SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT Compliance Reviewスペシャル

ITリスク管理からBCM(事業継続)への道筋を考える


システム障害、災害、テロなどが相次ぐ中、金融機関のITリスク管理やBCMは、一般企業より進んでおり、先行指標になり得ると言われている。果たしてその通りであろうか。金融業界の現状はどうなっているのか。どのように変化し、進展しているのか。また、特徴、管理のポイント、課題や問題は何か。考査等を通じて金融機関への働き掛けを行っている日銀マンが、これらの状況を取り上げて分析し、持論を披露する。

金融機関にみるリスク管理の歴史

日本銀行金融機構局 参事役 富永新氏
日本銀行金融機構局 参事役 富永新氏

 「金融機関のITリスク管理の流れを振り返れば、西暦2000年問題から資産の洗い出しが進展し、ITリスクが意識されるようになった」と語るのは、「ITリスク管理からBCMへの道筋を考える」と題して基調講演を行った日本銀行金融機構局の富永新氏。

 「2001年以降は安全性中心から安定性や信頼性へウェイトが拡大したが、そのような中、大手行の大規模障害が発生した。そして2005年頃からは共同センターの利用が隆盛を迎えるが、全銀システムなどの共通イベントでもリスクが発現し、やがてBCMへの本格的な取り組みが始まった」と続ける。

 このような環境変化に長年かかわってきた富永氏は、ITリスクの特徴として、「小さなプログラムミスでも業務全体を止めてしまうことと、特定企業で発生した障害が業界全体に影響する可能性があること」を挙げた。これらの特徴は金融機関以外にも明らかにあてはまると言える。環境は、メインフレームからオープン系システムへ変化している。この点に関しては、「従来と同レベルの管理を確保するためには技術の特徴や最新動向を理解した上での工夫が必要になる」と言及。そのような環境の中で、新たなリスクとして、「経営スピードとシステム品質のバランス、リスク対策議論の必要性、アウトソーシングの限界、社会的経済合理性の確保」などの問題意識が高まりつつあることを指摘した。

 また、ITリスク管理の要点として、適切性確保と、システムの安定性・信頼性・安全性確保の重要度は甲乙つけがたいが、「中でも、安定性が最も重視されている」と話し、「ITリスク管理の体制やプロセス、システム開発管理、安定性、安全性などは多くの企業が着目していると思うが、これからは外部委託先管理、緊急時対応、システム監査といった管理項目が手薄になるのではないか」と予測した。

BCMも新たな視点からの見直しが不可欠

 富永氏は、BCMを「事業継続」ではなく、「業務継続」と表現する。このことは、金融機関が、事業の存続というよりも、決済などの業務の継続に重点を置いていることを意味している。そんなBCMと、ITリスクはどこに交点があるのだろうか。

 富永氏は、「合理的で能率的なテスト手法の開発、事故を前提とする社会への対応、欠落データへの対応という面で交差している」と説明。さらに、続発する災害やテロの事例を列挙して、BCMの重要性の再認識を促した。その上で、「まず、『他社に勝つ』、『顧客のため』といった業務継続の目的を自ら明らかにすることが重要」と述べ、全員参加の体制、BCPの策定、経営資源の確保など、BCM整備のポイントを示した。

 金融業界ではほぼ9割がBCPを策定しているが、その管理体制ともいうべきBCMには弱いと言われている。BCMの強化に向けた課題として富永氏は第一に、「被災時の経営的損失など経営環境に応じた目的・目標を経営層の意思で決めているか、関係先や自治体と意識は合っているか、といった点の再確認が不可欠」と指摘し、第二に「実際に回るのか、訓練内容の実戦化と結果検証と、それらの計画への反映も大切」と付け加えた。

 最後に、最近のBCMの問題意識の中から「システムテストは実施するがBCMのテストが不足している。また、海外ではストリーワイド訓練(SWE)が盛んであるが、日本では『訓練はまだ早い』という本末転倒した考え方が少なくない」といった点を取り上げて、詳しく解説。これらの問題をクリアする新たな BCMの潮流に期待を寄せた

 今回の基調講演は、金融機関に基づくITリスク管理とBCMの発表であったが、一般企業にとっても大いに参考になると思われる共通点が数多く見受けられた。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT Compliance Reviewスペシャル連載記事一覧

もっと読む

この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/763 2008/10/17 17:37

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング