開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • コロナ禍の今こそ見直すタイミング、「金融機関のBCP」を再検討する

  • 会員限定
  • 2020/05/01

コロナ禍の今こそ見直すタイミング、「金融機関のBCP」を再検討する

大野博堂の金融最前線(17)

現在、多くの金融機関では事業者向けの緊急融資対応で大変な激務が続いている。また、日本政府からの要請によるテレワークにも対応せざるを得ず、店頭業務に従事する要員の確保が課題になるというジレンマに苛まれている。パンデミック発生時の対応や行動は、そもそも「事業継続計画(BCP)」で定義される緊急時対応手続きに沿って実施されるものだ。本稿では、金融機関におけるBCP対策の在り方を整理する。

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。

photo
コロナ禍の今こそBCPを見直すタイミングだ
(Photo/Getty Images)

まずは「BCP」「IT-BCP」の違いを理解しよう

 BCPとは、組織が自然災害や大火災、テロ攻撃などの緊急事態に遭遇した場合に備え、平常時に実施すべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことを指す。

 サイバー犯罪を含めた外部、内部からの攻撃や情報搾取への備えは、BCPの構成要素である「IT-BCP(CP)」対応リスクの一類型として既に整理されている。また、BCPで対象とするリスクについては、金融情報システムセンター(FISC)のCP策定ガイドラインや金融検査マニュアルなどで定義されている。

 ただし、可視化された状態での整理がないため、「BCPがどこまで、CPが何をカバーするリスクなのか」といった部分でさまざまな解釈が生まれている。

 以下の図は、NTTデータ経営研究所で定義したBCP、IT-BCP、さらにはサイバーセキュリティ対策手順の構造である。

画像
図1:BCPとIT-BCP、サイバーセキュリティ対策手順の位置付け
(出典:NTTデータ経営研究所作成)

 BCPが有事の際の金融機関全体の行動基準や手順を定めた計画文書、および手順書であるのに対して、IT-BCP(もしくはCP)はBCPで想定するリスクのうち主にシステムリスクを対象とした行動手順を定めた手順書として位置付けられる。

 さらに、サイバー攻撃などへの対応手順は、IT-BCP(CP)で定義する対応手順の1つとして定義されると理解できる。

 他方、金融機関の対応状況を点検すると、BCPは存在しているものの、IT-BCP(CP)に該当するものが存在していなかったり、中には「システム復旧マニュアル」で代替している場合もある。システム復旧マニュアルにしても、システムエンジニアしか読み解けないようなコマンドが羅列されたシートしか用意されていないケースもあり、外形的な手順書として整備されていない金融機関もある。

 ただ、金融機関の多くが基幹システムをアウトソーシング、もしくは共同利用している現状において、システム対応手順の策定も委託先ベンダーに依存しているケースが多いことだろう。

 必ずしもそのような対応が誤りだとは言えないまでも、有事に際しては迅速な判断が求められ、判断の拠り所となるマニュアルの需要が高いはずだ。また、手順書などを構造化して整理しておかない限り、更新作業もままならず、さらにはBCP訓練やサイバーセキュリティ演習を実施しようにも難しいだろう。

そもそも金融機関のBCP構造はどうあるべきか

 BCPの実装手法としては、「シナリオベース」と「リソースベース」の2パターンが存在する。

 シナリオベースとは、異なる発生事象をリスクごとにパターン化・モデル化し、それぞれを起点に対応手順を紐付けて定義する策定手法である。リスクごとに異なるシナリオを策定する必要があるものの、初動からの対応手順を詳細化しやすい。

 ただし、たとえば、大地震を特定リスクとして取り上げた場合、「どこで起きるのか」といった視点で、リスクの発生ケースを網羅的に捕捉し、シーンに分解定義する必要がある。また、リスクごとに手順書を分冊化する必要があるなど、ドキュメントの策定量が増加する傾向がある。

 リソースベースでは、「本店」「システムセンター」「電力」などインフラや特定リソースが利用不可となった場合を起点に、対応手順を定義するBCPの策定手法だ。主に英国などを中心に発展してきたモデルである。リスクごとに複雑化する被災パターンを数多く想定する必要がなく、対応手順を定義しやすいのが特徴だ。

 ただし、「何かが壊れた」「何かの機能が損なわれた」といったリソースに影響が生じた時点から対応手順が定義される例が多く、本来必要となる情報収集段階などのシーンにおける初動部分の手順定義が漏れる傾向がある。

 たとえば、「地震は発生したが重要な設備は壊れていない」「地震が発生し、重要な設備が使えなくなる寸前」「地震が発生したが、重要な設備が完全に壊れたかどうか分からない」など、リソース自体が直接の影響を受けていない場合や、損壊程度を把握するための事前対応手順が定義されない、といった例がみられる。

画像
図2:シナリオベースとリソースベースの比較
(出典:NTTデータ経営研究所作成)

【次ページ】BCPのドキュメント構造とIT-BCP(CP)との連携

お勧め記事

トピックス

IT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!