デジタルオペレーショナルレジリエンス法(DORA)は、2023年1月から新たに施行されたEUの規制です。本規制は欧州委員会のデジタル金融パッケージの重要な構成要素であり、欧州金融市場におけるデジタルレジリエンスを強化することを目指しています。情報通信技術(ICT)に重大な障害が生じた場合でも、金融市場の参加者が安全で信頼性の高い業務を継続できるようにすることが、本規制の本質的な目的です。
なお、DORAの適用対象となる企業は、完全なコンプライアンスを達成するための猶予期間が認められており、2025年1月が期日となっています。
1.DORAのコンプライアンスに関するナビゲーション
(2)法的側面
DORAでは、サードパーティ・ICTプロバイダとの契約要件が規定されており、当該要件は、金融機関における契約管理に組み込む必要があります。DORAを適用するには、既存の契約の分類や目標とする要件設定、ギャップ分析の実施、潜在的なギャップへの対応を行う必要があります。さらにDORAでは、ICTサードパーティリスクに関する企業および経営陣の責任および賠償責任リスクに関して注意を喚起しており、保険適用範囲の見直しと調整が必要となる可能性があります。
(3)ICTインシデント
DORAは、欧州金融業界全体における深刻なICTインシデントの報告義務を標準化することで、ICTインシデントへの対応を強化し、各国と欧州の当局間における効果的な協調を確保することを目指しています。実施には、ICTインシデントの監視、分類、および関係当局に報告するための統一的な手続きの導入が含まれます。
(4)デジタル運用安定性テスト
金融ビジネスが円滑に機能するためには、重要なICTシステムの運用安定性とセキュリティの定期的なテストが不可欠です。ICTにおける潜在的な障害を検出して対処するためには、リスクベースのテストアプローチが必要となります。実施例としては、稼働中のシステムの本番環境におけるペネトレーションテストを、少なくとも3年ごとに実施することで脆弱性を特定し、考え得る攻撃ベクトルに対処することが挙げられます。
(5)ICTサードパーティリスクマネジメント
DORAは、サードパーティ・ICTプロバイダがもたらすリスクの効果的な監視を促進します。金融機関がシステムとプロセスにおいて、サードパーティのサービスに依存する場面が増えていることから、ICTサードパーティリスクの監視は非常に重要となります。ICTサードパーティリスクマネジメントには、DORAの要件に準拠していないサードパーティ・ICTプロバイダに対する罰則や契約解除という選択が含まれ、金融機関による強固なリスク監視を確保します。
(6)保護と防止
金融機関は、ICTシステムとプロセスが潜在的な脅威を迅速かつ効果的に検出して対応できるようにする必要があります。DORAでは、そうした脅威を迅速に検出して防御するためのプロセスとシステムの要件が規定されています。保護と防止の実施例として、サイバー攻撃時にネットワークを自動的に隔離することが挙げられ、データ損失やシステム障害を最小限に抑えつつ、通常業務の復旧を早めることができます。
(7)顧客にとっての課題
DORAの新しい要件を満たすためには、ICTシステムの更新、プロセスの最適化、従業員の訓練が必要となり、金融機関にとって課題をもたらす可能性があります。
【DORAの主要な論点(全体像)】
2.KPMGの支援
(2)情報セキュリティマネジメント(ISM)
KPMGは、情報セキュリティ対策の強化を専門としており、ICTシステムやプロセスがDORAの要件に準拠していることを確実にし、デジタルオペレーショナルレジリエンスの確保を支援します。
(3)情報リスクマネジメント(IRM)
KPMGは、ICTリスクの特定、評価、管理および監視をサポートし、金融機関がDORAによって義務付けられている、強固なリスクマネジメントの枠組みへの確立を支援します。
(4)アウトソーシングとクラウドソリューション
KPMGは、金融機関へのリスクを軽減するために、サードパーティICTプロバイダ評価と対応に関する専門知識を提供し、DORAの仕様に沿った契約管理に関するインサイト(洞察・考察)を提供します。
KPMGが選ばれる理由
KPMGは、マネジメントコンサルティング、情報セキュリティマネジメント(ISM)、情報リスクマネジメント(IRM)、事業継続マネジメント(BCM)、技術的なセキュリティテスト、アウトソーシングとクラウドソリューションなど、DORAに関連するさまざまな分野での幅広い専門知識を提供しています。KPMGの専門的なアドバイザリーサービスは、プロセス、リスク、ガバナンス構造に対する深い知見を活用して、DORAに関連する分野のさまざまな側面をカバーしています。
KPMGは、金融業界やデジタル業界におけるプロジェクト経験を活かし、クライアント固有のニーズに合わせてカスタマイズされた、デジタルソリューションを開発することができます。グローバルな組織を通じて、グローバルな専門知識と経験にアクセスし、国際的なチームとの密な連携を通じて、金融業界に合わせたデジタルソリューションを提供します。さらに、KPMGは、サードパーティプロバイダおよびICTの契約管理を含む、効果的にリスクとコントロールを管理するためのツールを提供します。
執筆者
KPMGコンサルティング
パートナー 関 憲太
アソシエイトパートナー 川合 恵巳
シニアマネジャー 加藤 菜穂子
本稿は、KPMG米国が2023年に発表した「Digital Operational Resilience Act」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものです。
全文はこちらから(英文)
