ページの先頭です

FinTech時代のクラウド利用

2017年9月19日 技術企画部 谷口 友亮

近年、金融機関、業界団体においてFinTechの取り組みが急速に活発化している。

当局にも、この動きと歩調を合わせるように、実現手段の1つであるクラウドに対して、基準等に更なる検討を加える動きが見られる。

そこで本稿では、当局が新たに提案したクラウドにおけるリスク管理策の動向を示すと共に、業界に必要な課題についてレポートする。

はじめに

企業システムの安全性についてはさまざまな「ガイドライン」が存在している。金融機関においては代表的なものとして「金融機関等コンピュータシステムの安全対策基準・解説書(第8版追補改訂)」があり、「FISCの安全対策基準」とも呼ばれている。これは、金融庁の外郭団体である金融情報システムセンター(FISC)が銀行や証券会社等の為に発行しており、金融機関に求める安全対策のガイドラインとなっている。

金融機関は、このガイドラインを踏まえ独自の基準を作り、FinTechの基盤としてクラウドを活用する場合の判断材料の1つにしてきたのだが、FISCは 「金融機関におけるFinTechに関する有識者検討会」の中で、重要な情報システムでクラウドサービスを活用する場合を想定した、より具体的な「リスク管理策」を新たに提言している(*1)。

この提言は、「FISCの安全対策基準」にも影響するため、金融機関のクラウド活用にも変化が予想されるのである。

クラウドサービスの利用における「リスク管理策」

「金融機関におけるFinTechに関する有識者検討会」において、重要な情報システムでクラウドサービスを利用する際に実質的な統制を行うためのリスク管理策として以下の補足が提案された。

  1. (1)統制対象クラウド拠点の把握
    統制上必要となるデータへのアクセスが可能となる情報処理拠点等、事業拠点(統制対象クラウド拠点)を把握しておくこと。また、統制対象クラウド拠点は、実質的な統制が可能となる地域(国、州)に所在すること。
  2. (2)監査権等の明記
    統制対象クラウド拠点に対して、実質的な統制を行うに当って必要な権利(監査権等)を確保するために、クラウド事業者と交わす契約書等にその権利を明記すること。
  3. (3)監査の実施
    クラウド事業者に対する監査に当っては、技術が先進的であることからクラウド事業者が監査人に委託して行った保証型監査の報告書を利用することが望ましい。重要な情報システムでクラウドサービスを利用する場合は、実質的な統制が十全かつ実効的に機能するよう、定期的に監査を実施すること。
  4. (4)監査人等モニタリング人材の配置
    クラウドサービスの採用技術が先進的であることを認識したうえで、クラウド事業者に対する実効的な監査等モニタリングに必要な能力を有した人材を配置すること。金融機関内部での育成が難しい場合は、第三者監査人等を利用することが望ましい。
  5. (5)客観的評価を実施する際の留意事項
    クラウド事業者の評価/選定において、客観的評価を実施する際の評価事項に安全対策基準の項目を含めることを必ずしも意味しないことに留意が必要である。

従って、重要な情報システムにおいてクラウドサービスを利用する際の重要なポイントは、1.データの所在拠点の把握、2.当該拠点に対する監査権限の留保、3.内外問わず専門家による監査の実施、ということである。

上記の提案内容は、以前のクラウドに関する検討会においては十分議論されたとは言い難い領域であったが、本検討会ではクラウドサービス固有の性質を明確に議論し、過去の提言内容が補完された形となり、世界でも先進的な提言とされている。

本内容は、今後のFISCの安全対策基準の改訂において取り込まれていくものとなる。

さいごに

金融機関等においてもクラウドサービスの活用が当たり前となりつつある中、これらの潮流に置いて行かれないためには、各金融機関等においてもクラウドの取扱いや社内規定等を十分な速度で整えていく必要がある。また、高度化する監査業務へ対応可能な専門家の育成や、監査業務そのもののアウトソーシングも検討しなければならない。

もちろん、当社においても他人事ではない。変化をチャンスと捉え、社内規定の見直しへの一歩を踏み出したところである。歩みを緩めず、FinTech時代を切り拓いていく所存である。

  1. *1公益財団法人 金融情報システムセンター
    金融機関におけるFinTechに関する有識者検討会 報告書(平成29年6月)
ページの先頭へ