本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
欧州の金融監督当局が18日、大手IT企業19社に一斉に連絡を入れた。アマゾンのクラウド部門Amazon Web Services(AWS)やGoogle Cloud、Microsoftなど、銀行システムを支えるクラウドや通信の事業者を「金融にとって重要な外部ITプロバイダー」と公式に認定したのだ。今年1月に適用が始まったデジタル運用レジリエンス法(DORA)に基づき、彼らは今後、銀行と同じ監督テーブルにつくことになる。
19社指定で浮かぶ「単一障害点」への不安
指定を行ったのは、欧州銀行機構、欧州保険・年金監督機構、欧州証券市場監督機構という3つのEUレベルの監督当局だ。対象には、AWS、Google Cloud、Microsoftに加え、Bloomberg、London Stock Exchange Group、IBM、Orange、Tata Consultancy Servicesなどの欧州拠点が含まれる。いずれも金融機関の基幹システムや市場データ、ネットワークを担う事業者であり、障害が起きれば多くの銀行や証券会社に同時に影響が及びかねない存在である。
当局はこうした企業を「クリティカル(重要)」と認定することで、リスク管理やガバナンスの体制、サービス継続計画などを直接点検できるようにする。背景には、金融機関が自前のシステムからクラウドへ急速に移行し、少数のIT企業に依存する度合いが高まったことへの警戒がある。欧州中央銀行は同日、地政学リスクやサイバー攻撃、技術障害が銀行セクターの安定を揺さぶり得ると指摘しており、今回の指定はその懸念に具体的な手を打った形といえる。
DORAが描く監督の新しい輪郭
DORAは、銀行や保険会社、証券会社などのIT障害への備えをEU全体で底上げするための枠組みだ。2025年1月から適用が始まり、システム障害の報告ルールやサイバー攻撃への備えに加え、今回のように金融インフラを支えるIT企業を「重要サードパーティー」として監督下に置く仕組みを導入した。指定された企業には、リスク管理方針や障害対応計画、データの安全性、バックアップ拠点の在り方などについて、詳細な情報提供や検証への協力が求められる。
EUはこれにより、従来は契約先にとどまっていたIT企業を、実質的に金融インフラの一部として扱うことになる。英国でも似た制度づくりが進むが、具体的な企業名が示されたのはEUが先行だ。日本の金融機関にとっても、欧州で事業を行う際には、利用するクラウドや市場データサービスがどのような監督を受け、その結果としてどのような追加要件が課されるのかを意識せざるを得なくなる。金融とテクノロジーの境目は、静かに、しかし確実に書き換えられつつある。
