金融庁「ITガバナンス論点整理」改定案の中身、新項目「ITリスク4種」とは？

銀行や保険会社が対象の「IT論点整理」

　銀行や保険会社が対象の「IT論点整理」は、現在では廃止されている旧検査マニュアルの代替として、法令としての強制力をもたないディスカッションペーパーの位置付けで2019年に初策定。デジタル化に向けた取り組みはあくまで各事業者の経営判断に委ねられる（裏を返せば、DX施策に関する各社の判断について金融庁は最終的な責任を引き受けない）ことを前提に、めまぐるしく変化を繰り返す時代状況に適した戦略の立て方、進め方について、事業者との対話で用いる材料としておおまかな考え方を打ち出しています。


　今回の改定案は、基本的な構成については現行版を踏襲しつつ、新型コロナウイルス感染拡大によるDX機運の高まりやサイバー空間におけるリスクの多様化などを踏まえ、関連箇所の記載内容を一部修正、拡充しています。特に記載内容が大きく変わったのが、DX（原文でDXと区別される「IT化」を含む）のコストとリスクの評価方法、そしてレガシーシステムの取り扱いに関連する部分です。

投資検証の“2段階整理”を明確化

　まずはDXに取り組む上で避けては通れないコストの問題、あるいは投資額の問題について、改定案において記載ぶりがどのように変わっているかをみてみましょう。


　従来版のIT論点整理でも、デジタル化に向けた投資の対象や規模に関しては、主要な戦略についてROI（投資収益率）等の指標を用いて検証を求める旨の記載がみられます。改定案ではこの部分について、次のように記載を拡充しています。


　一方、直接的に短期的利益に結び付きにくい案件（「実証実験（PoC）の段階や中期的な観点で対応が必要な戦略案件」）については、収益の目途がつくまでの間、「特性に応じたKPI（定量的指標）を設定して計画対比をモニタリングすることも考えられる」と記しています。基本的にはROIなどの一般的な指標の使用を求めつつ、中期的な施策については一時的に、客観的に比較可能な独自指標を許容するという従前の2段階整理をいっそう明確化することで、事業者にメリハリのある投資行動を促す考えが伺えます。

◇IT投資管理関連部分の新旧対照表

旧	新
IT投資については、ROI等の指標を用いた事前評価・事後評価を行い、実証実験（PoC等）後の実用化や必要に応じてサービス自体の廃止を行うなどのPDCAを回すことが重要である。一方、戦略的なIT 投資案件の判断を行う際、短期間ではROI 目標を達成することができず、戦略的なIT 投資案件が採用されないことも考えられる。こうしたことから、経営戦略にとって中長期的に重要なIT投資を行う場合の評価指標・手法を確立していくことが重要となる。	戦略的なIT投資額及びそれに含まれるDX案件の投資額について、中期計画と年度予算を定め、全社的な戦略案件の起案から審議、投資意思決定までが迅速に実行できるようなプロセスを整備することが重要である。投資後の進捗管理においては、将来収益が得られる案件や事業であれば、ROI（ReturnOnInvestment：投資収益率）等の指標を用いて評価を行い、進捗状況に応じてリソースの増強やサービスの縮小・撤退を判断するPDCA16を回す必要がある。一方で、実証実験（PoC）の段階や中期的な観点で対応が必要な戦略案件は、収益化の目途が立つまでの間、特性に応じたKPI（定量的指標）を設定して計画対比をモニタリングすることも考えられる。

　また、投資余力が限られている場合については、「他行と連合して共通要件を見定めつつ、各種機能の共同利用や適したプラットフォームに相乗りすることが考えられる」との記載も追加しています。 【次ページ】ITリスク4種と対応例を新たに提示