海外金融業界動向 “Business Continuity Planning(BCP)”

2001年に起こったニューヨークの同時多発テロは米国のみならず全世界の金融システムの中心となる地域を数日間にわたって機能停止させるという歴史上ない出来事でした。もちろんバックアップサイトを確保、設置している金融機関や組織もありましたが、被害が広範囲に及んだために期待していた効果を十分には発揮できませんでした。こうした事態を貴重な教訓として、米国では情報システムのみならず「業務の継続性」という意味で「BCP（Business Continuity Planning）」に対する積極的な取り組みが金融業界や金融監督当局で行われています。そこで、今回は特に米国の金融業界においてBCPという課題に対してどのような取り組みがなされているのか、その概要をご紹介しようと思います。

BCPに関する規制やガイドライン

2001年9月11日の同時多発テロ以降、米国ではさまざまな規制監督当局や業界団体によって各種のガイドラインや規制が打ち出されています。代表的なところでは、米国連邦金融機関検査協議会（FFIEC：Federal Financial Institutions Examination Council）による「BCP Handbook」の他、連邦準備制度理事会（FRB）、米国証券取引委員会（SEC）および通貨監督庁（OCC）が公表した「Interagency White Paper on Sound Practices to Strengthen the Resiliency of the US Financial System」（米国金融システムの復元力の強化に関する白書：通称BCP白書）などがあります。特に、証券取引所を監視・監督する立場として、米国証券取引委員会はPolicy Statementという形式で「Business Continuity Planning for Trading Markets」を策定している他、全米証券業協会（NASD）とニューヨーク証券取引所（NYSE）も別途、 BCP Rulesを定めています。

BASEL�やSOX法などの対応からも求められるBCP強化

目下、オペレーショナル・リスク管理の対応策を求めているBASEL�の他、2002年に発生したエンロンやワールドコムの倒産を受けて、投資家に対する財務情報の透明性確保を目的に制定されたSarbanes-Oxley法（通称SOX法）などは、金融機関経営の健全性や安定性をめざすと同時に「業務の継続性」も重要なテーマとして取り上げています。

SOX法404条では、財務報告に関する内部統制状況を経営陣がチェックすることを義務付けており、明示的にIT利用を前提としている訳ではありませんが、会計監査法人はIT適用を暗に示唆するものと解釈しており、情報の質的確保やBCPなども包含されるとしています。つまり、テロや自然災害等の状況下であっても、当局への報告や情報開示が中断されることがあってはならないというタイムリーな情報提供を義務付けられています。リスクマネジメント、リスク管理および財務報告についても同様であるとしています。

BCPへの取り組みで先行する取引所

既に述べたように、全米証券業協会（NASD）はBCPで規定すべき事項として次の8項目を求めています。すなわち、（1）データおよび現物のバックアップと復旧の対策、（2）基幹業務システムのバックアップと復旧の対策、（3）財務的や業務的な観点からの定期的な評価・見直し、（4）取引所会員との代替的な通信手段の確保、（5）取引所職員との代替的な通信手段の確保、（6）重要な会員証券会社、銀行およびその他取引相手との間の代替的な通信手段の確保、（7）当局に対するBCPの取り組みについての報告、そして（8）災害時においても通常と同じように当局報告が可能なことなどを定めています。

実際に、2001年9月11日の同時多発テロにより、トレーディングなどすべての業務が影響を受けたニューヨーク商品取引所（NYBOT ：New York Board of Trade）は、マンハッタンから離れたQueens地区などに複数のバックアップサイトを設置しておいたおかげで、24時間以内に業務を再開することができました。これも1993年に世界貿易センター・ビルの最初の爆破事件が起こった際に経験した教訓を元にコールドサイトからホットサイト、そして複数箇所への分散化という対応策を強化してきた成果と言えます。

求められるわが国金融機関の対応

数年前からわが国金融機関でもBCPの導入が始まっていますが、既に米国の事例で述べたように依然として拡充すべき事柄は残されているものと想定されます。そのような観点からポイントとなる点を幾つか列挙しておきます。

第一には、わが国では大規模地震は今や「不測の事態」ではなく、確率の高いリスク要因となっています。従って、より具体的かつ定量的な影響分析を行っておく必要があるでしょう。単に、システムの継続運用という範疇に留まらず、いわゆる「業務継続性」の観点からの万全な対応策の策定が求められています。第二に、そもそも金融システムは様々な機関や組織が整合性を取りながら行われるという性格からすると、たとえ一部の金融機関だけが立派なBCPを策定したとしても金融システム全体である一定の水準を達成できなければ本来の効果は発揮されません。従って、金融業界も監督当局と連携しながら金融システム全体の観点から「業務継続性」をいかに実現するか論議を尽くすと同時に業界全体の調和を図る意味でベンチマーキングなども行うべきでしょう。そして、最後には、それらの取り組みに対して的確な予算措置をこうずるべきだろうと思われます。

3年前のニューヨーク同時多発テロでは米国資本主義の象徴とも言える証券取引所が被災して数日間取引停止に追い込まれるなど歴史的に大きな教訓を残しました。翻って、わが国金融業界は幸いにもこれに相当するような大規模災害に見舞われることなく今日に至っています。しかしながら、現在の金融システムはますますコンピュータに依存する度合いを強めていることから、これからの金融業界にはシステムの継続性のみならず、業務全体の継続性を保証できるような取り組みが今まさに求められているのではないでしょうか。

田村 雅靖（たむら まさやす）
金融コンサルティング事業部 ;プリンシパルコンサルタント
1979年富士通(株)入社。1986年(株)富士通総研へ出向。銀行、証券、保険およびノンバンク（クレジット・信販、リース）など広義の金融業界の顧客向けに「経営管理」や「マーケティング」などのアプリケーション企画、ソリューション企画などを中心としたビジョン策定型、問題解決型コンサルタントとして活動、現在に至る。
中小企業診断士、システム監査技術者、特種情報処理技術者、富士通コンサルタント認定資格：シニアマネジングコンサルタント(経営)