金融機関に求められるオペレーショナル・レジリエンスの確立と当局動向

金融機関のサービス提供基盤が、デジタル化やエコシステムの進展等により複雑化の一途を辿るなか、システム障害やサイバー攻撃、取引先のトラブル、パンデミックや地政学的問題など、多岐にわたりかつ予測の難しいリスクへの対応は一層困難となっています。このため近年金融機関は、オペレーショナル・レジリエンス、すなわちリスク事象が発生した際も、顧客や社会にとって重要な業務を継続するための能力の確保が求められ、各国当局も進捗に向けた対策を急いでいます。
本稿では、国内および海外の規制当局の動向の紹介も交えて、金融機関が求められるオペレーショナル・レジリエンスの全体像と確立に向けたポイントを概説します。

1. 金融機関に求められるオペレーショナル・レジリエンスの強化
2. 金融規制当局の動向
3. 金融機関の対応アプローチ

国内および海外の多くの金融機関では、近年、多様化するサイバー攻撃の発生、テロや地域紛争の勃発、気候変動に伴う自然災害等による大規模な業務中断発生のリスクに直面しています。また、特に新型コロナウイルス感染症（COVID-19）の拡大以降、業務オペレーションのデジタル化の加速により、クラウドサービスの利用拡大やFinTech（フィンテック）企業と連携した新規サービスの提供が進み、サードパーティ、フォースパーティへの依存度が増してきています。人・プロセス・システムの関連性が多岐にわたる昨今は、リスクも一層複雑化しています。

このようなビジネスやシステムが複雑化する現在の環境下で発生する事故や障害は、その複雑さ故に原因や影響の特定も困難となり、金融機関のシステム障害による業務の一時停止や復旧対応の遅延など、金融市場および顧客に大きな影響を与えるトラブルを目にすることは、国内外で少なくありません。
人・プロセス・システムが複雑化する現在のビジネス環境下において、日本の金融機関で多く見られるリスクの未然防止やゼロリスク志向を前提としたリスク管理では限界があります。このような状況から脱却するために、想定外の事象が必然的に発生することを前提とした経営資源の配置や制度設計を実施し、早期に復旧・回復する力の確保、すなわちオペレーショナル・レジリエンスを全社横断で態勢整備をすることが求められています。

オペレーショナル・レジリエンスは、バーゼル銀行監督委員会の「オペレーショナル・レジリエンスのための諸原則」を参照すると、テロやサイバー攻撃、自然災害等の発生時においても、企業の事業継続が可能となるよう、迅速かつ柔軟に環境へ適応・回復する組織の能力であることが意図されています。オペレーショナル・レジリエンスの確保のためには、既存のリスク管理の代替となる新たな枠組みを整備するのではなく、金融機関において従来から整備した枠組みを活用し、新たな視点で包括的にリスク管理態勢を補完することが重要です（図表1参照）。

たとえばBCP（事業継続計画）管理の場合、既存の枠組みでは、（1）重要な業務にランクをつけ（2）重要業務が停止した場合の自社の観点からみた財務的なインパクト、風評被害等を考慮し、自社のリソースを中心にどれ程の資源が必要かを検討し（3）業務の継続に係る関係部署、業務委託先を洗い出していく––ということが、これまでどこの企業でも対応されてきたと考えられます。オペレーショナル・レジリエンス確保の観点では、自社に対してだけでなく、顧客、マーケット参加者、金融システムの安定性等のより幅広い視点から影響を考慮することや、サードパーティ（フォースパーティを含む）、クラウドサービス、連携サービス等の依存関係を整理し、それらも含め、エンド・トゥ・エンドで洗い出し、影響や必要な業務を特定していくことが重要です。

また、サイバーセキュリティ管理においても、サイバー攻撃によって一定程度侵害されることを前提とした、業務やサービスの早期復旧や影響軽減を実現する対策の重要性が高まっています。上述のBCPで挙げたポイントは、サイバーセキュリティの強化でも重要な論点になります。オペレーショナル・レジリエンスの確保を推進することは、サイバーセキュリティの強化にも繋がります。

オペレーショナル・レジリエンスに係る議論の発端となった英国では2018年に、英国規制当局がディスカッション・ペーパーを公表し、その約3年後に、バーゼル銀行監督委員会が諸原則を公表しています。日本においても、金融庁が、2022年12月ディスカッション・ペーパーを公表し、国内外の環境変化を踏まえ、海外規制当局と足並みのそろった内容になっています。

