J-SOX対応業務におけるデジタルツールや生成AIの活用 J-SOX×生成AI
J-SOX対応業務におけるデジタルツール導入の課題や、生成AIを活用した具体的な統制テストの事例に触れることで、生成AIの効果的な活用法についてのヒントを提供します。
第4回:金融機関のオペレーショナル・レジリエンスへの取組みと、業界横断的なBCP/BCMの動向
2024-05-17
企業のBCP(Business Continuity Plan:事業継続計画)やBCM(Business Continuity Management:事業継続マネジメント)、レジリエンスの動向と潮流、日本企業の課題、将来像などについて解説する本連載。
第1回から第3回は、BCPの全体像について基礎的な内容を解説しました。第4回は、BCPとBCM、レジリエンスに関して特に取組みが進む金融業界の動きと、そのほかの業界も含めた業界横断的な動向等を解説します。
本内容が、ご自身の業界におけるBCPやBCM、レジリエンスについて考えるきっかけとなり、またBCPやBCM、レジリエンスに関わる業務にすでに従事している方にも動向を改めて把握する機会となれば幸いです。
なお、本連載ではBCPとBCMを総称する際に「BCP/BCM」と表現します。また、本稿において意見にわたる部分は、いずれも筆者の私見であり、筆者が所属する法人の見解ではありません。
この記事のポイント
- 国内外の金融機関において「オペレーショナル・レジリエンス(金融機関が、有事に重要な業務を最低限維持すべき水準(耐性度)において提供し続ける能力)」の構築が推進されている
- 従来の「シナリオベースのBCP」では、顧客へのサービス提供を継続するための平時の準備として十分ではなかったことが、昨今、オペレーショナル・レジリエンスの構築が推奨されている背景にあると考えられる
- BCP/BCM、レジリエンスに関する業界横断的な重要トピックとしては、緊急時の業務継続を見据えた「テレワークの定着」や「サプライヤー・委託先の確保」があげられる。また、社会全体の共通課題に関わる、BCP/BCMおよびレジリエンスに関連する最近のトピックとして、「SDGs」や「経済安全保障推進法」があげられる
金融機関におけるBCP/BCMとレジリエンスの取組み
オペレーショナル・レジリエンスとは
本連載の第1回でも述べたように、会社や組織のレジリエンスとは、「緊急時において事業継続できる対応能力・回復力、あるいは経営環境の変化に対して柔軟に対応できる能力」のことをいいます。このレジリエンスに関して、近年、金融機関では「オペレーショナル・レジリエンス」の構築が推進されています。
世界では、バーゼル銀行監督委員会が「オペレーショナル・レジリエンスのための諸原則」を*1、英当局などがオペレーショナル・レジリエンスに関する新規制*2を公表しています。また、欧州委員会もデジタル・オペレーショナル・レジリエンス法*3などを公表しています。日本では金融庁がディスカッション・ペーパー*4の取りまとめや、監督指針の改訂*5などを実施しています。
なお、金融庁のディスカッション・ペーパーでは、オペレーショナル・レジリエンスについて下記のとおり定義しており、以下本稿でも同様の意味で用います。
オペレーショナル・レジリエンス システム障害、テロやサイバー攻撃、感染症、自然災害等の事象が発生しても、金融機関が重要な業務を、最低限維持すべき水準(耐性度)において、提供し続ける能力 |
オペレーショナル・レジリエンスが必要な理由と対応方法
先に触れた、バーゼル銀行監督委員会が公表している「オペレーショナル・レジリエンスのための諸原則*6」では、BCP/BCMに関する従来からの課題を踏まえて、オペレーショナル・レジリエンスが必要な理由と対応方法について次のように言及しています。日本を含めた各国の取組みもこれらの考え方と整合していると考えられます。
- ITシステムへの依存度の高まりやサイバー攻撃の増加などを踏まえると、未然防止のための態勢整備だけでは不十分であり、オペレーショナルリスク管理を尽くしてなお、業務中断が発生し得る現実に向き合う必要がある。
- 個別の危機対応プロセスを整備しても想定外の事象が起これば対応できないため、業務中断による影響の軽減などについて、組織横断的な検証と態勢整備が必要である。
- 経営陣のコミットメントの下、「重要な業務」とその遂行に不可欠な経営資源を特定し、相互依存関係を整理したうえで、業務中断やその影響時の許容可能な水準を設定する。また、シナリオ分析や訓練を通じてその水準の適切性を検証し、必要な追加的措置を講じる。
- オペレーショナル・レジリエンスの期待水準に関しては経営陣による組織横断的かつ包括的な検証、およびトップダウンによるコミットメントが求められている。
