電子バンキングにおけるリスク管理の原則
2003年 7月
バーゼル銀行監督委員会
日本銀行から
以下には、エグゼクティブ・サマリー(日本銀行仮訳)を掲載しています。全文は、こちら (bis0307b.pdf 120KB) から入手できます。
日本銀行仮訳
エグゼクティブ・サマリー
技術革新の継続、および既存の銀行や新規参入者の間の競争によって、リテールおよびホールセールの顧客が、電子的デリバリー・チャンネル、すなわちこれらを総称した電子バンキングを通じてアクセスしデリバリーを受けることのできる銀行商品・サービスの範囲は大きく広がった。しかし、電子バンキングの急速な発展はリスクと利益の双方を伴う。
バーゼル銀行監督委員会は、銀行が、電子バンキング・サービスの基本的な特性や課題に照らして、慎重にそれらのリスクを認識し、対処・管理することを期待する。電子バンキングの基本的な特性には、テクノロジーや顧客サービスの革新がもたらす変化の予期せぬスピード、電子的なオープン・ネットワークの遍在性およびグローバル性、電子バンキング・アプリケーションと既存のコンピューター・システムとの接続、および、所要の情報テクノロジーを提供する第三者に対する銀行の依存度の高まりが含まれる。バーゼル委員会は、これらの特性によって本質的に新しいリスクが生じることはないが、銀行業務に伴う伝統的なリスクの一部が拡大・変化し、銀行業務の総合的なリスク・プロファイルに影響が及ぶと考える。特に問題となるリスクは、ストラテジック・リスク、オペレーショナル・リスク、リーガル・リスク、およびレピュテーショナル・リスクである。
バーゼル委員会は、上記の結論に基づき、既存のリスク管理原則は電子バンキング業務にも適用され得るものの、電子バンキング業務の特性がもたらすリスク管理上の特殊な課題に対応するために改良・工夫され、場合によっては拡大されなければならないと考える。このためバーゼル委員会は、取締役会および上級管理職が銀行の既存のリスク管理方針・手順について、既に実施中ないし計画中の電子バンキング業務を対象とするように見直し、必要に応じて手直しすることが必要であると考える。バーゼル委員会はまた、電子バンキングのアプリケーションを既存のシステムに接続するということは、銀行が行う全ての銀行業務を対象とする包括的なリスク管理アプローチが必要となることを意味すると考える。
こうした電子バンキング業務に伴うリスクへの対応を促すため、バーゼル委員会は、銀行がリスクの監視に関する既存の方針とプロセスを拡大し、電子バンキング業務をも取り込むための助けとして、14の「電子バンキングにおけるリスク管理の原則」を策定した。
これらの「リスク管理の原則」は、絶対的な規則として提示されるものではなく、「ベスト・プラクティス」ですらない。バーゼル委員会は、電子バンキングの分野においてリスク管理上の細部にわたる規則を定めることには弊害が伴い得ると考えている。このことは、テクノロジーや顧客サービスの革新がもたらす変化のスピードが速いため、そうした規則は短期間のうちに陳腐化する可能性が高いということに照らしても明らかである。従ってバーゼル委員会は、電子バンキング業務の安全性と健全性を促進すべく、監督上の観点から期待していること、およびガイダンスを「リスク管理の原則」として記述する一方、この分野における変化のスピード等を考慮に入れて、適用に際して所要の柔軟性を残しておくことを選択した。更にバーゼル委員会は、個々の銀行のリスク・プロファイルは異なっており、電子バンキング業務の規模、リスクの重大性、および、それらのリスクを管理する意欲と能力に相応したリスク削減手法が必要となることを認識している。すなわち、電子バンキングのリスク管理においては、"画一的(one size fits all)"手法は必ずしも適切ではない。
同様の理由により、バーゼル委員会が公表する「リスク管理の原則」は、電子バンキングに関して特定の技術的選択肢や基準を設定することは企図していない。技術的選択肢については、テクノロジーが進歩する中で、銀行および基準設定機関が検討すべきである。但し、本レポートの付属文書においては、「リスク管理の原則」を補足するものとして、電子バンキングの分野で現在広く用いられているリスク削減手法の例が幾つか示されている。