主な海外規制当局の動向
欧米では、業務継続を可能にするレジリエンスを高めるためのガイドラインや規制の整備が進んでいます。バーゼル銀行監督委員会は、2021年3月に、「オペレーショナル・レジリエンスのための諸原則」の最終文書を公表し、銀行に求める計7つの原則を示しています。事業継続性、サードパーティへの業務委託、銀行が依存しているテクノロジーなどは、オペレーショナル・レジリエンスを強化する際に検討すべき重要な要素です。また、既存のリスク管理フレームワークや事業継続計画、サードパーティへの依存度の管理が、組織内で一貫して実施されていることが、オペレーショナル・レジリエンスを考える上では重要です。

オペレーショナル・レジリエンスにかかる取組みが先行している英国では、2018年7月に規制当局が、「Building the UK financial sector’s operational resilience」の共同ディスカッション・ペーパー（DP)を公表後、2019年12月に「Operational resilience: Impact tolerances for important business services」の共同コンサルテーションペーパー（CP）を公表し、2022年3月に施行開始しています。英国規制の主要な論点として、経営陣のリーダシップ、重要な業務サービスの特定、経営資源のマッピング、影響許容度の設定、シナリオテスト、コミュニケーション手法の確立、レジリエンスカルチャーの醸成等が挙げられ、これらが既存の仕組みの変革を行う上でのポイントとされています。また、欧州委員会は、2020年9月に「Digital Operational Resilience Act（DORA）」を発行し、2022年11月に欧州委員会で可決されています。ICTリスクにかかるレジリエンスを確保するための規制で、欧州銀行監督機構（EBA）のICT＆セキュリティリスク管理にかかるガイドラインを基に策定されています。そのなかでも、欧州監督当局が、重要なサードパーティサービスプロバイダーを選定し、オンサイトでの検査や継続的なモニタリングする等、主要な監督当局が監督できるようになっています。英国規制当局も、2021年3月に、重要なサードパーティが金融機関に提供するサービスのレジリエンスの評価および強化についてディスカッション・ペーパーを公表し、DORA同様、重要なサードパーティを直接監督する枠組みを提示しています。

米国では、2020年10月に米国規制当局が「Sound Practices to Strengthen Operational Resilience」を公表し、米通貨監督庁（OCC）は、2019年から、サイバーセキュリティとオペレーショナル・レジリエンスを検査計画の重点項目として挙げており、米国連邦準備制度理事会（FRB）も同年からオペレーショナル・レジリエンスを検査項目の1つとして挙げています。

欧米だけでなく、アジアにおいても、当局による動きが活発化しています。香港金融管理局（HKMA）は、2022年5月に、オペレーショナル・レジリエンスに関するポリシーマニュアルを公表しています。このなかでは、オペレーショナル・レジリエンスを高めるための、ステップバイステップでのアプローチが書かれており、各ステップでどのようなことを実施する必要があるかが定義されています。また、オーストラリアでは、オーストラリア健全性規制庁（APRA）が、2022年7月にオペレーショナル・レジリエンスに関するコンサルテーションペーパーを公表し、2023年の早い段階で最終化し、2024年1月1日に施行を予定しています。SARSの経験を活かし、従来から対策が進んでいたシンガポールでは、シンガポール金融管理局（MAS)が、オペレーショナル・レジリエンス強化のため、アウトソーシング、テクノロジーリスク、BCM（事業継続マネジメント）に関するコンサルテーションペーパーを公表し、関連する規制・ガイドラインの改定を行っています。なかでも、BCMに関するコンサルテーションペーパーでは、重要業務サービスの特定やサードパーティを含めた相互依存関係のマッピングなどを求めており、オペレーショナル・レジリエンスの主要論点が反映されています。
各地域で異なるディスカッション・ペーパーや規制を公表していますが、約80～85％が類似した内容であることが、KPMGによるギャップ分析（およびグローバルで統一的な手法やフレームワークの整備）を通じて分かっています。そのため、グローバルなシステム上重要な金融機関（G-SIFIs）等にとっても、英国、オーストラリア、香港、シンガポール規制、欧州のDORA等への包括的な対応態勢を構築することが可能になっています。

