先企業に対して強い権限を有しているわけではなく、契約前のデューデリジェンス(以下「DD」という)や契約後の定期的なモニタリングにおいて、サードパーティが提出・開示可能な資料・情報の範囲が制限されることがあります。
たとえば、スタートアップ企業の場合、リソースが限られることから1人が複数の業務を兼任することが多くけん制機能が不十分であったり、資金力が乏しく業歴も浅い場合は、事業継続性も含めて慎重なDDが求められるほか、業務提携後の変遷のスピードも通常の外部委託先より速いと考えられることから、モニタリングの頻度を高める必要がある場合もあります。
対象となる企業数が多くなることも含めて、すべてのサードパーティに対して、外部委託先と同様のDDおよびモニタリングを実施しようとするのではなく、サードパーティに対するリスク評価や委託等する業務の重要度、第三者認証の活用可能性など取り得るリスク管理手法等を踏まえて、適切なサードパーティに係るリスク管理体制を構築する必要があります。

III. 最後に

新型コロナウイルスの感染拡大は、企業と顧客の双方に行動変容を促し、非対面・非接触へのシフトを加速させています。これまで徐々に進展していたDXでしたが、従来型の対面・接触を伴うビジネスモデルが制限される環境により、急激に非対面・非接触へとビジネスモデルの転換を迫られています。
このことは、サードパーティとの連携も急速に拡大していくことも意味します。
金融機関は、これまでと異なるサードパーティとの連携を推進するとともに、そのリスク管理のあり方についても早急に検討・確立していく必要があります。

執筆者

KPMGジャパン
フィンテック・イノベーション部
副部長 ディレクター 保木 健次

有限責任 あずさ監査法人
金融事業部 
シニアマネジャー 大久保 恵子