1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. リスク管理
  6. FinTech時代に求められるシステムリスク管理部門の役割と…

FinTech時代に求められるシステムリスク管理部門の役割とは

2017年2月号

金融システムリスク管理部 上級コンサルタント 上杉信孝

新規性と独自性の高いFinTech案件の実現には、内在する真のリスクの特定が重要かつ困難なタスクとなる。リスクベース・アプローチに基づき、こうした検討を迅速に遂行していくことのできるシステムリスク管理部門の存在が、より一層重要となってくるだろう。

FinTech案件の実現に向けたリスク管理部門の役割

 革新的なアイデアと技術を武器に金融業界に変革を迫るFinTechの潮流は、本邦金融機関を取り巻くビジネス環境に急速な変化をもたらしている。FinTechで実現されるサービスは、伝統的な金融サービスの枠組を超えて、顧客の日常生活と密接な関わりを持つような、利便性の高いものであることが求められる。一方、高い利便性を追求する中においても、顧客の大切な情報資産を守り、安心・安全を保障することの重要性は変わるものではない。こうした「守り」の施策において技術的な側面も含めたリスク評価を行うシステムリスク管理部門は、FinTech案件の企画・推進に重要な役割を担っている。

 FinTech案件のシステムリスク評価では、これまでの手法が通用しにくい。FinTech案件の多くは、従来の金融サービスとは異なるアプローチのもとに企画・設計されたサービスである。このような新規性が高く多様な特徴を有する案件のリスクを、従来のように、○・×チェックを主体としたようなルールベース・アプローチで評価することは不可能である。その案件に内在する真のリスクを捉え適切な対応を図っていくためには、プリンシプルベースでの評価が求められる。個々の案件の本質を見極め、リスクを特定し、課題化を図り、解決につなげる、いわゆる「リスクベース・アプローチ」(RBA:Risk Based Approach)を高いレベルで実践していくことが、より一層重要となってくるのである。

システムリスク管理部門が見るべきチェックポイント

 FinTech案件についてシステムリスク管理部門が評価すべき観点は図表のように多岐にわたるが、ここでは「外部企業との連携」を取り上げ、リスクの特定や評価におけるポイントを見てみよう。本邦のFinTechサービスでは、金融機関とFinTechベンチャーが連携することで実現されるケースが多く見られるからである。

 金融機関から見たFinTechベンチャーとの関係は、システム開発委託のような「垂直的」なものではなく、業務提携のような「水平的」なものであることが多い。委託であれば、金融機関が自らの統制のもとに、情報セキュリティをはじめとした委託先の管理態勢を直接評価することができる。しかし水平的な関係においては、金融機関の管理統制を提携先に一方的に強いる立場にはないことから、各金融機関が提携案件に内在するリスクを評価し、適切な対応を図る必要がある。

 その一つが、金融機関と提携先との間で取扱う情報の範囲である。情報は必要最低限に絞り、万一インシデントが発生したとしても被害を最小限に留めることが考えられる。金融機関からFinTechベンチャーへ提供する情報は、実現したいサービスの範囲に絞る、個々の情報の内容を精査し個人情報などの重要情報は原則提供しない、といった観点からリスクをコントロールしていくことが望まれる。こうした考え方は、リスクへの主な対処方法である「低減」「回避」「移転」「受容」のうち、「低減」または「回避」に当たるものといえる。

 「低減」「回避」すべきは、金融機関から「提供する」情報に関するリスクだけではない。金融機関がマーケティング分析を行うなどの目的で、提携先から情報を「受け取る」ケースも考えられる。その中には、過去に金融機関が保有したことのない類の情報もあるだろう。こうした情報を本当に保有する必要があるのか、目的に鑑みて情報は最小限に絞られているのか、また情報を保有する前提で金融機関自身も適切な管理態勢が整備できているのか、といった観点からも十分な検討が必要となる。

 「移転」により対処すべきリスクもある。提携先でインシデントが発生するリスクは金融機関側でコントロールできるものではない。そこで、こうした場合の責任の所在を契約上明確にしておく、といった対応が考えられる。分界点を定めることで、金融機関が負うリスクを削減できるだけでなく、明確な責任の下に情報資産を守るという、双方の管理意識向上に資する部分もあるだろう。

 しかし、提携先で万が一のことが起きた場合、金融機関にも「風評リスク」が波及すると考えれば、「移転」によって、サービス全体としてのリスクが小さくなったとは言えないかもしれない。このリスクは最終的には「受容」するしかない類のものではあるが、実態を知らずに盲目的に受容することと、提携先の管理態勢を正しく理解し受容可能と判断した上で提携することとの間には、決定的な違いがあるだろう。水平的な関係にある提携先に対して、何を、どこまで要求し、またどのように確認するかという点には、まさに各金融機関における創意工夫の余地があるのではないだろうか(※1)。

FinTech事業を実現し推進していくために

 現在、各省庁や関連団体が主催するFinTech関連の有識者検討会・研究会などで、システムリスク管理のテーマも含めた活発な議論が進められており(※2)、今後その成果が公表されてくるだろう。しかしながらその場合でも、プリンシプルベースの指針が示されることはあっても、ルールとして落とし込めるような詳細な内容が提示されるとは考えにくい。むしろ以前行われた、クラウド利用に関する有識者検討会における議論のように(※3)、すべてに画一的なリスク管理を求めるのではなく、サービスに内在するリスクを洗い上げ、リスク度合いに応じた対策を一つひとつ積み上げていくというRBAによる検討が重視されるのではないだろうか。

 FinTechのような先進的な分野では、“First Mover Advantage”、“Winner Takes All”の傾向が強いと言われる。こうした活動を推進するには、個々のリスクを適切に評価し対応していくことのできる、システムリスクをはじめとしたリスク管理部門が不可欠である。また、RBAに基づく検討に長け、管理部門の立場からFinTech案件の実現に貢献できる人材は、金融機関にとって貴重な存在となるだろう。FinTech時代の金融機関においては、こうした人材を育成し登用していくことが、より一層重要になってくるのではないだろうか。

1) 金融審議会「金融制度ワーキング・グループ報告-オープン・イノベーションに向けた制度整備について-」(平成28年12月27日)参照。オープンAPIについては、電子決済等代行業者(本文のFinTechベンチャーに相当)に登録制を導入し接続先金融機関との契約締結を求める一方、金融機関に対しても、小規模業者等の接続を合理的理由なく拒否しないよう、契約締結の可否に係る判断の基準を策定・公表することなどについて触れられている。
2) 金融庁「フィンテック・ベンチャーに関する有識者会議」、経済産業省「産業・金融・IT融合に関する研究会(FinTech研究会)」、全国銀行協会「オープンAPIの在り方に関する検討会」、金融情報システムセンター「Fintechをテーマとした有識者検討会」、等。
3) 金融情報システムセンター「金融機関におけるクラウド利用に関する有識者検討会報告書」(平成26年11月)参照。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

上杉信孝Nobutaka Uesugi

金融システムリスク管理部
上級コンサルタント
専門:金融機関のリスク管理

注目ワード : FinTech(フィンテック)

このページを見た人はこんなページも見ています