オペレーショナル・レジリエンス（強靭化）についてのリスク管理検討の必要性

オペレーショナル・レジリエンスを取り巻く状況・環境

オペレーショナル・レジリエンスとは、テロやサイバー攻撃、自然災害等に起因する業務中断に対して、いかに柔軟に業務を回復・継続するかの金融機関の能力を言います。また、AIやフィンテック等新たな金融テクノロジーの発展に伴い、従来の業務委託の概念を超えて、重要な業務を第三者に委託するケースもあり、こうした重要業務の中断に対する回復も対象とします。
2018年7月に英国BOE, RPA, FCAが、「英国金融機関のオペレーショナル・レジリエンスの態勢構築について」の共同ディスカッションペーパーを公表して以降、関心が高まってきています。その後、バーゼル委員会が2018年12月にサイバーレジリエンスのRange of Practicesを公表しており、世界各国の監督当局も関心を高めています。

オペレーショナル・レジリエンスを取り巻く状況・環境

英国でのアプローチ

議論が先行している英国では、共同ディスカッションペーパーに対する意見を取りまとめた上で最終文書を公表するとみられます。ディスカッションペーパーでは、下記の4つを推奨するアプローチとしています。業務中断に対して、いかに柔軟に業務を回復するかに主眼があり、ビジネスコンティンジェンシープラン（BCP）と関係する部分が多くあります。日本においては対応未定ながら、海外を起点として、これまでのBCP等を見直す必要がある場合も考えられます。

英当局からの推奨アプローチ

日本におけるオペレーショナル・レジリエンス対応へのアプローチ

サイバー攻撃や重要業務への第三者委託による業務中断の可能性・問題は、日本においても起こり得ない状況ではなく、今後、オペレーショナル・レジリエンスの議論が本格化すると予想されます。各金融機関でリスク認識した上で、既存のリスク管理の枠組みで対応可能かどうか検討する必要があるでしょう。
例えば、こうした新たな環境変化に起因して生じたリスク認識が、既存のリスクアペタイトフレームワーク（RAF）、ビジネスコンティンジェンシープラン（BCP）、リゾリューション・リカバリープラン（RRP）等のシナリオ想定・対応で、整合的に必要かつ十分に織り込まれているかを確認していくことが考えられます。
また、BCPとRRPのそれぞれの復旧計画が整合的かどうかの確認も必要となるとみられます。

金融機関として潜在的に識別しておくべきリスクシナリオによる確認

今後の対応の方向性

オペレーショナル・レジリエンスは、最近の金融環境の変化に伴い認識されてきた課題で、今後、世界各国の監督当局も関心を高めていくと考えられます。
各金融機関においては、環境変化を踏まえて、業務継続を図る上で、どの業務が重要で優先度が高いか、RAF・BCP・RRPのリスクシナリオ設定は妥当か、さらには、業務回復を図るための回復手順は現在の金融環境に見合ったものとなっているかなどを改めて確認していく良い機会だと考えられます。既存の業務であっても業務回復方法が複雑化している可能性等も認識しつつ、金融テクノロジーの進展や環境変化を適切に認識した上で、経営者の目線で、業務継続を強靭にしていくために何が本当に必要か、検討が必要です。