2018-08-01
今や金融の世界にもデジタルイノベーションの波が押し寄せ、FinTechやクラウドサービス活用等の話題がさまざまなメディアで取り上げられています。
また金融サービスのボーダレス化・異業種参入により、新たな金融サービスも台頭してきており、従来の銀行、証券、保険といった業態別のサービス環境は、顧客へ提供するサービス機能を重視し、業態の垣根をも横断するクロスボーダー型の環境へと変容しつつあります。
そのような背景のもと、システムリスク管理の取り組みにも変革が求められています。従来の業態ごとの慣習や特性に応じたチェックリストベースの標準的なアプローチでは、FinTechやクラウドサービスなど、次々と開発されるデジタルテクノロジーがはらむリスクに迅速かつ柔軟に対応することが困難になっています。また今後は、業態の垣根を越えて、さまざまなニーズに適時に応えていく姿勢を、ほかならぬ顧客が金融機関に求めるようになるかもしれません。そのような観点に立った場合、自社のサービス環境固有のリスクプロファイルを適切に把握した上で、想定しうるリスクに対して、顕在化した場合の影響度を踏まえて合理的な管理を図っていくリスクベースアプローチによるシステムリスク管理対策の検討は、より重要性を増すことになります。
このような状況下、2018年3月にFISC安全対策基準の第9版が改定および公表されました。昨今のビジネス環境の変化に対応し、従来の8版追補改訂から大幅な改定が行われています。
今回の改定における全体像を踏まえながら、主な改定のポイントに加え、金融サービスにおいて適切なデジタルイノベーションを実現するために、金融機関がなすべきと考えられることについて説明します。
今回の安全対策基準の改定では、金融サービスにおけるデジタルテクノロジーの進展や新たなサービス需要の変化状況等を踏まえ、リスクに応じて安全対策を策定するよう、リスクベースアプローチの考え方が導入されています。
この考え方のもと、「システム」「基準」「対策」の3つの観点から、リスクの特性・内容に応じて安全対策の適用範囲が整理されたため、金融機関は各基準項目の適用要否や適用範囲をリスクに応じて判断できることが明示されました。【図表1】
【図表1】
デジタルイノベーションにより変化するビジネス環境およびFinTechやクラウドサービス等の新たなシステム環境において、限られた管理資源を全体最適の観点から適正配分するためには、従来からも言われているように、自社固有のリスクプロファイルに適合した観点より、リスクに応じたアセスメントを行うことの意義を再度認識することが必要です。
今回の改定では基準の構成および分類が大きく変わっています。この変更は「組換え」「整理」「追加」の3つの観点で整理できます。【図表2】
【図表2】
「組換え」「整理」「追加」ともに形式面の再構成になりますが、これらはFinTechやクラウドサービス等、新たなテクノロジーがはらむリスクを適切に管理するためのITガバナンスを重視した観点より行われています。
旧基準では安全対策は、<技術>と<運用>のカテゴリで整理されていましたが、新基準ではITガバナンス(<統制>)とITマネジメント(<実務>)のカテゴリに組換えられています。そしてITガバナンスに係る基準も、内部(自社)と外部(クラウドサービス事業者を含む外部委託先)の分類で整理されていると言えます。その上で、FISCの有識者検討会による提言などを基に、ITガバナンスの発揮に資する3項目が追加されています。
(1)中長期的なシステム計画策定(重点投資分野、新技術など)【統2】
(2)クラウド固有のリスク管理策(拠点、監査権など)【統24】
(3)共同センター固有のリスク管理策(緊急時対応など)【統25】
このように、安全対策基準においても、金融機関はITガバナンスの下で、さまざまなシステム・テクノロジーを想定したリスクアセスメントを通じ、リスクの特性に応じた安全対策を講じることの重要性が強調されています。
従来、業務リスクおよびITリスクの双方を対象としたシステムリスク管理のみならず、新技術の導入に際してのリスク評価がもとめられてきました。しかしながら新技術が目覚ましい速さで開発され、その新技術を生かした新サービスをタイムリーに開発していかなくてはならない昨今では、FinTechやクラウドサービス等、新たなデジタルテクノロジーにより提供される金融サービス機能(OpenAPIなど含む)に係るリスクを含めたシステムリスク管理がより一層求められるでしょう。
金融機関/外部委託先という従来の二者関係にFinTech企業という第三者を加えた観点より、求められる対応の整理を例示すると、次のようになります。【図表3】
【図表3】
(1) 従来の二者関係に基づいた外部委託先管理に該当します。従来のITベンダーだけではなく、管理・監督権を行使しづらいクラウド事業者を含め、外部委託先に係る確実なコントロールが求められます。
(2) FinTech企業からサービスや機能の提供を受ける場合が想定されます。金融機関がサービスを主導する場合は上記(1)と同様、FinTech企業もITの外部委託先として捉え、サービスシステムに係る品質管理等のコントロールを行わなければなりません。
例えば、銀行口座データと連携する家計簿アプリケーションなどのように、顧客と金融機関の間にFinTech企業が介在し、銀行口座データの受け渡しなどで金融機関が責務を果たす場合などが該当します。
(3) ITベンダーが主管する金融サービスの一部にFinTechを採用する場合、Fintech企業を活用した金融サービスの一部にクラウドサービスが採用されている場合が想定されます。このような場合、再委託先の企業ではあるものの、一概に金融機関と同等の安全対策を求めるのではなく、リスクベースアプローチによる適切な管理をすることが必要です。これにより、リスクの軽重に応じた合理的な再委託先の管理を図ることで委託先への管理・監督責任を果たすとともに、本来Fintech企業に期待していたイノベーションの効果をしっかり得ることも可能になるでしょう。
上述の三つのリスクを考えていく上で、サイバーリスクへの対応は極めて重要です。特に個人情報やセンシティブ情報、オープンデータといった機密性にかかわるリスクだけでなく、金融ビジネスは社会インフラであることから、その可用性にかかわるリスクに晒されていると言えます。デジタルイノベーションのもと、データの利活用による新しいビジネスの創出や既存ビジネスの高度化が進む中で、サイバーセキュリティ対策も上述の三つのリスクの観点に立ち、多面的な検討・評価が求められていると言えるでしょう。
PwCあらた有限責任監査法人では、従来の知識に加え、「金融サービス機能」のテクニカルナレッジとリスクベースアプローチを実践するフレームワークとプロフェッショナルが連携し、サービスを提供しています。また、このような仕組み整備の支援はもとより、クラウド活用を成功に導くための「クラウド アドバイザリー&アシュアランスサービス」を提供しており、これまで述べてきた観点から、皆様の取り組みを効率的・効果的にサポートします。
饒村 吉晴
PwCあらた有限責任監査法人
シニアマネージャー
※ 法人名、役職、コラムの内容などは掲載当時のものです。
AWS、MS、Salesforce、Google、SAP、Oracleなどのクラウド利用に伴うガバナンス・リスク・コンプライアンスといった課題への対応支援をクラウド アドバイザリー&アシュアランスサービスとして提供しております。
アマゾンウェブサービス利用における、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」に対応したセキュリティリファレンスです。このたび共同作成した本リファレンスは、PwC...
PwC Japanでは、業務プロセス・システム・組織・データ分析の領域おいて、監査業務を通じて得たナレッジから保証業務のみならず、経営課題の解決のためのアドバイザリーサービスも提供します。