1点目の「ITシステムへの依存度の高まり」について、利用者の目線からその変化を捉えると、たとえば預金の引出しは、以前は利用する金融機関の窓口で紙の通帳と印鑑の提出が必要でしたが、現在は利用する金融機関以外のATMでもキャッシュカードを利用して引出すことができるようになっています。また現在、振込や残高照会にはインターネットバンキングを利用できますし、バーコード決済では銀行口座を紐づけることで、預金を店舗等での支払いに利用できます。このような銀行預金の利用チャネルの拡大には、ITシステムの機能強化や金融機関同士のシステム的な連携が寄与しています。
一方、金融庁は、こうしたITシステムに対するシステム障害が、年間約1,900件(2022年度)報告されたと公表しています*7。このレポートの中で、「システム障害発生時の復旧に関する不芳事案」として、地域金融機関の共同センターの障害により、複数の金融機関において同時に障害が発生し、復旧手順の未整備や復旧対応を行う有識者の不足等により多くの利用者に影響が及んだケースや、外部委託先での復旧作業において作業手順の検証が不足していたことに加え、金融機関での検証も十分に行われなかったことで、ATMやインターネットバンキングで長時間取引ができなくなったケースが紹介されています。
オペレーショナル・レジリエンスの構築が推奨される理由
既存のBCP/BCMのフレームワークから逸脱しない
前述のとおり、日本では金融庁がオペレーショナル・レジリエンスに関するディスカッション・ペーパー*8や監督指針の改訂*9などを公表しており、その中でオペレーショナル・レジリエンスの「基本動作」について紹介しています。
ここで注目したいポイントは、重要な業務を特定して経営資源(リソース)に着目するアプローチは、前回までに紹介したBCP/BCMで用いられるフレームワークでも、金融業界ならびに他業界を対象としてかねてから謳われており、特に目新しいものではないという点です。
たとえば、内閣府が平成25年8月に改定した「事業継続ガイドライン」で*10、経営資源の特定の必要性について触れられていたり、「レジリエンス認証 審査項目説明書」*11でも重要業務の実施に不可欠な資源を把握していることがわかる書面等を示すよう記載されています。事業継続マネジメントシステム(BCMS)に関する国際規格であるISO22301:2019(JIS Q22301:2020)でも、優先的な事業活動の遂行に必要な資源を決定する旨が要求事項として掲げられています。これらを踏まえると、オペレーショナル・レジリエンスも、既存のBCP/BCMのフレームワークから大きく外れることを求めているわけではないと考えられます。
想定外の状況が発生しうることを前提としている
それではなぜ近年において、国際機関や金融庁は改めてオペレーショナル・レジリエンスの構築に着目しているのでしょうか。それは、これまでのBCP/BCMに関する金融機関の取組みが、「シナリオベースのBCP*12」に偏っていたためと考えられます。
たとえば「シナリオベースのBCP」として、「日中(就業時間中)に、●●情報システムの障害が発生し、サービスの提供が停止した」というシナリオを想定し、その対応策として「契約しているシステムインテグレーターに連絡し、原因究明と復旧対応を行う」と定めていたとします。では、「休日夜間に当該システムの障害が発生してしまい、システムインテグレーターの担当者の休日夜間の連絡先が分からず当該担当者と連絡がとれない」という場面に遭遇してしまった場合はどうすればよいでしょうか。前述したシナリオと対応策だけでは、顧客が許容してくれる時間内にサービスの提供を再開することが困難になる可能性があります。
もちろん実際のシステム運用ではこのようなケースは当然想定されているでしょう。ただ、上記のように、事前に用意したシナリオの予想を超えた「想定外」の状況が発生し得ることを前提とした場合に、どのサービスを最優先として、いつまでに対処する必要があるのかなどといった、顧客へのサービス提供を継続するための事前(平時)の準備が「シナリオベースのBCP」では十分ではなかったという認識が、昨今オペレーショナル・レジリエンスの構築が推奨されている背景にあると考えられます。
業界横断的なBCP/BCMとレジリエンスの動向
ここからは、金融以外の業界を含む、BCP/BCM、レジリエンスに関する業界横断的な動向について解説します。
テレワークの定着・常態化
諸業界の経済活動における、BCP/BCMおよびレジリエンスに関連した特徴的な動きとしては、まず「テレワークの定着・常態化」があげられます。コロナ禍により速やかに導入が進んだテレワークは、当初は一時しのぎのような扱いで導入されるケースもみられましたが、今や多くの企業で本格的に定着しつつあります。今後は、緊急時に業務を継続することを狙いとして、テレワークを有効活用すべく、以下のような検討があらためて求められていくと考えられます。各省庁からはテレワークに関するガイドライン*13なども公表されています。
