重要インフラとしてのクラウド規制への傾注－欧州、英国、その他の国における規制の変化

2022年12月16日

※本ブログは、米国時間 2022 年 10 月 18 日に公開された Leaning in on regulating cloud as critical infrastructure: Regulatory changes in Europe, the UK, and elsewhere (英語) の翻訳です。

金融サービス業界は、システムを近代化し、従業員の生産性向上、フロントエンドおよびバックエンドのビジネスアプリケーション、基盤となるインフラの大規模運用など、主要機能のバックボーンとしてMicrosoft Cloud for Finacial Servicesを使用するように、急速なペースで転換しています。

COVID-19、サイバースペースの脅威要因、さらには地政学的な事象などの外部要因は、金融機関が世界のどこでビジネスを行うかにかかわらず、業務を継続するために超大規模クラウドが提供する分散性への依存がより高まる、不確実でダイナミックな変化をもたらしています。

このようなダイナミックな変化やビジネスニーズがある中で、規制がこれらの傾向に適応していくことは良いことです。金融機関がこのダイナミックな環境の中でより機敏に行動できるように明確さと柔軟性を提供すると同時に、金融機関が安全かつ健全な方法で第三者のテクノロジープロバイダーを運用・利用し続けられるようにします。これらの規制変更の中心は、セキュリティ、プライバシー、回復力の観点から安全かつ健全な運用を推進するための成果に焦点を当てた柔軟で原則に基づくアプローチです。このようなアプローチは、イノベーションを促進するだけでなく、目まぐるしいスピードで起こっているテクノロジーのダイナミックな変化を考慮したものです。

情報通信技術（ICT）サービスプロバイダーへの依存度が高まる中、デジタル運用の回復力を高めることを目的とした規制を実施しようとする世界中の規制当局の注目を集めています。欧州連合（EU）が、ICT関連インシデントに直面している EU 金融セクターのデジタル運用の回復力を強化するために、金融業界のデジタルオペレーショナルレジリエンスに関する規制（Digital Operational Resilience for the Financial Sector：DORA）を発表したのも、こうした背景があるからです。英国や米国などでも、同様の取り組みや既存の要件の強化が見られます。

“一部の第三者サービスの提供における集中から生じる金融安定化リスクを軽減するために、法改正を必要とするものもあるが、追加の政策措置が必要と思われる”-2021年イングランド銀行金融政策委員会（FPC）¹

先日、英国議会に提出された金融サービス・市場法案（FSM法案）には、英国財務省が指定する重要な第三者機関がもたらすシステミック・リスクを管理するための法的枠組み案が含まれています。英国の金融サービス規制当局は、オペレーショナル・レジリエンスに関するディスカッション・ペーパー3/22 (DP) (英語) を共同で発表しました。この文書では、複合金融機関が金融サービス産業（FSI）に提供するサービスの耐障害性を評価し強化するために、規制当局がFSM法案で提案されている権限をどのように行使できるかを明確に示しています。

DORAとそれに続く英国のディスカッション・ペーパーは、第三者のオペレーショナル・リスクのレビューと評価において統一的で一貫したアプローチをとるための法的枠組みを提供する、前向きで必要なステップです。また、重要インフラ技術プロバイダーに対する直接的な規制監督を含む、セクター固有の規制枠組みは初めてのことです。欧州連合内では、多くの第三者ICTサービスプロバイダーが国境を越えた事業モデルとグループ構造を持ち、監督と規制の観点から加盟国の規制の分断を避ける必要があることから、DORAの調和されたアプローチは特に重要です。

マイクロソフトは、欧州委員会、欧州連合理事会、欧州議会による、欧州のための調和のとれた効果的な規制を設計するためのイニシアチブを支持します。これらの主要なステークホルダーおよび業界と協力することは、私たちが業界のニーズを満たすために最善の準備をし、これらのアプローチから学んで推進することができるようにするための焦点です。さらに、英国ではオペレーショナル・レジリエンスに関するDP3/22ディスカッション・ペーパーが、米国では第三者との関係に関する省庁間ガイダンス (英語) 案が、それぞれ第三者リスク管理に取り組んでおり、FSI内で起きているイノベーションという変化の海に適応するための規制の近代化に向けて前向きなステップとなるでしょう。

進むべき道DORAはベンチマークを設定する

DORAは、欧州議会での最終採択とその他の手続き完了後、2022年末に欧州連合官報に掲載される予定です。公表後、規則が発効するまでに24ヶ月の実施期間が設けられるため、DORAの規則は早ければ2024年末に適用され、マイクロソフトや金融機関はそれ以前に新しい規則への準拠を確保することができます。施行期間中は、DORAの実施を促進するための規制技術基準（RTS）も策定される予定です。RTSはDORAの適用に先駆けて完成する予定です。

DORAの主要な要件は以下をカバーしています。 ICTリスク管理、 ICT関連インシデント報告、 デジタル運用回復力テスト、 重要なICTプロバイダーの監視。また、この法的枠組みは、重要なICTサードパーティサービスプロバイダーによるコンプライアンスも要求することになります。

マイクロソフトは、金融サービス業のお客様をサポートしており、DORA導入後も引き続きサポートしていきますが、特に以下の主要な分野が含まれます。

ICTリスク管理：DORAは、金融機関が遵守すべきICTリスクの包括的な管理メカニズムを確立しています（リスクの特定、保護、予防、検出、対応、回復を含む）。マイクロソフトは、現在すでに我々のサービスにおいて、幅広いICTリスク管理機能を内蔵しています。これには例えば、Microsoft Defender for Cloud、Microsoft 365 Service Health Dashboard、Microsoft Secure Scoreなどが含まれます。

ICT関連インシデント報告：DORAは、インシデントの分類を調和させ、報告プロセスを合理化し、そのようなインシデントの監視、管理、フォローアップのためのより体系的アプローチを開発しています。またDORAは、ICTインシデント報告への協調的アプローチと、NIS2指令のような報告の重複に取り組むことを予見していています。マイクロソフトは、Microsoft Defenderのような機能を提供しています。

デジタル運用のレジリエンステスト：DORAは、重要なICTシステムとアプリケーションに対して、毎年から3年ごとに実施すべきデジタル運用テストを導入します（高度な脅威主導の侵入テスト）。この新しいテスト手法は、金融機関のテスト能力を強化し、タイムリーな復旧と事業継続を促進するものです。マイクロソフトでは、すでにペネトレーションプログラムを通じて、このような取り組みをお客様に提供しています。

重要なICTプロバイダーの監督。DORAは、金融規制当局とICT重要サービスプロバイダーが、ICTサードパーティーリスクを管理するためのコミュニケーションメカニズムを予見しています。マイクロソフトは既に顧客と密接に提携しており、監査や規制当局の審査も含め、規制当局と継続的かつ豊富な関わりを持っている。このようなプロセスには、欧州に限らず、他の規制当局との機関間協力が含まれるべきだと考えます。例えば、イングランド銀行と米国の規制当局（FDIC、OCC、Federal Reserve）の間の調整とコミュニケーションは、規制監督の観点から有用であり、相乗効果を促進し、断片化を避け、規制当局とマイクロソフトに同様に利益をもたらす明確さとコミュニケーションのレベルを維持することができるでしょう。