“フィンテックブーム”の裏に潜む「サードパーティリスク」とは？対応方法を解説　大野博堂の金融最前線（6）

会員限定
2019/11/25 掲載

“フィンテックブーム”の裏に潜む「サードパーティリスク」とは？対応方法を解説　

大野博堂の金融最前線（6）

記事をお気に入りリストに登録することができます。

フィンテックブームの中で、金融機関はさまざまなカウンターパートとの連携を深めつつある。創業から日の浅い企業との連携もあり、従来とは打って変わった連携スキームが指向されている。また、クラウドなどが多用され、情報システム部門が直接関与しないITサービスの利用も進んでいる。かつてない規模とスピードで外部企業との連携やクラウド利用が進む中、金融機関が「新たなリスク」として留意すべきポイントについて解説する。

執筆：NTTデータ経営研究所パートナー金融政策コンサルティングユニット長大野博堂

93年早稲田大学卒後、NTTデータ通信（現NTTデータ）入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。飯能信用金庫非常勤監事。東工大CUMOTサイバーセキュリティ経営戦略コース講師。宮崎県都城市市政活性化アドバイザー。

フィンテックのシステムは世界中に広がったサプライチェーンを鑑みて構築されているだろうか

（Photo/Getty Images）

サードパーティリスクを意識しはじめた政府

　そもそものきっかけは、米国における華為技術（ファーウェイ）の問題だ。2019年5月以降、米政府はファーウェイ及び関連法人40数社が米国製半導体などを事実上調達不可となる輸出管理規則を適用した。

　米国政府及び政府機関との取引に関してはすでに2018年から同社製品の情報システムへの組み込みや実装、利用が制限されており、この規制がさらに強化された格好だ。背景には、情報システムを取り巻くサイバーセキュリティへの米国政府の懸念がある。

　たとえば、政府調達の大規模情報システムが、外部との接続チャネルなどにおける脆弱性を排除し、いかに高度化されたセキュリティを具備したとしても、そもそも情報システムに組み込まれている一部製品が「不自然な」動作をするようなことになれば、システム全体のセキュリティが担保できなくなるためだ。もちろん、ファーウェイによる明確な産業スパイ事案などは報告されておらず、米国政府の懸念の実態については知る由もない。

　このように米国では政府調達を中心に、情報システム開発や運用を直接に担うITベンダーに対し、情報システムに組み込む機器やソフトウェア製品へのチェック機能の強化を求めており、情報セキュリティ強化を御旗に他の同盟国にも同様の対応を呼びかけている。

　これは英、豪、カナダ、ニュージーランドが対象とされる。すなわち米国を含めた5か国間における諜報（インテリジェンス）活動から得られた情報の共有基盤「FIVE EYES」である。日本はこのFIVE EYESへの加盟を目指しているとされ、水面下では米国から同様の要請を受けているようである。したがって今後、政府調達の情報システムにおける事前のセキュリティチェックが厳格に運用されるであろうことが容易に推察できる。

諸外国におけるローカルルールの存在は意識しているか

　近年、企業活動のグローバル化に一層拍車がかかっており、進出国もこれまで中心であった中国から東南アジアへのシフトが進んでいる。このように、生産拠点としてアジア諸国が重視されるほか、低廉な労働力を背景として一部業務をアジア諸国に移管するBPOなどの動きが加速している。

　ただし、海外のサプライヤーや業務委託先がサプライチェーンの根幹に組み込まれている現状では、環境要因のほか進出先国における民族紛争やテロなど、これまで評価対象として認識していなかったような新たなリスクにも晒（さら）されている。

　一大消費地であることに加え、オフショアでのシステム開発や企業のデリバリー拠点としても重視されてきた中国では、2010年7月に国防動員法が施行されている。中国国内で有事が発生した場合に発令され、企業が保有する財産や資源は必要に応じて中国政府に接収されることとされている。

　また、交通インフラや金融機能についても政府もしくは軍の管理下に置かれるとされており、中国企業のみならず、外資系企業もその対象となっている。空港や港が閉鎖される見通しであることから、邦人の中国国外への出国も困難になろう。中国国内における有事は、我が国の企業の事業撤退リスクに直結する可能性が否定できないことに改めて留意が必要である。

　さらに、中国では2017年より国家情報法が施行された。中国人はいかなる組織や個人においても、中国の情報活動に協力する義務があると定められており、中国国外に居住する中国人もこの規制を受けると解釈される。先の米国におけるファーウェイを取り巻く問題も、これに触発された可能性が考えられる。

　そのほか、国によっては通信保秘に関するルールが整備されていないなど、当該国政府組織はもとより第三者による通信傍受が物理的に可能となっている恐れがあるとされるケースも存在する。こうした国に我が国の国民情報などが格納されたサーバなどが設置されていた場合、第三者による通信傍受の懸念も出てくることだろう。

　国民に関する情報が国内のITベンダーによって厳格に管理されていたとしても安心はできない。サプライチェーンを通じて第三者が当該情報を部分的にであっても取扱い、さらに第三国に設置されたサーバをクラウドサービスなどによって間接的に利用している、といったことがあれば、当該格納情報はもはや安全に保秘されているとはいえまい。

　こうしたケースを考慮のうえ、政府では情報取扱い方針を徐々に厳格化してきており、その過程において、いわゆる「サードパーティリスク」という概念が浮上したものと理解される。

海外のサプライヤーや業務委託先がサプライチェーンの根幹に組み込まれている現状では、環境要因のほか進出先国における民族紛争やテロなど「新たなリスク」が発生している

（Photo/Getty Images）

金融機関を取り巻くサードパーティリスク

　政府が取引先の政府や金融機関との取引に配意しようとしているのであれば、これを金融機関側の立場に当てはめた場合、どのようなケースが想定されるのであろうか。

　金融機関ではITベンダーとの取引に際し、従前より財務状況はもとより経営者の信頼性などについても十分に考慮されてきたことだろう。ただし、ITベンダーの開発体制が再委託、再々委託といった重畳的な体系へと移行する中で、金融機関としては再委託先などのチェックが十分に行き届かなくなる可能性も否定できない。

　とかく大規模システム開発などの場面においては、スタッフを一時的に大量雇用し、当該スタッフが重要システムの開発の一部を担う、といったシーンも想定される。このことから、委託先企業そのもののチェックはもとより、従事するスタッフ一人ひとりの属性チェックも今後は欠かせない。

　最近の中央省庁では、国の委託業務において実際に業務に従事する委託先企業の職員についてもフィルタリング機能などを用いた信用チェックを実施するのがデファクトとなっている様子がうかがえる。これは企業そのもののチェックだけでは情報管理上の「抜け漏れ」が生じることを懸念しているためだ。

　かたや金融機関をみると、昨今は新興企業との連携へと加速する風潮がみられる。「ほぼ完璧ではないか」とも思えるベストプラクティスともいうべき対応が施されている金融機関も存在するものの、すべての金融機関で同様のチェック機能が働いているとは限らない、といった点が金融庁の懸念材料となっているようだ。

【次ページ】新たなサービス利用形態で生じる金融機関の脆弱性