- 「緊急時にテレワークでの実施が可能な業務」と「テレワークでの実施が困難な業務」の識別
前者はテレワークの活用、後者は時差出勤やシフト勤務制の導入などを、緊急時の行動計画に追加することを検討 - テレワークにより業務を継続する際の環境整備や情報セキュリティ対策の再検討
在宅勤務用パソコン、テレワーク用のリモートアクセス環境、ベンダーが提供するテレワークツールやWeb会議ツールの可用性、業務情報の取扱い方法など
サプライヤーや委託先の確保
これまでの連載でも触れてきましたが、自社の「重要業務」の遂行に必要な経営資源のうち、サプライチェーン上の供給者(サプライヤー)や委託先が何らかのトラブルにより業務を停止してしまうと、自社の「重要業務」も停止し、自社の顧客(得意先や納品先)が許容してくれる時間内にサービスや製品の提供を再開することが困難になる可能性があります。関与する供給者や委託先が多くなりサプライチェーンが複雑化すると、ますますこの傾向が高まると考えられ、供給者や委託先に対するリスク評価や、それらの評価結果に基づく対策の検討(例:いざというときの代替供給者の確保、委託先や子会社からの情報漏洩を防ぐ仕組みの整備など)が今後も引き続き求められるでしょう。製造業の業界団体からは供給者を考慮したBCPのガイドライン*14なども公表されています。
BCP/BCMとレジリエンスに関連する最近のトピック
最後に、社会全体の共通課題に関わる、BCP/BCMおよびレジリエンスに関連する最近のトピックを紹介します。
SDGs
SDGs*15においても、「持続可能」「強靭な」といった文言を用いて、BCP/BCMやレジリエンスに関する内容に触れています。
- 目標9
強靱なインフラ構築、包摂的かつ持続可能な産業化の促進およびイノベーションの推進を図る - 目標11
包摂的で安全かつ強靱で持続可能な都市および人間居住を実現する - 目標13
気候変動およびその影響を軽減するための緊急対策を講じる
たとえば、目標9のターゲット9.1では「持続可能かつ強靱なインフラを開発する」こと、目標13のターゲット13.1では「気候関連災害や自然災害に対するレジリエンスおよび適応力を強化する」ことについて言及されています。SDGsの浸透・普及が、BCP/BCMやレジリエンスに関する意識の向上や醸成につながり、企業や行政の取組みにも影響を与えていくと考えられます。
経済安全保障推進法
2022年5月に成立した「経済安全保障推進法*16」で創設された「基幹インフラ役務の安定的な提供の確保に関する制度*17」において、基幹インフラの重要設備が役務の安定的な提供を妨害する⾏為の⼿段として使⽤されること*18を防⽌するため、特定社会基盤事業者として指定された会社(インフラ事業者など)は、国により指定された重要設備(特定重要設備)の「導入」および「維持管理等の委託」を行う際に、事前に国(事業所管大臣)に対して計画書の事前届出を行い、審査を受けることが定められました。
計画書の具体的な記載事項としては以下のような内容があげられています。
- 「特定重要設備の導入」の場合:
特定重要設備の概要、内容・時期、供給者など
(供給者は、「特定重要設備」の「構成設備」の供給者までが対象) - 「特定重要設備の重要維持管理等の委託」の場合:
特定重要設備の概要、内容・期間、委託の相⼿⽅、再委託など
(委託先は、重要維持管理等の委託先すべて(再委託先、再々委託先、等)が対象)
また、上記の「特定重要設備の導入」「重要維持管理等の委託」のそれぞれの場合について、計画書の届出様式には「リスク管理措置(特定社会基盤事業者が講ずる特定妨害行為を防止するための措置)」が含まれており、特定社会基盤事業者として指定された会社は「リスク管理措置」の実施状況をチェックした結果も計画書の一部として届け出るよう求められています。内閣府による解説資料*19*20では、「特定重要設備の導入」時の「リスク管理措置」として以下のような項目が紹介されており、BCP/BCMやレジリエンスに関する対応状況も問われる可能性があります。
- 特定社会基盤事業者は、特定重要設備の供給者によるサービス保証(故障対応や脆弱性対応等)が十分に講じられることを確認している。
- 特定社会基盤事業者は、ランサムウェアに感染した場合等の特定重要設備に対する不正な妨害が行われたときであっても役務の提供が継続できる体制(バックアップの取得・隔離管理、復旧手順の明確化・具体化、代替設備との交換等)について、自ら整備している。
レジリエンスの強化やその手段としてのBCP/BCMは、オペレーショナル・レジリエンス向上や重要インフラの安定稼働確保のためにも欠くことのできない重要な取組みと考えられます。
