Case Study：三菱UFJ信託銀行

サイバー攻撃や自然災害、システム障害などの業務中断リスクに対応する新たなアプローチとして、金融機関を起点に「オペレーショナル・レジリエンス（以下、オペレジ）」の体制整備が進んでいる。BCP（事業継続計画）とは何が異なり、具体的にどのように推し進めるべきか。国内金融機関のなかでも早期からオペレジの強化に取り組み、サードパーティリスク管理（ベンダー、委託先、パートナーなど、外部の第三者との取引を通じて発生する可能性のあるリスクの管理）体制の高度化を進めた三菱UFJ信託銀行と、その活動を支援するKPMGコンサルティングの担当者に聞いた。

三菱UFJ信託銀行株式会社
経営管理部　副部長　鈴木 聡氏
経営管理部　オペレーショナルリスク管理グループ　上級調査役　太田 大介氏
経営管理部　オペレーショナルリスク管理グループ　調査役　山口 理彦氏

KPMGコンサルティング
執行役員　パートナー　関 憲太
シニアマネジャー　堀場 一嘉

――生成AIの台頭によるサイバー攻撃の巧妙化などを背景に、業務中断リスクはますます深刻化しています。

鈴木氏：かつてないほどビジネス環境が激しく変化する今、予期せぬ脅威に対して、事前にすべてを備えておくことは困難です。こうした状況に対応し、想定外の事態でも悪影響を最小限に食い止めるリスク管理のアプローチとして重要性が高まっているのが、オペレジです。

金融機関を含め社会のインフラを担う企業にとって、オペレジの導入・高度化は必須だと考えます。私たち三菱UFJ信託銀行は、「人をつなぐ、未来をつなぐ。」を理念に、お客様の大切な資産を守り、次世代にしっかりつないでいくという重要な使命を担っています。

これを果たすためにも、日々の業務が止まってしまうような事態は避けなければなりません。そのため当社では、日本の大手金融機関に先駆けてオペレジの強化に取り組んできました。

関：現在でも多くの企業がBCPを整備していますが、旧来型のBCPでは、起こり得る具体的なシナリオをある程度想定し、事業を継続あるいは早期復旧するための計画を整備するため、想定外のシナリオに対して適切な対応ができない事態がたびたび発生してきました。一方、オペレジは、未然防止策を尽くしてもなお業務中断が生じることを前提に、早期復旧だけでなく、社会や顧客が求める許容範囲内で「止まらない仕組みをどう作るか」という視点に基づいています。

年々巧妙化するサイバー攻撃や、かつてない規模の自然災害などで、想定の枠では収まりきらないようなインシデントや被害が発生するケースが増えてきました。さらには、デジタル化の進展により、クラウドサービスなどの外部サービスへの依存が高まったことで、自社だけに留まらないリスク管理が必要とされています。

業務中断を最小化し、影響範囲を抑えて早期復旧を目指すため、オペレジ対応の重要性はますます高まっています。オペレジの確保に向けては、サードパーティリスク管理、BCP、サイバーセキュリティ、ITリスク管理などのさまざまなリスク管理を横断しての対応が必要となることから、守りのDXも不可欠となっています。

――三菱UFJ信託銀行では、オペレジを推進するうえで、まずはサードパーティリスク管理の強化に取り組んでいるそうですね。

鈴木氏：当社は、リテール、資産金融、不動産、証券代行、年金、資産運用・管理、市場という、専門性の高い広範な事業分野を展開しており、各分野には知識や経験豊富なスペシャリストを揃えて社会のインフラを担っています。

一方で、「変化の激しい時代」において、すべてを自前で取り揃え対応していくことは困難です。幅広いサービスを確実かつ効率的に提供するためには、信頼・実績ある外部サービスやサードパーティの活用が欠かせません。

当社が掲げる「Fiduciary Duty（受託者責任）」を体現するうえでも、オペレジの強化は喫緊の課題であり、その手始めとして、サードパーティリスクの管理に取り組むことになったのです。

――サードパーティリスク管理の強化にあたり、KPMGコンサルティングに支援を依頼しました。どのようなサポートを期待したのでしょうか。

太田氏：外部委託先をはじめとしたサードパーティのリスク対応状況を把握するための、データ収集や分析を効率化、高度化するシステムの導入を支援してもらいたいと思いました。

