本連載は、日経産業新聞(2023年8月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

金融機関に求められるレジリエンスの強化

金融機関は「オペレーショナル・レジリエンス」つまり、顧客や金融システムの安定性を守るため、リスク事案が発生した際も重要な業務を継続するための能力の確保が求められています。

背景には、クラウド利用の拡大、外部企業(サードパーティ)との接続増加などによる金融機関のサービス提供基盤の複雑化があります。サイバー攻撃、テロや地域紛争、気候変動といったさまざまなリスクが高まり、大規模な金融サービスの中断に至るシナリオの多様化と複雑化が進んだことも大きいと言えます。予測が難しいリスクへの対応は一段と困難になり、リスクの未然防止やゼロリスク志向の経営管理は限界を迎えています。

問題の解決のため、英規制当局は2018年にディスカッションペーパーをまとめ、バーゼル銀行監督委員会は2021年にオペレーショナル・レジリエンスのための諸原則を公表しました。これを皮切りに、各国金融当局がオペレジ確保のための指針や規制整備を進めています。日本でも金融庁が2022年12月にディスカッションペーパーを公表しました。

金融庁は、オペレジを「システム障害、テロやサイバー攻撃、感染症、自然災害などの事象が発生しても、重要な業務を最低限維持すべき水準で提供し続ける能力」と定義しています。
オペレジ確保には、業務中断の発生を前提に、利用者目線に立って早期復旧、影響範囲を限定する枠組みの整備が必要となります。具体的には、経営陣のリーダーシップの下、(1)重要な業務の特定(2)最低限維持すべき水準(耐性度)の設定(3)業務提供に不可欠な経営資源の相互連関性のマッピングと必要な経営資源の確保(4)極端だが起こり得るシナリオを想定した態勢の適切性の検証と追加対策が求められます。

組織横断でのコミュニケーション手法の確立や、レジリエンスカルチャーの醸成も欠かせません。こうした取組みをすでにあるリスク管理、サイバーセキュリティ、BCP(事業継続計画)やサードパーティー管理などの枠組みも活用しながら、組織横断での包括的なPDCAサイクルとして定着させることが重要です。

金融庁は金融機関に対しサイバーセキュリティ分野でも、インシデント発生時の検知、特定、対応、業務の早期復旧や顧客への影響の軽減といったレジリエンスの強化を促しています。オペレジ確保の一環としても、重大インシデント発生時に顧客や金融システムへの影響を許容範囲内に収めるよう、訓練を通じて不断の見直しを続けることが必要です。

2023年6月、金融庁は「主要行等向けの総合的な監督指針」にオペレジの態勢整備を盛り込みました。今後、他業態へと広がることが予想されます。顧客保護や競争力確保に不可欠なオペレジは、短期間で確立することは難しく、金融機関は計画的な対応を進めることが求められます。

日経産業新聞 2023年8月23日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング
パートナー 関 憲太

サイバー関連規制

お問合せ