ガイドラインの公表は今春？ 「経済安全保障と金融機関」

　2023年の金融業界最大のテーマは、早ければ数か月後に金融庁からガイドライン案が公表されるであろう経済安全保障対応だが、日本インフラ事業者に欠かせないのがサイバーセキュリティと委託先を含めたサードパーティへの対応だ。

　インフラ事業者の多くがすでにクラウドなど外部の基盤技術を活用するほか、内外のさまざまなカウンターパートとの連携の深度を深めつつあるものの、ここに大きな課題が横たわる。


　従来から金融機関では情報システムの開発に際し、ITベンダー側の財務状況はもとより経営者の信頼性などについても十分に考慮してきたことだろう。ただし、ITベンダーの開発体制が再委託、再々委託といった重畳的な体系へと移行する中で、金融機関としては再委託先などのチェックが十分に行き届かなくなる可能性も否定できない。

　とかく大規模システム開発などの場面においては、テンポラリーなスタッフを短期で大量雇用し、当該スタッフが重要システムの開発の一部を担う、といったシーンも想定される。委託先企業そのもののチェックはもとより、従事するスタッフ1人ひとりの属性チェックも今後は欠かせない。

　これは中国で2017年に成立した「国家情報法（中国の安全と利益を守ることを目的に設立された法律。いかなる組織、個人も国家の情報活動に協力することを要請している）」も踏まえた最低限配意すべき事項でもある。

金融機関のシステム開発はどう変わるか

　今後、金融機関では「重要なインフラ」とみなされる一部の情報システムの開発に際し、システムの開発・維持・運用に用いたツール、ハードウェア、ソフトウェアなどのほか、関与する企業や人材などについて審査機関の審査を受けることとなり、場合によっては開発および利用そのものの中止命令を受ける恐れもある点に注意が必要だ。

　現時点では本法の対象となる金融機関のリストが公表されていないが、預金取扱金融機関のほか、大手生損保、大手証券会社が対象に含まれることだろう。

　なお、金融機関は自らにおける対応が直接に必要となる以外にも、頭の痛い問題を抱え込むことになりそうだ。たとえば、融資先顧客企業において経済安全保障対応が必要となる新電力会社が存在すると仮定しよう。

　この電力会社が資金を投じて開発した情報システムが、経済安全保障の審査機関（所管省庁）から「利用不可」の評価を下された場合、当該電力会社の財務状況を悪化させる要因ともなり、翻って金融機関の財務にも影響を与えることが懸念されるのだ。

　今後は融資先企業との間で締結する金銭消費貸借契約などにおいて、経済安全保障を巡る諸リスクを念頭においた新たな制限条項の追加や融資条件の追補が必要となるだろう。

　たとえば、財務制限条項ならぬ「経済安全保障ガイドラインへの抵触時」を想定した、取引制限や返済条件の条項の追加が考えられるところだ。

【次ページ】残り1年半を切ったマネロン対応の「完全実施」