最新動向/市場予測
英国で取り組みが加速するオペレーショナル・レジリエンス対応
リスクインテリジェンス メールマガジン vol.54
金融規制の動向(トレンド&トピックス)
有限責任監査法人トーマツ
リスク管理戦略センター
シニアマネジャー
対木 さおり
英国でオペレーショナル・レジリエンス強化の取り組みが本格化している。オペレーショナル・レジリエンスとは、テロやサイバー攻撃、通信や電力などの障害、自然災害等に起因する業務の中断に対して、いかに柔軟に業務を回復・継続するかに対する金融機関の対応能力のことを示す。昨今、AIやFinTech(フィンテック)等の新たな金融テクノロジーの発展に伴い、重要な業務を第三者(サードパーティ)に委託するケースも増加しており、英国のオペレーショナル・レジリエンス対応は、外部に委託する重要業務の中断に対する回復までをも対象とするものである。
英国規制当局では2018年にディスカッションペーパーの形で、金融機関のオペレーショナル・レジリエンス強化に向けた要件についての市中協議を実施。今回、市中コメントを受け、2019年12月に、規制文書などの市中協議が開始された。対象となる金融機関は広範に及ぶ。各金融機関の規模や特性ごとに、求められる内容には差異があるものの、英国銀行のほか、規模の大きな投資銀行、保険業、シニアマネージャーレジームの対象となる企業のうち規模の大きい企業、決済サービスに関わる企業、中央決算業者等の金融市場インフラ業者などが含まれる。長い目で見れば、世界各国の監督当局でも関心が高まる可能性もあることから、今回は今回の提案における基本的な枠組みを紹介する。
大まかにいえば、今回の市中協議は、対象となる金融機関に具体的かつ広範な対応を求めている。この対応には、①重要なビジネスサービス(Important Business Service)の特定、②重要なビジネスサービスに対する影響許容度(Impact Tolerance)の設定、③障害発生時に事前に設定した影響許容度内で収束するかどうかを検証する目的で実施されるシナリオに基づくテスト(Scenario Testing)とオペレーショナル・レジリエンス向上に向けたアクション実施、④障害発生時のコミュニケーション計画の策定等が含まれる。
よりブレークダウンして、キーとなる概念を簡単に整理してみよう。第一に、「重要なビジネスサービス(Important Business Service)」とは、対象の機関が外部の利用者もしくは参加者に提供するサービスのうち、以下の可能性をもたらすものと定義されている。その障害が、①顧客や市場参加者に許容不可能な損害をもたらす、②市場の信頼(integrity)への損害を引き起こす、③保険契約者の保護、安全性や健全性、金融システムの安定性への脅威となる可能性があるものである。市中協議文書内では、重要なビジネスサービスを判断する際の基準等を例示するものの、金融機関の経営層が重要付けを行い、該当サービスを特定化することが重要だとの考えから、定義リストなどは提示されていない点には留意が必要である。
第二に、特定化された重要なビジネスサービスに対しては、金融機関が許容可能な障害の水準について数値化した最大水準(障害の最大許容期間(時間)を含む)である「影響許容度」(Impact Tolerance)の設定が必要。この許容度の数値・水準は対象機関がクリアーすべき目標となる。
第三に、金融機関自身が、影響許容度内にとどまることができるかどうかを自己検証する仕組みとして、重要なビジネスサービスの障害発生時を実際に想定し、厳しいがありそうな(Severe but plausible)シナリオを用いて、影響許容度内にとどまることができるか否かの組織の能力をテストするシナリオテスト(Scenario Testing)を行うことが提案されている。また、マッピング(Mapping)として、重要なビジネスサービスをサポートするのに必要な人材、プロセス、技術、設備、情報を特定し、文書化することも要件の一つで、同時にコミュニケーション計画の策定や、影響許容度にとどまることができるよう、必要な投資や対応を実施することも求められる。
前述の通り、今回の規制の対象となる金融機関の範囲は広い。また、今回の市中協議の一部である外部委託とサードパーティー管理に関する監督文書の対象には英国に所在する第三国の金融機関の支店が含まれていることから、英国に所在する本邦金融機関も一定の対応が必要となろう。なお、この外部委託とサードパーティー管理に関する監督文書は、2019年9月に開始した欧州の外部委託ガイドラインの内容を英国内に適用するための制度整備が主となっているが、前述の通り、オペレーショナル・レジリエンス確保のためにも外部委託先の管理強化が必須であり、規模の大きい金融機関では、同時並行での対応が必要になろう。また、欧州との関係では、EUでも12月にサイバー攻撃に対するオペレーショナル・レジリエンス強化に向けた方策を検討するための論点整理を行う市中協議が開始しており、今後はEUでの動向にも目配せが必要となる点にも注意が必要だ。
index
- 幾分楽観にシフト:2020年マクロベースラインシナリオ(勝藤)
- 米中合意の光と影:第三国への負の影響に留意(市川)
- 英国で取り組みが加速するオペレーショナル・レジリエンス対応(対木)
- 講演最新情報(2020年1月時点)
執筆者
対木 さおり/Saori Tsuiki
有限責任監査法人トーマツ リスク管理戦略センター シニアマネジャー
財務省入省後、大臣官房にて経済・政策分析業務、関東信越国税局(国税調査官)、理財局総務課・国債課にて、国有財産・債務管理や国債発行政策策定に従事。米国コロンビア大学にて修士号(MPA)取得(IMFインターン等を経験)、その後大手シンクタンクにて、政策分析・経済予測、関連調査・コンサルティング業務を担当。
