英国における重要サードパーティに係る規制動向の紹介

金融庁がオペレーショナルレジリエンスに係る文書を発出したことから、日本国内の金融機関においてもオペレーショナルレジリエンスに対する取り組みが進んでいるものと思われます。

海外においても各国監督当局により金融機関を対象としたオペレーショナルレジリエンスに係る規制要件が制定・施行されており、英国においては2025年を目途として対応（重要サービスの中断時にも設定したImpact Tolerance＜耐性度に相当＞の範囲内でサービスの復旧・継続を実現）の完了を目指しています。

オペレーショナルレジリエンスに係る対応において、サードパーティ管理は特に強化を要する事項として認識されているものと思われます。

サードパーティ管理に係る文書としては2023年末に金融安定理事会（FSB）が「サードパーティリスクの管理とオーバーサイトの向上：金融機関と金融当局のためのツールキット」を発出しています。また、情報通信技術（ICT）に係るレジリエンス（特にサイバーレジリエンス）についてはEUのDigital Operational Resilience Act（DORA）が制定されています。

今回紹介する英国のCritical Third Party（CTP：重要なサードパーティ）規制はDORAと異なり、ICTに限定したものではなく、また監督当局がサードパーティを直接監督するものとなっています。その内容は金融機関に対して要請するオペレーショナルレジリエンスの要件にも類似するものであり、日本国内の金融機関が重要なサードパーティ（CTP）に対して何をどこまで求めるのかや、金融機関に重要なサービス・業務を提供している事業者がオペレーショナルレジリエンスを確保した態勢の構築を検討する上で参考になるものと思われます。

なお、本規制は検討の途上であり、今後詳細が確定していく予定です。

※以下の部分については、PwC英国作成の「Financial Services Regulatory Insights」の要約であり、詳細についてはリンク先資料をご参照ください。記載の正確性を保証するものではありません。

https://www.pwc.co.uk/financial-services/assets/pdf/regulators-propose-oversight-framework-for-critical-third-parties.pdf

今回の草案（コンサルテーションペーパー）の概要

重要サードパーティ（CTP）の特定

• CTPとは、自社の提供するサービスや業務の失敗、中断により、金融システムの安定性や信頼性が危うくなるサービスや業務を提供している事業者を指します。
• 当局は重要性、市場集中度、代替性を含むシステミックな影響力の要因などの要素を評価し、国として指定CTP制度を制定することを英国財務省（HM Treasury）に提案しています。当局は指定CTPを監督し、財務省に報告する予定です。
• 既に他の枠組みで監督されている事業者は対象外となる予定です（例：電力会社、通信事業者など）。

基本原則

当局は指定CTPに適用される6つの基本原則を提案しており、顧客企業に提供される全てのサービスに対する責任と義務の基盤となります。
1.インテグリティ（誠実性）、2.遂行能力と専門家としての注意義務、3.慎重な行動、4.効果的なリスク戦略と管理、5.責任ある組織としての業務管理、6.規制当局との協働

オペレーショナルリスクとレジリエンス要件（Operational Risk and Resilience Requirements：ORRR）

当局はCTPの重要サービスに関して、前回の当局意見で提案した8つORRR項目を詳述しています。主要な内容は以下のとおりです。

1. ガバナンス：CTPにおける監督当局との窓口として、専門知識と経験を有する権限ある役職員の任命。全ての役職員レベルでの明確な役割と責任の理解
2. リスク管理：リスクの特定、管理、評価の仕組みに関する社内規程を策定。組織横断的な確認、セキュリティ・インテリジェンス・ツールの見直しなど、継続的なリスクモニタリング
3. 相互依存関係やサプライチェーンのリスク管理：テストや再検証の実施、継続的なモニタリング、実際に発生した事故を想定したテストからの学習
4. テクノロジーとサイバーレジリエンス：テクノロジーとサイバーリスクの管理とオペレーショナルレジリエンス態勢
5. 変更管理：体系的な変更管理のアプローチ。導入前の徹底したリスク評価、文書化、テスト、検証
6. 相互連関性マッピング：業務プロセスに関わる経営資源（例：人、施設、IT）の特定と相互連関性マッピングの継続的更新
7. インシデント管理：耐性度（業務中断中に最低限維持すべき水準）、インシデント対応に係る手順とテスト。業界団体や当局が企画した、業界横断的なテストへの積極的な参加
8. サービスの終了：資産へのアクセス、返却など、CTPの重要サービスの終了に伴う対応

情報収集、自己査定、テスト、報告要件

当局は規制への準拠を継続するために、CTPに情報収集、自己評価、テスト、報告要件を課しています。

• 情報収集：最新の規制に準拠するための情報収集
• 自己評価：指定CTPへの自己評価提出、3年間の証拠書類保管義務
• テスト：業務特性に応じたストレスシナリオを用いた業務継続と危機時の対応手順書の年次テスト
• 通知：業務、機密事項、インテグリティに影響を与えるインシデントについての当局と顧客への情報提供義務

CTP規制の位置づけ、金融機関・事業者に求められる対応

• 規制草案は、委託金融機関にとっては、既存のオペレーショナルレジリエンス要求事項を補完するものです
• 委託を検討している金融機関は、CTPを使用するほうが安全であると安易に仮定すべきではありません
• 当局からCTP指定を受ける可能性がある事業者（潜在的CTP）は、当局による監督開始への準備を始める必要があります
• 本社が英国外にある潜在的CTPは、当局からの文書および法定通知を受領する権限を有する法人を指名する必要があります

潜在的CTPは、欧州のデジタル・オペレーショナル・レジリエンス法（DORA）および米国の銀行サービス会社法（BSCA）を含む、同様の制度の準拠性を評価する必要があります