欧州委員会(EU)は、金融システム全体のレジリエンシーを高めるべく、2023年1月にデジタル・オペレーション・レジリエンス法(Digital Operatonal Resilience Act:DORA)を制定し、2025年1月の発効をめざしています。同法は欧州で営業する金融機関と金融関連のICTサービス・プロバイダーが対象ですが、同様な規制が他国で制定される可能性もあり注目が集まっています。
■ DORA制定の背景
金融機関は、金融機関同士の相互接続や外部ICTサービス・プロバイダーを活用して業務を遂行しており、リアルタイム・ペイメントが普及する中、外部連携の緊密度はこれまで以上に高くなっている。一方、サイバー攻撃は高度化し、複数の金融機関が同時に攻撃を受けたり、ある金融機関への攻撃が他行へ影響を与えるケースも生じていることから、金融システム全体がシステミック・リスクに晒されているとの認識が広まっている。
このような懸念に対処するため、欧州委員会と欧州議会では、欧州で営業する金融機関とICTサービス・プロバイダーを対象とし、金融システム全体のレジリエンスを確保するフレームワークとして「デジタル・オペレーション・レジリエンス法(Digital Operatonal Resilience Act:DORA)」を制定、2年後:2025年1月の発効を目指している。
同法の規制対象は、以下のような金融機関/サービス・プロバイダー21,000社以上になると考えられている(従業員10名以下/売上200万ユーロ以下の小企業のみ除外)。
・銀行/証券/ペイメント・サービス関連:銀行、投資サービス、ペイメント・プロセッサー、デジタル・ペイメント企業、クリプト関連企業など
・保険関連:保険会社、保険代理店、再保険会社、年金保険など
・金融関連サービス:監査法人、クレジット・レーティング企業など
・金融市場:取引所、証券集中保管機関、レポーティング・サービスなど
・投資ファンド:代替投資ファンド、アセットマネジメント企業など
・ICT企業:通信サービス企業、クラウド・サービス企業など
■ DORAのリクワイヤメント
DORAでは、同法のフレームワークに合致する要件として、該当各社に以下5項目の実施を求めている:
(1)ICTリスク・マネジメント
・自社が直面しているリスク分野の特定/防衛方策/テスト方法/回復手段の文書化など。更に万一の被災の際の情報公開/共有方策、自社内組織の役割の規定など
(2)インシデント報告(必須のもの/任意のもの)
・DORAでは報告に用いるインシデントの区分/用語や必須報告が必要となるケースを規定している
(3)デジタル・オペレーション・レジリエンシー・テスト
・テストを実施する範囲/内容(ペネトレーション・テストやデータ・リカバリーテストなど)を規定している
(4)情報共有
・対象企業に対して、サイバー攻撃に関する情報や、サイバー防衛強化/テクニックに関する情報交換を求めている
(5)ICTサードパーティー・リスクの管理
・金融機関がサードパーティーを活用する場合もリスク管理の責任は金融機関にあるを規定している
・EUが「クリティカル」だと規定したサードパーティーは、DORAの管理下とできることを規定している
■ DORA準拠への準備と他国への影響
アイテ・ノバリカ・グループでは、EUで事業を展開している金融機関やICTサービス・プロバイダーの半数程度の企業が、現状のままではDORAの要件を満たせない可能性があると推計しており、まずはDORAで規定されているレジリエンシー・テストを実施して、自社の現状を把握することが第一歩だと考えている。
米国の財務省は2023年2月に発行したレポート「The Financial Services Sector’s Adoption of Cloud Services」で、DORAとクラウド・プロバイダーの関連を論議しており、EUの動向に関心を持っていることが分かる。金融機関や金融関連のICTサービス・プロバイダーは、今後EU諸国以外でもDORAと同様のレギュレーションが制定される可能性もあり、その動向に関心を持つべきだと考えるがどうだろう。
(参照)
・アイテ・ノバリカ・グループ 2021年3月発行レポート「Digital Operational Resilience Act (DORA) : TAKE A LICKING AND KEEP ON TICKING」