- 会員限定
- 2025/09/10 掲載
金融庁のAI推進で露呈…「規程類が化石化する金融機関」の末路とは?
大野博堂の金融最前線(90)
金融庁がAI活用を掲げる今、金融機関に突きつけられているのは「規程類の陳腐化」という厄介な現実だ。リスクアセスメントが10年前のまま放置、サイバー演習では“想定外の無力さ”を露呈……。最新AI検索機能を導入しても、肝心のマニュアルが古ければ意味をなさない。では金融庁が求める“最低でも年1回”の見直しにどう向き合うべきか?
93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融システム監査の要点」(経済法令研究会)「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。飯能信用金庫非常勤監事。東京科学大学CUMOTサイバーセキュリティ経営戦略コース講師。宮崎県都城市市政活性化アドバイザー。
(Photo/Shutterstock.com)
放置厳禁!まずやるべき“規程の健康診断”
経営コンサルタントに寄せられる相談事項でもこのところ多いのが、規程類やマニュアルの評価や見直しに関するものだ。なかでもリスク管理系の規程類、とりわけシステムリスクやBCP/IT-BCPに関する規程類は種類も多く、一度定義してしまえば放置されることも珍しくなく、気付いたら記載要件の重複や抜け漏れに悩まされることになる。昨今、金融庁は定期的な規程類の見直しを要求している。「定期的な」の解釈はあれど、現実的には毎年見直しと修正を加えなければならないのが現実だが、果たして、こうした作業では何をよりどころとすべきなのだろうか。
FISCでは「金融機関のためのコンティンジェンシープラン策定のための手引書」を公表しており、金融機関には当該手引書を用いたリスクアセスメント作業を要請している。
具体的には、金融機関を取り巻くリスクを原因系に着目し、「内部起因のリスク」「外部起因のリスク」と峻別して定義。それぞれの発生確率やリスク発現時に金融機関が受ける影響の大きさを定量的に評価するよう促している。
発生確率が高く、自行庫にとって影響が甚大なリスクについては優先的に対応方針を整えることになるのだが、中には「10年前に実施したアセスメント結果をそのまま採用している」といった金融機関もみられるのが実態だ。
すなわち、リスクアセスメントが陳腐化した結果、リスクへの対応がおざなりになってしまっているようにもみえる。
もともと金融機関はマニュアル策定を重視する文化が形成されており、いかなるレギュレーション変化にも素早く人的資源を投入して呼応し、仔細な事務マニュアルを定義してきた。ところが、たとえばサイバーセキュリティ管理においてはこの対応が必ずしも十分とは言えない状況にある。
大手金融機関はまだしも、多くの地域金融機関が「サイバーセキュリティマニュアル」の策定に手こずり、有意な解を見出せずにいるのだ。中には中央機関が例示した参考様式をそのまま利用した結果、「自行庫に固有のリスク」のアセスメントが抜け落ちていたり、そもそも自行庫の組織構造では取りえない対応手順がマニュアルの中に組み込まれていたりしまっていたりする。
この結果、サイバーセキュリティ演習を実施しても、本来必要な行動が再現できず、有事の際の大きな課題として横たわることとなった。
(出典:金融庁 金融分野におけるITレジリエンスに関する分析レポート」)
金融セキュリティのおすすめコンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
金融セキュリティの関連コンテンツ
あなたの投稿
PR
PR
PR
