ITガバナンス高度化の必要性

　これまで金融庁では、金融機関のITを取り巻くさまざまなリスクを念頭に、「システムリスク管理態勢に係る検査マニュアル」や「システム統合リスク管理態勢の確認検査用チェックリスト」などを公表してきた。

　しかし、金融サービスを提供する事業者は多様化し、かつ、非金融プレイヤーにおける金融事業への参入が進む中で、従来通りの検査や監督態勢ではカバーしきれない領域が生まれてきている。

　加えて、ITシステムを提供するベンダーやメーカー側における対応態勢もかつてとは様相を異にしている。金融機関側のみならず、ITシステムを開発・運用、提供している「金融機関から見たシステムの委託者」側の変化への対応も必要となってきた。

　金融庁では、検査・監督全般についてこれまでとは異なるアプローチを採ることを宣言。金融機関にとって重要インフラといえるITシステムの検査・監督態勢についても大胆な見直しを実施した。

　その1つが、2018（平成30）年6月公表の「金融検査・監督の考え方と進め方」を踏まえたテーマごとの具体化手続きの一環でもある「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」である。なお、サイバーセキュリティに関する要件については対象外とされているので注意する必要がある。

検査マニュアル廃止後の新しいシステムリスク管理の姿

　かつては、システム部門が一手に引き受ける形でITシステムをデザインし、これを経営層にエスカレーションしていく、といった方式が当たり前であった。すなわち、金融機関の経営トップにしてみれば「システムは現場に任せる」といった姿が長らく常態化してきた。

　加えて、ITシステムのマネジメントについても、結果としてIT部門中心にコントロールされてきた感もあり、ますます経営層から縁遠い「専門領域」として位置付けられてきた。

　ただし、現代では金融機関のシステムやIT戦略は、金融機関のビジネスモデルそのものに影響を与えることは誰もが理解しているところだ。

　そうした背景もあり、金融庁では「金融機関においては、経営戦略をIT戦略と一体的に考えていく必要性が増している」と捉えている。

　その上で、仮にITガバナンスが適切に機能しなかった場合には相応のリスクが伴うともしている。金融庁ではその具体例として、以下を懸念材料として挙げている。 　これらを懸念した上で金融庁は、金融機関の経営に密接不可分なリソースとしてのITそのものについて、金融機関と対話していく必要性が生じていると判断したようだ。

金融庁が投げ掛ける論点

　金融庁では相当な時間をかけて、事前に複数のメーカーやベンダー、金融機関へのヒアリングなどを通じ、金融機関のITシステムを取り巻く問題点をあぶり出して論点を整理している。そのため、課題として設定されているポイントの多くは、既に顕在化しつつあるリスクへの手当そのものだともいえる。

　ただし、同書の利用方法として、金融庁は、大きい金融機関も小さな金融機関も一律に同じ要件を投げ掛けることはしないようだ。具体的には「本文書を用いた対話にあたっては、金融機関の規模・特性を十分に踏まえた議論を行う」とされている。

　そのうえで、気を付けなければならないポイントが1点存在する。金融庁は特に地銀に対して今後整理していくべき論点として、次のような要件を挙げている。 　「なぜ地銀に特化して要件が定義されたのか」という疑問はあるにせよ、金融庁として地銀の共同センター（ITベンダーなどが構築、運営を担う地方銀行向け基幹系システムの共同利用型センター）における何らかの問題意識がなければ、このような問題提起には至らないものと想像される。

　既に同様の趣旨の問題提起を金融庁職員は金融機関向けの講演などにおいても言及していることもあり、今後の検査・監督の様態変化も含めて続報があれば、あらためて整理して本連載でも取り上げてみたい。


【次ページ】「金融機関のITシステムの検査・監督」を考える上での6つのポイント