2024年までに、世界で3.6億人以上の個人が、オンラインまたはモバイルバンキングサービスを利用して、各々の金融ニーズに対応するようになると予測されています※。オンラインまたはモバイルバンキングサービスを活用する人々の多くは、金融機関がどのように情報を保護し、必要な時に必要な場所で情報にアクセス可能となっているかについて疑問を抱くことがあります。EUも同様に考え、金融機関がデジタルオペレーショナル・レジリエンスを確保することを求める「Digital Operational Resilience Act(DORA)」という規制を発行しました。
※「DIGITAL BANKING USERS TO EXCEED 3.6 BILLION GLOBALLY BY 2024, AS DIGITAL-ONLY BANKS CATALYSE MARKET」(Juniper Research)
DORAとは
EUの新しい規制であるDORAの発効により、金融機関は、顧客の混乱を招く可能性を軽減する方法として、情報通信技術(ICTs)の サービスプロバイダーに起因するインシデントに対応する計画、準備、軽減策、訓練をするように設計されたレジリエンスプログラムを維持することが求められています。DORAは、この種の規制としては初めて、ICTsサービスプロバイダーに対して、金融機関へのサービスを維持するために、ビジネス、技術、サードパーティーを対象とする堅牢なレジリエンス能力を整備するよう、多くの圧力をかけています。特に、規制当局は、進化し急速に拡大するサイバー脅威への懸念とともに、ICTsへの依存が加速することにより、金融機関とICTsの相互接続性がシステミック・リスクを引き起こす可能性があることを認識しています。
DORAは金融機関に新しい規制の要求を満たすためのプログラムや訓練を導入させるため、2年間の猶予期間を用意しています。また一方で、 ICTsサービスプロバイダーも同じ猶予期間に合わせて準備する必要があります。DORAは、ICTsサービスプロバイダー並びに重要なサードパーティー(Critical Third Party:CTP)に対して規制の遵守を、後述のように2025年1月まで猶予していますが、これらに対してDORA規制が拡大していくのは時間の問題です。
DORA規制は金融機関とその重要なサードパーティー(CTP)に、以下6つのキーセクションを網羅するプロセスと手続を整備することを求めています。
オペレーショナル・レジリエンス(OR)やビジネス・テクノロジーレジリエンス(BTR)プログラムはDORAの重要な構成要素です。すでにこれらの要素を導入している組織はDORAに合わせた大きな見直しは必要ありませんが、未だ導入していない組織では、C-Suite(経営幹部)の懸念に対処するためにも、成熟したOR/BTRプログラムを最終目標として、今すぐ準備を開始する必要があります。
ICTsサービスプロバイダーは、DORAの正式施行日「2025年1月16日」に備え、以下の考慮が必要です。
1. 規制当局や金融機関によってCTPとみなされるICTであるかを判断する。
CTPであるかを判断するためには次の対応を要する:
- 重要な金融サービスの顧客と提供しているサービスをリスト化する。
- 「重要」と考えられるものを評価する。
2.DORAの準備状況のアセスメントを実施する。
これは現在の規制へのコンプライアンスレベルを評価し、レジリエンスを高め、DORAを準備するための直ちに対応すべき次のステップを特定することを指す。
評価を実施するためには次の方法がある:
- 規制について深く理解している組織内の個人を特定し、現状の規制への整合性を理解するための自己評価を実施する。
- 専門家に連絡し、DORA準備評価のツールキットを含め、レジリエンスにおいて専門家が顧客に提供するサポートオプションについて議論する。
3.以下の実施が可能なDORAプログラムおよびガバナンスチームを構築する。
- DORAの要件に取り組むための初期計画を設計する。
- 規制遵守のために組織が行うアクションを定義する憲章を作成する。
- 内部と外部の規制を遵守するための検証プロセスを作る。
- 全社的なオペレーショナル・レジリエンスとDORAプログラムの間で、十分なシナジー効果と相互連携を確保する。
上述の対応を進めると、以下のような質問に直面することがあるかも知れません。
「現在、BTRの準備はお済みでしょうか。その場合、DORAの準備もできていますでしょうか。」
今こそ、よりレジリエンスのあるビジネスへの移行を加速するためのアクションを起こす時です。
KPMGは、戦略的なレジリエンス対策およびDORAに向けた取組みの支援を行っております。
お気軽にお問い合わせください。
執筆者
KPMGコンサルティング
パートナー 関 憲太
シニアマネジャー 谷口 元
シニアマネジャー 加藤 菜穂子
KPMG US
Principal, CIO Advisory
Paul Baguley
KPMG Ireland
Director
Diarmuid Curtin
KPMG UK
Director, FRM - Banking Risk
Simran Singh
本稿は、KPMG英国が2023年6月に発表した「DORA implications for Tech Providers」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)