(写真AC)

欧州の金融業界がリードしてきたオペレーショナル・レジリエンスが、日本でも広がりはじめた。2023年4月に金融庁が「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を公表し、金融業では取り組みに拍車がかかる。一方、他の業界では緒に着いたばかりというのが現状だ。オペレーショナル・レジリエンスとは、どういう「能力」を指すのか、KPMGコンサルティングのパートナーである関憲太氏に聞いた。

非金融業界も着手

――オペレーショナル・レジリエンスとは?
2018年に起きた英国銀行の大規模システム障害とサイバー攻撃被害を契機に、オペレーショナル・レジリエンスの議論が加速しました。この英国銀行は、2015年に欧州の大手金融機関の傘下となり、新システムへの切り替えを行いましたが、事前テストが不十分だったことが原因で大規模なシステム障害が発生しました。個人、法人顧客はオンラインバンキングへのアクセス不能になり、6週間経った後も復旧の目途が立たず、その間、フィッシング詐欺といった二次被害にまで波及しました。結果的に、利用者と英国の金融システムの安定性に甚大な影響を与えました。

事態を重く見た英国規制当局はディスカッション・ペーパーを公表し、続いて国際的な金融安定化のためにルールを協議するバーゼル銀行監督委員会(バーゼル委員会)も規制を発表し、各国の監督当局も規制の取り組みを進めました。

オペレーショナル・レジリエンスとは、テロやサイバー攻撃、自然災害などの発生時においても企業の業務を継続させる、迅速かつ柔軟に環境に適応し、回復する組織の能力を指します。具体的には、重要な業務の特定、経営資源のマッピング、耐性度の設定、極端だが起こり得るシナリオテストやそれらを管理する体制の整備などが求められています。

――日本でのオペレーショナル・レジリエンスの動向は?
金融庁は2023年4月に「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を公表し、主要行などに向けた総合的な監督指針を改訂しました。この「考え方」のディスカッション・ペーパーには、「未然防止策を尽くしてもなお、業務中断は必ず起こることを前提に、利用者目線に立ち、代替手段等を通じた早期復旧や影響範囲の軽減を担保する枠組みを確保することが重要」と記載され、バーゼル委員会の諸原則や諸外国の規制、ガイドラインにそった内容になっています。

現在、銀行を中心に金融機関が先行して導入を進めていますが、それ以外の金融業態や非金融業界も着手し始めました。当社にも金融機関以外の企業からお問い合わせをいただいている状況です。