*1 金融庁/日本銀行「バーゼル銀行監督委員会による『オペレーショナル・レジリエンスのための諸原則』の公表について」(2021年5月)
*2 Bank of England、Prudential Regulation Authority、 Financial Conduct Authority「Operational resilience: Impact tolerances for important business services」(2021年3月)
*3 欧州委員会「Digital Operational Resilience for the Financial Sector and amending Regulations」(2022年12月)
*4 金融庁「『オペレーショナル・レジリエンス確保に向けた基本的な考え方』(案)に対するパブリック・コメントの結果等の公表について」(2023年4月27日、6月23日最終更新)
*5金融庁「『主要行等向けの総合的な監督指針』の一部改正(案)に対するパブリックコメントの結果等の公表について」(2023年6月23日)
*6 金融庁/日本銀行・前掲注1
*7 金融庁「金融機関のシステム障害に関する分析レポート」(2023年6月)
*8 金融庁・前掲注4
*9 金融庁・前掲注5
*10 内閣府 防災担当「事業継続ガイドライン」(最新版は令和5年3月版)
*11 一般社団法人レジリエンスジャパン推進協議会「レジリエンス認証 審査項目説明書 [提出書類(別添様式2)の記入の手引き]」
*12 シナリオベースのBCP/BCMに関しては、今後の連載でもあらためて紹介する予定です。
*13 厚生労働省「テレワークの適切な導入及び実施の推進のためのガイドライン」(2021年3月25日)
*14 一般社団法人日本自動車部品工業会 BCPガイドライン改定WG「仕入先と一体となったBCP活動のガイドライン」(2023年3月、2024年3月12日最終閲覧)
*15 Sustainable Development Goals:国連で採択された持続可能な開発のための国際目標で「17の目標」と「169のターゲット」から構成される。
国際連合広報センター「持続可能な開発目標(SDGs)とは」
*16 内閣府「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)(令和4年法律第43号)」
*17 内閣府「基幹インフラ役務の安定的な提供の確保に関する制度」
*18 たとえば、特定重要設備に保管されている情報を改ざんすることで、特定社会基盤役務の安定的な提供を妨害するなど
※本稿は、「UNITIS」に寄稿した記事です。
※発行元の許諾を得て掲載しています。無断複製・転載はお控えください。
※法人名、役職などは掲載当時のものです。
執筆者
前中 敬一郎
マネージャー, PwC Japan有限責任監査法人
インサイト/ニュース
20 results
Loading...
シリーズ「価値創造に向けたサステナビリティデータガバナンスの取り組み」 第2回:統合管理を含めたデータガバナンス/マネジメントの要諦
多様なテーマを抱えるサステナビリティの領域におけるデータガバナンス/マネジメントを推進するにあたり、個別最適に陥りデータの全社的な利活用に至らないことが課題とされています。本コラムでは、組織横断的なデータガバナンスが必要な理由、そしてその推進の要諦を解説します。
シリーズ「価値創造に向けたサステナビリティデータガバナンスの取り組み」 第1回:サステナビリティ情報の開示により重要性が増すデータガバナンス・データマネジメント
企業には財務的な成果を追求するだけでなく、社会的責任を果たすことが求められています。重要性が増すサステナビリティ情報の活用と開示おいて、不可欠となるのがデータガバナンスです。本コラムでは情報活用と開示の課題、その対処法について解説します。
ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
Loading...
リスク・アシュアランス部コラム
Loading...
企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
価値創造のためのDX経営の要諦 デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
Audit Management Officeの組成によるDX監査態勢の強化 ~DX監査を契機とした経営に資するリスクベース監査の実現に向けて~
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。
Loading...