日本の規制当局の動向
金融庁は、2022年12月16日に、「オペレーショナル・レジリエンス確保に向けた基本的な考え方」（案）を公表しています。ディスカッション・ペーパーでは、オペレーショナル・レジリエンスを、「システム障害、テロやサイバー攻撃、感染症、自然災害等の事象が発生しても、金融機関が重要な業務を、最低限維持すべき水準（耐性度）において、提供し続ける能力」と定義しており、バーゼル銀行監督委員会の諸原則や諸外国の規制・ガイドラインと類似した内容となっています。業務中断が発生することを前提に、金融システムや利用者への影響を考慮して最低限維持すべき水準（「耐性度」）を設定し、耐性度内に収まるよう、重要な業務の提供に係る相互連関性のマッピングを行い、必要な経営資源等を確保し、訓練・テスト等を通じて、定期的に適切性を検証することを求めています。主に銀行を対象としていますが、金融システム上重要な業務を担う企業（重要なサードパーティも含む）も活用することを念頭に置いています。利用者目線に立って、既存のリスク管理の枠組みを活用し、サードパーティも含めた業務プロセス全体の包括的な態勢整備によるオペレーショナル・レジリエンスの確保を目的としています。ディスカッション・ペーパーの位置付けとしては、より実務的なオペレーショナル・レジリエンスの構築に向けた金融庁と金融機関との対話の材料として活用することを念頭に置いています。

ディスカッション・ペーパーでは、（1）「重要な業務」の特定（2）「耐性度」の設定（3）相互連関性のマッピング・必要な経営資源の確保（4）適切性の検証・追加対応の4点が、オペレーショナル・レジリエンスを確保する上でのポイントだと考えています。

まず、組織横断的に、（1）「重要な業務」を特定し、金融サービスという統一的なレンズで、「耐性度」の設定、マッピング・経営資源の確保、適切性の検証等を行っていくことが重要です。金融サービスという統一的なレンズで見るということが、オペレーショナル・レジリエンスが、既存のリスク管理の枠組みと異なる点だと言えます。

さらに利用者目線に立って、（2）「耐性度」を設定することが重要です。そのために、業務中断が生じる範囲、影響を受ける取引数、取引額および利用者数等も考慮し、利用者への影響をより精密に見積もる必要があります。また、業務中断時に、迅速な代替手段の案内や広報も計画することが重要になってきます。

（3）相互連関性のマッピングでは、マッピングの範囲・粒度や効果的なサードパーティリスク管理については、引き続きベストプラクティスの探求を必要としています。サードパーティ管理については、金融機関とサードパーティ等との相互連関性が複雑化している現状を踏まえ、監督当局が特定のサードパーティに対する集中リスクをモニタリングし、そのような重要なサードパーティとも対話を進めていくという点が、諸外国のガイドラインと足並みのそろった内容となっています。重要な業務と社内外の経営資源のマッピングを行うことにより、重要な業務を提供するために必要な経営資源を明確にし、業務中断時にどの経営資源が代替可能かなど代替策や対応策を明確化するとともに、重要な業務の中断を引き起こす脆弱性がある経営資源を特定します。経営資源は、ヒト（人材、サードパーティ）、モノ（有形資産、テクノロジー、データ）、カネ（投資）等が想定されますが、各経営資源の脆弱性の把握・改善がオペレーショナル・レジリエンスの強化に繋がります。

（4）適切性の検証・追加対応では、極端だが起こり得るシナリオを想定した分析や既存の訓練・テスト等を通じて、オペレーショナル・レジリエンス態勢を定期的かつ組織横断的に検証し、必要に応じて見直しや追加的措置を講じることを求めています。その際に、「利用者目線」「業務・システム、部署を超えた組織横断的なアプローチ」「サードパーティ等を含む社外のステークホルダーとの連携」「価値観・専門性等の多様性の受容」「オープンな対話を通した相互理解」が不可欠だとしています。

ディスカッション・ペーパーの内容は、英国をはじめ諸外国の規制と概ね類似していますが、いくつか相違点が挙げられます。たとえば、BCP やRRP 等の既存の枠組みを活用することを想定している点です。「重要な業務」において、既存のBCPやRRP（RRPs：Recovery and Resolution Plans、再建・処理計画）で特定されている業務やクリティカル・ファンクションを活用することや、「耐性度」の設定において、BCPにおける業務中断時の復旧目標時間等の既存の指標を活用することを想定しています。また、海外規制当局で求められているシナリオテストが必須ではなく、BCP訓練等の既存の訓練・テスト等を通じて適切性を検証する点が異なります。さらに、オペレーショナル・レジリエンス確保に向けた課題として、必要な人的資源確保のための人事制度やリスク管理文化の醸成等に言及していることが日本特有だと言えます。