先ほど鈴木が述べたように、以前から各委託先のリスク対応状況は把握していましたが、その方法は、表計算ツールで作成したアンケートなどの確認書をメールで委託先に送り、フリーフォーマットで記載いただき、メールで返送してもらうというものでした。

この方法だと、確認書を送る私たちも、返送する委託先も作業が煩雑ですし、回収状況の把握にも手間がかかります。データの精度や信頼性においても懸念がありました。そこで、クラウド上に入力していただくことで、余分な手間をかけず、確実にデータを収集・管理できるよう体制を整えたいと考えました。

堀場：サードパーティリスク管理を起点として段階的にオペレジの強化を図っていきたいという三菱UFJ信託銀行に対して、当社は、GRC（ガバナンス・リスク・コンプライアンス）ツールの導入について、複数候補の比較検討からご支援し、最終的にServiceNow®を選定いただきました。

ServiceNowを選定いただいた主な理由は、グローバル Top Tierの金融機関での実績に加え、将来的なオペレジ対応を含めた、さまざまなリスク管理にも活用可能なツールであることが挙げられます。

また、AIレディーという観点から、リスク管理の統合プラットフォームを実現し得るポテンシャルがあり、データを包括的に管理することが全社的な取組みとして必要とされるクライアントニーズに応え、将来にわたる変革の後押しにも寄与できると評価されました。

太田氏：新たなシステムの機能を活用し、「特定のサードパーティにリスクが集中していないか」なども瞬時に把握できるようになり、管理レベルは大きく向上したと実感しています。管理項目を増やしたため、データ整備が必要となり社内各部や委託先の皆様にも労力を要していただくことになりましたが、結果的にデータの統合管理は前進しました。

加えて、将来的なメンテナンス効率や、データ分析や入力補助におけるAI活用なども視野に、システム標準機能をなるべくFit to Standardで、ノンカスタマイズを重視して導入した点も大きなチャレンジでした。

――システムの導入にあたって、KPMGコンサルティングは「Powered Enterprise」という業務改革ソリューションを提供しました。

堀場：KPMGはグローバルでの支援実績を基に、リスク管理やサイバーセキュリティ対応など各業務のベストプラクティスを集約した「KPMG Target Operating Model（TOM：業務改革・DX検討時の模範解答となる標準業務モデル）」というアセットを用意しています。

「Powered Enterprise」は、このTOMを、ServiceNowなどのさまざまなクラウドソリューション上で実現するために設計された業務改革ソリューションです。各ソリューションが持つ製品自体の標準機能を生かしながら、当社が考えるベストプラクティスに沿ったオペレーションを実現できるのが特長です。今回の三菱UFJ信託銀行へのご支援にあたっても、サードパーティリスク管理を考えるための枠組みとして、TOMのワークフローなどを活用しました。

山口氏：システム導入に関する経験値は乏しいので、製品の詳細からプロジェクトの進め方まで、広範な知見を持つKPMGコンサルティングの支援は非常に心強く感じました。

ポイントをしっかり押さえながら、アジャイル開発でテンポよくプロジェクトを進めてもらえたので、短期間で実装できたことにも感謝しています。

――今後の展開について、お聞かせください。

太田氏：サードパーティリスク管理はシステムを入れて終わりではなく、これから業務に根付かせていく必要があります。今後は、業務を通じて蓄積されていくデータをAIで精度高く分析し、周辺のオペレーショナルリスク管理領域にもシステム範囲を広げるなど、オペレジ強化に向けて継続的に管理高度化と業務効率化を進めていきたいと考えています。

鈴木氏：私たちの業務遂行を脅かすインシデントは日増しに手に負えないものになりつつあります。そうした環境変化のなかでも、業務を止めることなく、信託銀行としての社会的責任を果たすことは、当社の最重要事項です。これからも時代の要請に応えながら、着実にオペレジの高度化を推進していきます。

関：世界的にオペレジの強化が叫ばれるなか、三菱UFJ信託銀行は日本の金融機関の中でもいち早く先進的な取組みをされています。ぜひ、これを参考にしていただき、業界全体が加速するきっかけになれば幸いです。

※ServiceNow の商標について：ServiceNow、ServiceNow のロゴ、Now、その他の ServiceNowマークは米国およびその他の国におけるServiceNow, Inc.の商標または登録商標です。

※本記事は、『日経ビジネス電子版』2025年12月18日に掲載された記事広告を、株式会社日経BPの許可を得て転載したものです（一部加筆・修正）。無断での複写・転載は禁じます。