EU発のDORAは、欧州域内にとどまらず、世界中の金融機関に影響を及ぼしています。2025年1月17日の施行に向けた対応期限を過ぎた現在も、多くのグローバル金融機関が、DORA対応を日常業務(BAU)に組み込む持続可能な運用モデルの構築に苦慮しています。EU域外に本社を置く企業にとって、法規制要件を恒常的な業務運用に落とし込むことは、初期導入を超えた複雑な課題を伴います。
このような複雑性を乗り越えるために、非EU企業が注力すべき重要領域は以下のとおりです。
経営陣による監督体制の強化
DORAでは、経営陣のデジタル・オペレーショナル・レジリエンスに対する監督責任が重視されています。ただし、EU各国での解釈や適用には差異があり、非EU企業はこれらの違いを理解しつつ、グローバルなガバナンス体制をEUの要件に適合させる必要があります。
- グローバルガバナンスの調和
各国の法規制との乖離を特定し、国別に対応戦略を策定する必要があります - 効果的な監督の証明
「効果的な監督」の定義はEU加盟国によって異なるため、文書化・報告戦略を国別に調整する必要があります。 - 国境を越えたコミュニケーション
EU拠点と本社間の明確な報告体制、文書化の整合性、データ共有の一貫性が求められます。
ICTリスク管理とデジタル・オペレーショナル・レジリエンス戦略の統合
DORAでは、明確なデジタル・レジリエンス戦略に基づいた、文書化されたICTリスク管理フレームワークの構築が義務付けられています。非EU企業にとっては、既存のフレームワークにDORAの要件を統合することが課題です。
- グローバルガバナンスの調和
既存のICTリスク管理体制を評価し、DORAとの整合性を確保する必要があります。 - 比較分析
EU各国での導入課題を分析し、ベストプラクティスと注意点を把握することが有効です。 - サードパーティリスク管理
国境を越えたサードパーティには、厳格なデューデリジェンスと監督が必要です。 - テストとコンプライアンス
DORAでは、デジタル・オペレーショナル・レジリエンス能力の厳格なテストが求められます。国別の要件に対応した実践的なコンプライアンスの策定が必要です。 - リソース配分
グローバルとローカルの統合を踏まえた、費用対効果の高いリソース配分が成功の鍵となります。
BAUモデルの構築と規制当局による検査への備え
金融機関は、DORA要件を日常業務に組み込んだ持続可能なBAUモデルを構築し、規制当局の期待値の理解と、期待値を踏まえたBAUの整備が必要です。
- BAU運用モデル
DORA要件を日常業務に組み込むために、統制の方法、責任の所在、体制、モニタリング機能、リソース配分を明確化する必要があります。 - 複数の国の法規制に対応したガバナンスフレームワーク
EU各国の法規制の差異に対応しつつ、運用の一貫性を保つための意思決定権限やエスカレーションルートを整備する必要があります。 - 同時並行的な規制対応
複数のEU規制当局からの要求に対応するため、執行傾向や重点領域を把握し、優先順位をつけて対応する戦略が求められます。
DORA施行後の現在は、グローバル企業にとって戦略的な転換点です。単なるチェックボックス型の対応ではなく、法規制の違いと業務効率のバランスを取った統合的なアプローチが求められます。
先進的な企業は、DORAの対応から統合へとシフトし、法規制対応と業務中断への耐性を兼ね備えたレジリエンス体制を構築しています。さらに、将来の規制にも対応可能な態勢を整え、グローバルな顧客基盤と業務運営を支える持続可能なレジリエンス能力を確立しています。
KPMGのDORA専門チームは、国境を越えた専門知識を活かし、規制の要件を持続可能なビジネス価値へと転換する支援を行っています。国際的なDORA対応については、お気軽にお問い合わせください。
本稿は、KPM英国が発行している「DORA beyond borders: How global firms can navigate cross-border implementation challenges」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
全文はこちらからご覧いただけます(英語)。