従って、本レポートに述べられている「リスク管理の原則」およびサウンド・プラクティスは、各国当局が手段として用い、必要に応じて各国固有の規則や個別銀行のリスク・プロファイルに照らして修正しつつ適用することを前提としている。一部の分野の「原則」は、バーゼル委員会ないし各国当局が銀行監督ガイダンスの中で既に提示してきたものである。しかし、アウトソーシング関係の管理、セキュリティ管理、リーガル・リスクおよびレピュテーショナル・リスクの管理といった問題については、インターネットというデリバリー・チャンネルの特性と影響に照らして、これまでに提示されてきたものと比べより詳細な原則が必要となる。
「リスク管理の原則」は、明確となるように大きく3つのカテゴリーに分けられている。各々のカテゴリーに含まれる論点は互いに重複している場合が多い。3つのカテゴリーとは、「取締役会と経営陣による監視」、「セキュリティ管理」、「リーガル・リスクおよびレピュテーショナル・リスクの管理」である。
・取締役会と経営陣による監視
取締役会および上級管理職は、銀行の業務戦略を策定し、経営陣による有効なリスク管理体制を構築することに責任を有するため、電子バンキング・サービスを提供すべきか否か、また如何に提供すべきか、ということについて、十分な情報を得たうえで明示的かつ記録に残るかたちで戦略的決定を下すことが期待されている。当初の決定には、リスク管理上の具体的な責任、方針、および管理手順が含まれているべきであり、対象となるリスクにはクロスボーダー業務から発生するリスクも含まれる。経営陣による有効な監視には、電子バンキング・システムおよびデータを内外の脅威から適切に保護するためのセキュリティ対策の構築・維持など、セキュリティ管理プロセスの主要な側面を検証し、承認することが含まれることが期待されている。また経営陣は、電子バンキングの重要な機能を発揮するため、アウトソーシングや第三者委託に伴い複雑化し拡大してきているリスクを包括的に管理するプロセスにも注意を払うべきである。
・セキュリティ管理
電子バンキングに関して適切なセキュリティ管理プロセスが存在することを確認する責任は取締役会にあるが、電子バンキングがもたらすセキュリティ上の問題は従来以上に大きいため、経営陣はそれらのプロセスの内容についても特別な注意を払う必要がある。経営陣は、セキュリティ管理の具体的内容として、適切な権限の付与(authorisation)、正当性確認(authentication)のための措置、システム上および物理的なアクセス管理、内外ユーザーの活動に対して適切な境界と制限を維持し得る十分なシステム的セキュリティ対策、および取引・記録・情報に係るデータの完全性(integrity)について注意を払うべきである。また、全ての電子バンキング取引について明確な監査証跡(audit trails)を有するべきであり、主要な電子バンキング情報については機密度に応じた機密保持措置が採られるべきである。
顧客保護やプライバシーに関する法規は国によって異なるであろうが、全ての銀行は、顧客が伝統的なデリバリー・チャンネルを用いる場合に期待し得ると同レベルの情報開示・顧客データ保護・業務上の利用可能性(availability)を約束する明確な責任を有する。自国内と海外において行う電子バンキング業務に伴うリーガル・リスクおよびレピュテーショナル・リスクを最小化するため、銀行はウェブサイト上において十分な情報開示を行うとともに、電子バンキング・サービス提供先の国において適用されている顧客プライバシー関連の規則を確実に遵守し得るように適切な措置を採るべきである。
・リーガル・リスクおよびレピュテーショナル・リスクの管理
銀行は、業務リスク、リーガル・リスク、およびレピュテーショナル・リスクから身を守るため、常時かつ迅速なサービス提供に係る顧客の高い期待ならびに取引需要の拡大可能性に対処して、電子バンキング・サービスを安定的かつ適時に提供しなければならない。銀行は、電子バンキング・サービスを全てのエンドユーザーが利用できるようにするとともに、そうした能力を如何なる環境においても維持することができなければならない。内外からのセキュリティ侵害など、電子バンキング・システムおよびサービスの提供を阻害する惧れのある予期せぬ出来事から生じるオペレーショナル・リスク、リーガル・リスク、およびレピュテーショナル・リスクを最小化するためには、障害発生に備えた有効な対策も極めて重要である。従って銀行は、顧客の期待に応えるため、取引容量、業務の継続性、およびコンティンジェンシーについて有効なプランを策定すべきである。また、業務の継続性の確保、レピュテーショナル・リスクの管理、および電子バンキング・サービスの中断がもたらす責務の削減を図るべく、適切な障害対応計画をも策定すべきである。
以上