バーゼル銀行監督委員会が「電子バンキングにおけるリスク管理の原則」を公表
バーゼル銀行監督委員会(以下、バーゼル委)は、5月4日、標記ペーパーを公表した。以下では、ペーパーの概要等を紹介する。
バーゼル委は、近年、インターネット等を介した電子バンキングが急速に拡大していることに注目し、この分野の現状把握やリスク分析を行うため、99年11月、電子バンキング・グループ(以下EBG、議長はJohn Hawke米国通貨監督庁長官)を設置した。EBGは、各国における電子バンキングの進展状況や監督体制の把握、および電子バンキングを巡る課題の分析作業を行い、昨年10月、電子バンキングを巡る諸課題について銀行監督当局および銀行の注意を喚起することを主たる目的として、それまでの作業の成果を取りまとめたペーパーを公表した。当該ぺーパーは、EBGの活動の趣旨を説明した序文に、(1)クロスボーダー電子バンキングにおける監督上の課題、および(2)電子バンキングのリスク管理における監督上の課題、を扱った2つの白書を添付するという構成をとっている。序文では、EBGの今後の作業方針として、「電子バンキング業務におけるリスク管理のあり方に関する原則」を策定することが掲げられていた。この方針を受け、昨年10月の白書の内容に沿ってリスク管理の原則を纏める作業が進められ、このほど「電子バンキングにおけるリスク管理の原則(Risk Management Principles for Electronic Banking)」と題するペーパーが公表されることとなった。
バーゼル委は、テクノロジーの革新や銀行業務の変化が急速であること、またリスク・プロファイルは個々の銀行毎に異なることを考慮し、今回のペーパーで取り挙げたリスク管理原則は拘束性をもつものではないとしており、またベスト・プラクティスとも位置付けていない。バーゼル委としては、ペーパーをベースに、今後とも銀行界などとの対話を通じて電子バンキングに関するリスク管理向上を継続的に促していくことが重要であると考えている。従って、銀行界や銀行監督当局などからのコメントを継続的に受け付け、ペーパーの原則を適宜改訂していく予定である。
本ペーパーの要点は別紙のとおり。
(本件に関する照会先)
総務企画局国際課企画調整1係
(3506-6209, 内線3197,3198)
「電子バンキングにおけるリスク管理の原則」の要点
(1) 電子バンキングに伴うリスクの性質とリスク管理原則の必要性
技術革新と競争がもたらした結果として、今や非常に広範な銀行サービスが電子的なデリバリー・チャンネルを通じて提供されるようになった。電子バンキングは銀行に全く新しい種類のリスクをもたらすものではないが、○テクノロジーや顧客サービスの革新が急速である、○電子バンキング・ネットワークは広範かつグローバルな性質を有している、○ストレートスルー・プロセッシングなどマニュアル作業に極力依存しない事務処理体制が採用される、○アウトソーシングなどテクノロジー面での第三者への依存度が高い、といった電子バンキングの特性は既存のリスクの一部を増幅する傾向にある。増幅される可能性が高いリスクとしては、ストラテジック・リスク、オペレーショナル・リスク、リーガル・リスクおよびレピュテーショナル・リスクが挙げられる。
従って、既存のリスク管理原則は、電子バンキングにも適用可能であるとはいえ、電子バンキングの特性に照らして部分的に修正ないし補完される必要がある。バーゼル委はこうした観点から、銀行の安全かつ健全な電子バンキング業務を推進することを目的として、「14のリスク管理原則」を提示する。これらの原則は、○取締役会と経営陣による監視、○セキュリティ管理、○リーガル・リスクおよびレピュテーショナル・リスクの管理、の3つのカテゴリーに大別されている。
(2) 取締役会と経営陣による監視(原則1~3)
取締役会と上級管理職は、業務戦略を策定し、リスク管理体制を確立するために、以下のことを行うべきである。
- 原則1:
- 取締役会および上級管理職は、電子バンキング業務に関連するリスクに対して経営陣による実効的な監視が行われるようにすべきである。実効的な監視には、電子バンキングに関連するリスクを管理するための明確な責任・方針・プロセスを設定することが含まれる。
- 原則2:
- 取締役会および上級管理職は、銀行のセキュリティ管理プロセスの主要な側面について検討し承認すべきである。
- 原則3:
- 取締役会および上級管理職は、電子バンキングにおける銀行のアウトソ-シングやその他の第三者への事務委託を管理するため、包括的かつ継続的なデュー・ディリジェンスおよび監視のプロセスを設定すべきである。
(3) セキュリティ管理(原則4~10)
セキュリティ管理プロセスを検証する際、経営陣は特に以下のことに注意を払うべきである。
- 原則4:
- 銀行は、インターネットを介して業務を行う際に顧客のアイデンティティおよび権限の正当性を確認する 1 (authenticate the identity and authorisation of customers)ため、適切な手段を講じるべきである。
- 原則5:
- 銀行は、取引の正当性を確認する際に、取引否認の防止 2(non-repudiation)を促進し、電子バンキング取引における責任を明確化する手段を用いるべきである。
- 原則6:
- 銀行は、電子バンキングのシステム、データベース、アプリケーションについて、十分な職責分離が行われることを促す適切な措置を確保すべきである。
- 原則7:
- 銀行は、電子バンキングのシステム、データベース、およびアプリケーションについて、適切な権限コントロールおよびアクセス特権が設定されていることを確保すべきである。
- 原則8:
- 銀行は、電子バンキングの取引・記録・情報に関するデータの完全性(integrity)を守るため、適切な手段を講じるべきである。
- 原則9:
- 銀行は、電子バンキングの全取引について明確な監査証跡(audit trails)が保持されていることを確保すべきである。
- 原則10:
- 銀行は、主要な電子バンキング情報の機密を保持するため、適切な手段を講じるべきである。機密保持の手段は、送信される情報やデータベースに保存される情報の機密度に相応したものとすべきである。
(4) リーガル・リスクおよびレピュテーショナル・リスク(原則11~14)
リーガル・リスクおよびレピュテーショナル・リスクを防ぐため、銀行は以下のことを確保すべきである。
- 原則11:
- 銀行は、ウェブサイトにおいて十分な情報を提供し、顧客となる人が電子バンキング取引を開始するに先立って、当該銀行のアイデンティティや規制環境について十分な情報を得たうえで意思決定を行うことを可能にすべきである。
- 原則12:
- 銀行は、顧客のプライバシー保護に関し、当該銀行が電子バンキングの商品・サービスを提供している国において適用されている規則を遵守するため、適切な措置を講じるべきである。
- 原則13:
- 銀行は、電子バンキングのシステムとサービスの可用性(availability)を確保するため、取引処理容量、業務の継続性、緊急時対応について、有効なプランニング・プロセスを設けるべきである。
- 原則14:
- 銀行は、内外からのセキュリティ侵害など、電子バンキング・システムおよびサービスの提供を阻害する惧れのある予期せぬ出来事から生じる問題を管理・抑制・最小化するため、適切な障害対応計画を策定すべきである。
以上
1.本ペーパーにおける「正当性の確認(authentication)」とは、顧客となる可能性のある人物もしくは既存の顧客のアイデンティティないし権限を確かめるために用いる技術、手順、およびプロセスを意味する。「本人確認(identification)」とは、口座開設時に顧客の本人確認を行うために用いる手順、技術、およびプロセスを意味する。「権限確認(authorization)」は、顧客ないし被用者が銀行口座にアクセスする正当な権利を有していること、ないし、当該口座に関連する取引を行う権限を有していることを確かめるために用いる手順、技術、およびプロセスを意味する。
2.取引否認の防止とは、情報の受信者が受信の事実を偽って否認することを防ぐため、もしくは情報の送信者が送信の事実を偽って否認することを防ぐため、情報の出所と送達に関する証拠を確保することを意味する。
- 電子バンキングにおけるリスク管理の原則
サイトマップ
