今月はNRIの新春フォーラムがあり、金融業界の重鎮が大勢顔をそろえました。フォーラムの後の懇親会で、参加した金融IT関係者の話題をさらったのは、三菱UFJフィナンシャル・グループ(MUFG)がAWS(アマゾン・ウェブ・サービス)を採用するというニュースでした(関連記事:三菱UFJがパブリッククラウド「AWS」採用、国内メガバンクで初)。「いよいよメガバンクがAWSを利用する時代になった。うちも真剣に検討しなくては」。大手金融機関の参加者が口々にそんなことを語り合っていました。
メガバンクに限らず、金融機関のクラウドサービスに対する関心はとても高まっています。銀行、証券会社、保険会社はいずこもAWSとMicrosoft Azureの比較表を作成したり、クラウドサービスのサービスレベル契約をチェックしたりしているのではないでしょうか。
金融当局のクラウドサービスに対する姿勢もずいぶん変わりました。自前のデータセンターではなく、パブリックなクラウドサービスに委ねることなどあり得ないという時代もかつてはありました。当局からすると検査権限というのは日本法に基づいているわけで、日本法が及ぶ範囲で全てをコントロールする必要があります。それに証拠を差し押さえると言ったら、物理的なハードウエアを差し押さえることを意味する時代でしたから、仮想環境にあるシステムの差し押さえなど想定できないということもあったようです。
ところが最近は金融庁も日本銀行も金融機関がクラウドサービスを利用しFinTechへ進出していくのを応援する動きが目立ちます。日本に限らず金融機関がFinTechへ進出して、国際的な競争力を強化していくべきだという考え方は世界の金融当局の共通した方向性となっているように思います。
ただしクラウドサービスを利用するには条件があります。金融機関としてのガバナンス、IT統制です。金融当局の金融機関に対する姿勢は今や一貫しています。クラウドだろうが自前データセンターであろうが、IT統制を確立する能力があることを金融機関に対して求めているだけです。しかしどうやってIT統制を確立するかは教えてくれません。どうやってIT統制を実現するかは問われず、結果的にガバナンスが確立できているかどうかだけが問題なのです。
IT統制といっても分かりにくい。具体的にどんなことをすれば金融機関はクラウドサービスを利用できるのでしょうか。
IT統制の基本的な考え方はいたってシンプルです(関連記事:ITILの掟が無用になる「ソフトウエアの時代」)。つまり金融機関としての業務が不測の事態にもきちんと行えるように、何らかの手立てを講じ、顧客に不利益が及ばないようにするというマネージメントのことです。金融機関は顧客のお金、財産を預かっていますから、公共性があります。顧客が不利益を被らないような手立てを十分に講じることは当たり前です。金融当局は検査を実施して、十分な手立てが講じられているかどうかをチェックする責任を負っています。