一方、類似点として、経営陣のコミットメントを強く求めており、 経営陣のリーダシップの下で、明確なオーナーシップと説明責任を持った経営陣によるオペレーショナル・レジリエンスの運営の必要性を提示しています。経営陣のコミットメントについては、日本への示唆として、KPMG LLP（KPMG UK）のAshley Harrisと英国規制当局にてオペレーショナル・レジリエンス規制の整備を指揮したNicholas Strangeのコメントを紹介します。

「英国の取締役やCEOは、オペレーショナル・レジリエンスを、単なる規制対応ではなく、経営上必要な戦略だと捉えており、経営陣のコミットメントは、英国でオペレーショナル・レジリエンスが浸透した大きな要因でもあります。オペレーショナル・レジリエンスを確保しなければ、提供する金融サービスが十分にレジリエントであることを示すことができず、顧客やマーケットにおける競争力を失います。また業務中断により、「耐性度」に収まらない程の影響を利用者に与えれば、レピュテーショナル・リスクに繋がる危険性があります。オペレーショナル・レジリエンスはリスクを回避するためではなく、業務中断というリスクが顕在化することを前提とし、いかに迅速に業務を復旧するかが論点であり、ビジネスを所管する一線、最終的には経営陣がオーナーシップを持っています」。

上記のコメントを受け、日本で、オペレーショナル・レジリエンスが浸透するには、以下のことが必要だと考えます。まず経営陣がオペレーショナル・レジリエンスを戦略と捉え、その確保がビジネスにとって不可欠であるというマインドセットの醸成が必要です。また、金融サービスのグローバル化や金融機関とグローバルに活動するビッグテック企業との相互連関や相互依存の高まりを踏まえると、ビッグテック企業等の重要なサードパーティを含めてオペレーショナル・レジリエンスを確保することは、日本の金融機関の経営と国際的な競争力の維持においても主要課題だと経営陣が強く認識することが必要です。

先行する海外金融機関においては、オペレーショナル・レジリエンスに必要な態勢整備と本格運用まで2～3年以上の期間を要するケースも少なくなく、オペレーショナル・レジリエンス確立による真の効果を得るには一定期間が必要となります。そのため、国内金融機関も今後の関連規制の整備動向の注視や、ステークホルダーとの対話も継続しながら、計画的にオペレーショナル・レジリエンス態勢の整備を進めていくことが求められます。

たとえば、先行する国内や海外の金融機関の事例の多くは、（1）規制要件またはその草案とのギャップ分析から開始し（2）既存の各種リスク管理活動を踏まえたオペレーショナル・レジリエンスの実施方針や態勢／フレームワークの検討（3）一部重要業務でのパイロット展開（4）構築ロードマップを策定し（5）オペレーショナル・レジリエンスの構築実行（対象重要業務の拡大、継続運用のための管理手続・ツール整備等）を進めています。もちろん、実際の対応の負荷や構築アプローチは、金融機関の事業規模やビジネスやシステムの複雑性、既存のリスク管理態勢の状況により異なるため、個社事情に応じた計画検討が必要になります。また、リスク管理部門だけではなく、ビジネス部門やシステム部門等も含めた対応の推進が必要となるため、全社横断的な推進体制の整備も重要になります。次回のオペレーショナル・レジリエンスに係る解説記事においては、具体的な対応事例の解説も予定しているため、本稿と合わせて参考とすることを推奨します。

また、オペレーショナル・レジリエンスは金融サービスの有事における強靭性の確保だけではなく、金融機関がこれまで整備してきた各種リスク管理活動の最適化にも寄与できる点も注目すべきです。先行する企業においては、オペレーショナル・レジリエンスにより新たに開始した組織全体の各種リスク管理機能の包括的な検証活動を通じて、関連する経営資源の再配置が徐々に進み出していて、今後組織全体のリスク対策に係るコスト抑制効果も期待されています。

各金融機関においては、オペレーショナル・レジリエンスを単なる規制対応として留めるのではなく、金融機関のサステナブルな経営に向けた有効なソリューションとして捉えて、経営陣の力強いパックアップの下、組織横断プロジェクトとして取組みを進めることを推奨します。

KPMGコンサルティング
パートナー　関 憲太
マネジャー　加藤 菜穂子
マネジャー　鈴木 隆太郎
マネジャー　池上 美和子

KPMG LLP（KPMG UK）
Partner, Ashley Harris
Senior Advisor, Nicholas Strange