これまでのITガバナンスは「金検マニュアル」が土台

　金融庁がこの6月に発表した「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」（第二版）について、公表されたものも含め、規制の拠り所となる本件類似のガイドラインは2本存在する。平成11年のシステムリスク管理態勢に係る検査マニュアル、平成14年のシステム統合リスク管理態勢の確認検査用チェックリストである。

　当時は金融検査マニュアル（令和元年に運用廃止）が存在していたことから、これをベースに構造されたものと言って良い。したがって、金融検査マニュアルがなき今、「金検マニュアルを前提としたこの2つのガイドライン」を単に眺めただけでは要領を得ない。

　当時は現在と異なり、金融機関はいわゆる「枯れた技術」の活用により障害が少なく実績のあるハードウェアや、バグを出し切った安心・安全なソフトウェアの採用で、重厚な情報システムを実装してきた。

　ただし、フィンテックベンチャーとの連携が加速する昨今、「安心・安全」よりも「スピード・価格」が志向されていることに加え、金融機関と接続する新たなプレイヤーが多数生まれている。

　つまり、かつてとは異なる「リスク」が芽生えたわけであり、ここにフォーカスした論点整理を行ったものが本書と位置付けられる。

共同システム側との一層の連携を促進

　当然に、都市銀行と地銀、信金では規模も特性も大きく異なる。したがって、横断的に同一の基準を適用することは合理性に欠く場合がある。これを念頭に置いたものが監督指針である。

　そこでは大手行向け、中小金融機関向け、のほか、証券、保険、といったように業態毎に検査官が見るべき視点が個別具体的に定義されており、これを踏まえた検査・監督が実践されてきた。

　ただし、昨今は金融業態横断的な統一基準がルールとして整備されるケースが少なくない。代表例がサイバーセキュリティ対策と「マネー・ロンダリングおよびテロ資金供与対策（AML/CFT）」である。こればかりは業態が異なり規模が小さいといった理由で、業態別に水準差を付ける訳にもいかず、一律の基準を定義せざるを得ない事情があるわけだ。

　そのうえで、本書でいう「規模」と「特性」の違いによる配慮の背景だが、これは情報システムの実装手法の差を指している。中小規模金融機関はIT部門の配置人数も少なく、基幹系システムの多くは共同化されている。

　同じ課題であっても、大規模金融機関は単独でリスクアセスメントを行ったうえで独自に実装せねばならない。中小規模金融機関は共同システムを利用するため、運用主体との合議によりリスクアセスメントを実現せざるを得ず、自らの意思を貫くことが必ずしもできない一方、開発・運営コストの按分効果を享受してもいる。

　こうした特性を念頭に置けば、検査・監督の手法の一律定義は現実的でないことは一目だ。
【次ページ】ITガバナンスに関する考え方や着眼点とは？