金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第16回 米国・我が国の金融機関の課題(1)
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
(1) 米国金融機関の課題
米国金融機関でイノベーションが生まれにくくなっている現状
米国金融機関は、より洗練されたソリューションを顧客に提供するためにイノベーションを必要としている。しかし、規制は遵守しなければならず、顧客に対するサービスの安全性が大前提となる。そのため、開発段階でのテクノロジー・コストが膨らみ、純粋なイノベーションにかけられる開発時間と開発資金は相対的に小さくなり、顧客が求めるソリューションを的確に把握して開発時間と投資をフォーカスできるフィンテックスタートアップとの開発競争で太刀打ちできないケースが多々ある。その結果として、フィテックスタートアップとのコラボレーションに頼らないといけない状況が生まれている。
デジタル化とその弊害
ただし、フィンテックスタートアップのイノベーションを利用するには金融機関のデジタルシフトを加速させる必要がある。多くの金融機関では、ビジネスシステムのデジタル化はフィンテックイノベーションの利用により加速化し、現在、業務の更なる効率化をめざしてバックオフィスシステムのデジタル化が進行中である。デジタル化は金融機関の高コストで非効率的なレガシーシステムに対するソリューションである反面、テクノロジー部門の人員削減及びインフラのベンダー(クラウド業者も含まれる)へのアウトソーシングを加速化さる。人員整理とアウトソーシングにより金融機関のInstitutional knowledge(組織に蓄積される知識)を消滅せると共に、Supervisory responsibility(管理責任)能力の弱体化を招いている。この数年で米国の金融機関がシステム管理の不備で課徴金を支払うケースが増えている。多くの場合が長期間に渡って問題を発見できない場合が多い。これも人員整理とアウトソーシングにより金融機関のInstitutional knowledgeの消滅とSupervisory responsibility能力が弱体化した結果なのかもしれない。デジタル化の促進、Institutional knowledgeの消滅とSupervisory responsibility能力の弱体化が金融機関のサイバーセキュリティにどのような影響を与えるのかも注視していく必要がある。
なぜ米国でシステムに関連する行政処分が増加しているのか?
2016年12月、FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)は、度重なる報告ミスがあったとして、米ゴールドマン・サックスの清算・執行部門に対し、180万ドルの罰金を科した。FINRAによると、投資家が匿名で株式を取引でき、「ダークプール」とも呼ばれる、代替的取引システム(ATS)注文に関し、「かなりの」詳細を、情報追跡システムに報告しなかったとしている。また、8年以上にわたって、FINRAに不正確な注文データを送信したほか、違反行為を見つけ、未然に防ぐ監督体制が十分でなかったと結論づけた[1]。
2013年12月、米金融取引業規制機構(FINRA)は英バークレイズ・キャピタルに対し、最低10年間にわたり電子記録を適切に管理しなかったとして、罰金375万ドルを科した。バークレイズ・キャピタルは少なくとも2002年から12年にわたり、注文や取引メモのデータ、取引確認書、口座記録など、保存が義務付けられている多くの電子帳簿記録を適切なフォーマットで保存していなかった[2]。
詳細はわからないが、長期間問題が発見できなかったことから、いずれの事例も人員整理とアウトソーシングにより金融機関のInstitutional knowledgeの消滅とSupervisory responsibility能力が弱体化したことが原因の背景である可能性は高い。
規制強化による米国金融機関のリスク回避型のビジネスモデルの変更と報酬規制による人材の流失
世界金融危機以降、バーゼルIIIに基づく銀行への自己資本規制により、金融機関のビジネスモデルがリスク回避型へと大きくシフトした。その一方でFunding Clubのインターネットを介してお金を借りたい人や企業と、お金を貸して利益を得たい投資家とを結びつける仕組みを利用することで、投資家は規制を受けずに、銀行より高いリターンを享受できる。自己資本規制を含めてコンプライアンス規制のハードルが高い金融機関では、フィンテックスタートアップのような自由な発想によりイノベーションは起きにくい状況にある。更に、世界金融危機以降の過剰なリスクテイクを促す報酬制度は、銀行経営の健全性や長期的な成長性を危うくするものとして、報酬規制が進められたことにより金融からテクノロジーやフィンテックスタートアップへの優秀な人材の流失が発生した。実際に米国のフィンテックスタートアップの経営者の中には、以前金融機関に勤務して顧客のニーズと金融の仕組みを理解しソリューションを提案・提供できる人材が多い。
好調だったフィンテックに対しても規制強化の動きが見られる?
その一方でフィンテックスタートアップにもコンプライアンス規制に関して意識をせざるを得ない状況が発生している。OCC(The Treasury’s Office of the Comptroller of the Currency/米通貨監督局)は昨年12月に、フィンテック企業にSpecial purpose national bank charter(特別銀行業認可)の申請を認める(申請は義務ではなく、選択である)ことを公表した。認可を受理したフィンテック企業はOCCの管轄下に入る。2016年6月、CFPB(Consumer Financial Protection Bureau/消費者金融保護局)はオンライン貸付サービスを展開するフィンテック企業に影響を与える少額貸付に関する新ルールを導入した。2016年9月CFPBは Flurish Incに183万ドルの返還と180万ドルの民事制裁金を科した。優遇条件での貸付が可能と全国ネットで宣伝しながら、実際はカルフォルニア州外の顧客には優遇条件は適用されなかった。CFPBはこの誤認勧誘を含む複数の不公正行為があったことを公表した。同社は米国には給料日までの高金利でつなぎ融資をするペイデイローン(Payday Loan)という45日以下の短期ローンサービスがある。同社はこのペイデイローンをオンラインで受付け、即時に融資するLendUpと呼ばれるフィンテックスタートアップであった。CFPBはフィンテックスタートアップに対しても消費者保護の為には銀行と同じ基準で不正行為には対応する必要があるとの意思を示した[3]。
金融機関とフィンテックとのコラボレーションの課題
フィンテックスタートアップが金融機関のコンプライアンス規制の枠の外で自由な発想で開発したイノベーションを金融機関で利用する場合には、開発段階で金融機関のコンプライアンス規制に適合するかどうかの検証が必要となるが、フィンテックスタートアップにはコンプライアンス・リソースが不足している。フィンテックスタートアップがサイバーセキュリティを含む金融機関のコンプライアンス基準を熟知していない場合、金融機関がどのようにフィンテックスタートアップと共存していけるかは、金融機関のサイバーセキュリティフレームワークにも大きな影響を与えるものと考える。
米国金融当局の悩み
米国金融当局はフィンテックスタートアップのイノベーションの創造力を後退させてはいけないという命題と顧客の安全性保護という2つの命題の間で難しい舵取りを行なっているが、両者が合意するベストプラクティスの構築は容易ではなく、不透明な部分が大きい。
[1] http://jp.wsj.com/articles/SB10412567118926353716304581134490177143876
[2] http://jp.wsj.com/articles/SB10001424052702304299204579283230404812004
[3] http://www.wsj.com/articles/fintech-upstart-lendup-fined-by-cfpb-california-regulator-1474993380