1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. リスク管理
  6. パブリック・クラウド活用に向けた意識変革

パブリック・クラウド活用に向けた意識変革

2018年5月号

金融デジタルガバナンス部 上級コンサルタント 長堀大道

パブリック・クラウドサービスが世の中に現れてすでに久しいが、金融機関の業務システムにおいては、幅広く使用されているとは言いがたい。クラウドや各種Fintechサービスの有効活用に向けては、既存の社内基準がリスク偏重となっていないか、今一度点検を行うべきだろう。

金融機関におけるパブリック・クラウド活用の現状

 新システム構築においてクラウドの採否に悩む企業の経営層から相談を受け、「どうすれば、クラウド上に個人情報を置いても『大丈夫』と言えるのか?」「どうしたら『お墨付き』を得られるのか?」と聞かれて困ることがある。システム機能の設計はニーズの実現であり、「こうすれば、こうなる」というイチ・ゼロの議論が成り立ちやすいが、コンプライアンスやセキュリティなどはリスクとの戦いである。リスクは確率であり、「こうすればリスクは減る」とはアドバイスできてもゼロにすることは不可能だ。その中で「そのリスクを許容する」と経営層(あるいはブレーン)が言わなければ、パブリック・クラウド活用の次の一歩は始まらない。

 昨今、先行して経験を培った金融機関やベンダーの中で、「業務系・勘定系」等の主要業務をパブリック・クラウド上で構築する動きが見え始めている。一方で、保守的な金融機関等では、時にクラウドアレルギーかと思うような、長大な「クラウド利用審査リスト」が整備されている例があり、その中には「個人情報の存在⇒重要システム⇒現地実査(またはクラウド採用不可)」が一連にヒモづいてしまっているケースも見受けられる。外部サービスでの利用ならば、サービスベンダーにチェックリストを記入させて審査し、定期的な監督プロセスを回せばよい。しかしインハウスの既存システムでパブリック・クラウドを採用しようとすると、IT管理組織・責任者自らがチェックリストに対してリスク対策を述べることになる。社内文化がリスクセンシティブな場合、これがプロセス的・心理的なハードルとなり、クラウド活用が進みにくい例もあるのではないだろうか。

監督指針・ガイドラインの動向

 昨年12月以降の金融庁の「検査・監督基本方針(案)」や金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準・解説書(第9版)」からは、注意深くではあるが、これまでの方向性を転換するように舵を切ろうとする意図を感じ取ることができる。

 金融庁からは、「これまで『金融システムの安定、利用者の保護、市場の公正性・透明性の確保』中心の検査・監督姿勢が長期に続いたことによる副作用を是正し、『システムの安定と金融仲介、利用者保護と利便、市場の公正・透明と活力』についてバランスのとれた実現を目指す」という基本的な考え方の転換が示されようとしている。またFISCでは、「金融機関において、利用者保護のために安全対策の実施は不可欠ながら、一方で顧客の利便性や企業価値向上のために、限りある経営資源を新サービスの展開・開発等に適切に配分することも重要」であるとしている。最低限必要な安全対策を実施した上で、利用するシステム個々のリスク特性(※1)に応じたリスクベースアプローチにより管理レベルを適宜・適切に検討することが望ましい、という示唆が含まれていよう。

パブリック・クラウドは「雑居ビル」?

 元々、金融業は規制業種であるが、国民の資産の安全を図る意味でそれは当然であり、やむを得ないことでもある。また「安全・安心」の提供のために「旧態依然・リスク回避」に陥る傾向が出てしまうことも、表裏一体の関係にあると言えるだろう。しかし、新しい技術やビジネスは、往々にして規制のないところに生まれて育っていく。それらはこれまでにないルールを呼び込み、時としてビジネスというゲームそのものを変えてしまう。そのとき、旧態依然とした考えに縛られているためにゲームの変化そのものに気づかないとしたら、それは恐ろしいことだ。必死に釣糸を垂らしていても、その下で地引網にごっそり魚が取られていることに気づかなければ、飢え死にを待つばかりである。

 最近、パブリック・クラウドは「警備員の居る雑居ビル」のように思われてならない。「雑居ビル」や「警備員」に慣れた我々ならば、ドアや机に鍵をかけることを社員に徹底させてそこに入るだろう。もしその管理や警備に不安がなければ、机の施錠程度はうるさく言わないかもしれない。このとき万一、警備員が問題を起こしたとしても、それは雑居ビル側の管理の問題であって、「よく調べもせずに入ったテナントが悪い」などと言われるはずがない。また魅力ある新興企業と取引をする際に、取引相手の審査条件で「雑居ビル入居企業はお断り」ということなど、今の社会通念ではありえない。

 ここでの「雑居ビル」や「新興企業」は、いわずもがな、「パブリック・クラウド」と、その上に構築・提供された「Fintechサービス」である。将来ビッグデータやAIを活用したサービスも出現し、ゲームを変えるインパクトをもたらすに違いない。これからの金融機関は、リスクセンシティブに囚われ過ぎたこれまでの「古い常識」を転換し、必要な鍵(認証の強化や暗号化など)はかけつつ、ビジネスの環境・変化に応じて、雑居ビルやその入居者を適切に利用する、「新しい常識」「柔軟な発想」を積極的に取り入れていくことが重要になるだろう。

社内基準の緩和・見直し余地

 社内のセキュリティ・ガイドラインを司る者は、例え社内から融通が利かないと憎まれようとも、自社と顧客の情報を守る鉄壁の番人でなければならない。自分が緩い統制を敷いたために、将来の経営者・顧客・社内の後輩が泣く事態を招いてはならないからだ。しかし、新しい技術や事業、委託形態についても勉強し、積極的に緩和しようとする、相反した意識を同時に持たなければ、新ビジネスの阻害要因になってしまい、別の形で顧客や仲間を泣かせることになりかねない。

 金融庁やFISCは、金融機関が従来の検査対策・安全対策を偏重すれば、世の中のイノベーションへの遅れをもたらし、その結果グローバルレベルの機会損失・競争力劣化の原因となることを示唆していると考える。金融機関の経営層やそのブレーンはこれを警鐘と捉え、速やかにシステムリスクに係る金融機関内の基準の見直し・合理的緩和に舵を切る必要がある。

 IT基盤においては定期的にインフラ更改が必要となるが、それには最低でも5年前後のインターバルが生じる。もし今がその更改時期にあたるなら、この機を逃せば今後5年程度の間は新基盤・新コスト構造への転換は滞留し、ひいては機会損失・競争力劣化がもたらされることを肝に銘じておくべきだろう。

1) 留意すべき例として、「外部性:他の金融機関やその顧客に影響を与えるシステム」や、「機微性:その情報が流失した場合、経済的損失に留まらず、プライバシー等の個人の人権の侵害等の広範囲かつ甚大な被害をこうむる可能性のあるシステム」など。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

長堀大道Masamichi Nagahori

金融デジタルガバナンス部
上級コンサルタント
専門:内部統制デザイン・監査

このページを見た人はこんなページも見ています