◇ コンプライアンスとIT ◇


コンプライアンスは金融機関経営にとって最優先課題の一つとなりました。ITによる課題解決支援が期待されるところですが、実際には営業現場を混乱させ、後方の負担を増している事例が見られます。それは、個々の法規に対して局所的IT対応を繰返すことに原因があります。経営陣による基本方針の提示と関連法規横断的なコンプライアンス・プロセスの体系化が必要だと考えます。

(本レポートは、NTTデータ社の金融電脳月報2007年12月号への寄稿に加筆したものです。)

 

. 拡大複雑化する法規制

金融機関におけるコンプライアンスは、従来以上に事業の存続発展に重要な要素となっており、仮に違反した場合に被る損害と制裁は、極めて厳しいものとなっている。近年では、個人情報保護法や預金者保護法のように、顧客のプライバシー保護やハイテク犯罪による損失補償を義務付ける法制度化が行なわれた。販売方法についても利用者保護の観点から金融商品販売法が制定され、更に、金融商品取引法による罰則規定も施行された。一方でテロ集団や犯罪者の資金ルートを遮断するための改正外為法、本人確認法(アンチマネロン)が施行され、今年、犯罪収益移転防止法として整理強化された。インサイダー取引犯罪も増加している。しかし、持ち株会社制や事業提携が拡大複雑化するとともに、インサイダー要件に該当する顧客の特定も難しくなる一方である。また、公共性と収益性の両立を要求される金融機関には、オペレーショナル・リスクを含めたBIS規制対応や新会社法、金融商品取引法などによるJ−SOX対応も要求される。これら関連法規は、銀行法など業法との整合性をとりながらも、最少公倍数的対応が必要となるので、金融機関におけるコンプライアンス関連の人的、精神的、費用的負担は限界に達しつつあると思われる。米国調査会社タワー・グループの調査によれば、IT費用に管理コストを加えたコンプライアンス・コストは2003年以降、急上昇しており2007年には3500億ドルを超えるという。実に40兆円という巨大な費用(市場)である。日本は、その8から10%であるので、3兆円から4兆円となる。IT費用が三分の一としても、大きな経費項目である。ただ、わが国コンプラITコストは、まだそこまで増えていない。英国における金融業界の規制対応コストは全経費の20%を超えるとされているが、わが国でも同様の水準となるのではあるまいか。避けたい費用ではあるが、違法行為による行政処分や社会的制裁を受けた場合のコストと企業イメージへの損失は膨大なものである。場合によっては、市場からの撤退を余儀なくされる場合すらある。ITマターとして扱うのは余りに不合理であり、経営マターとして経営トップの主導が不可欠である。

これら法規やガイドラインは、その時々の社会的政治的要請に応じて時間差をもって導入されてきた。結果として、金融機関は新法規毎に対応策を実施し、IT対応もバラバラとなっている。手続きの重複や不整合は、顧客利便性の大巾低下と取引コスト増となるが、一番の負担者は金融機関の現場担当者であろう。研修、システム操作訓練、事務量増加に加え、顧客や社内の同僚上司との軋轢も増えているようである。この状態を放置すれば、社員のモラルダウンや転職希望者の増加が懸念され、サービス産業としての体をなさなくなる恐れがある。ITには、こうした状況を改善する役割が期待されるが、現実には、むしろ事態を悪化させている可能性はないだろうか?

 

. 現状は局所対応のコンプラ対策

例えば、個人情報保護法施行の際に、操作担当者のアクセス権限管理、操作内容のログ管理、暗号化などのソフトウェアが導入された。また、スパイウェアやウィルス対策ソフトが相次いで導入され、IT機器の利便性も大きく制約された。営業カウンターでは、顧客の本人確認手続きが厳格化され、事務作業も記録文書も急増した。ATMでの取引金額上限が厳格化され、窓口での取引が増える。振りこめ詐欺を防止するために高齢者の資金移動には細心の注意を払い、それが顧客とのトラブルを誘発する。こうして窓口の負担は増すばかりである。管理職から法令遵守を強く求められる担当者は、ミスを犯せば自分が刑事事件の犯人として扱われるのではないか恐怖感を抱くという。後方では、アンチマネロン・ソフトが導入され、疑義のある顧客取引に対する確認作業が増えている。ネットバンキングにおいても、フィッシング対策ソフトや本人確認手法が複数種類導入されている。金融商品取引法に至っては、適合性確認や商品選択支援、文書交付手続管理などのためのシステムが導入されつつある。貸金業法や割賦販売法の改正によって、個人向け与信に総量規制が導入されることになっている。個別顧客の収入や財産情報、日常キャッシュフローや金融運用方針情報などが紙ベースで発生し、データベースに重複して入力・保管される。個人情報保護法の観点からは、情報流出リスクが高まっている。かつては、買ってでも欲しかった情報が、今日では地雷原となりつつある。

IT投資の側面から見れば、これらソフト導入コストだけでなく、システム全体の運用管理が複雑となり、近い将来、保守運用上の大問題となることが予想される。1980年頃に設計され、現在も使われている第3次オンラインは、ハードがメインフレームであろうがオープン系サーバーであろうが業務処理体系は変わっていない。業務処理は商品別の縦割りであり、顧客の属性や取引データなどは統合DB化されている。つまり、プロセス別に体系化されていないのである。その為にコンプライアンス対応プロセスを商品別の業務処理プログラムに個々に組みこむか、全く独立した別システムにしてホスト内で各業務処理プログラムと連動させるほかない仕組みである。担当者は複数のPCやプログラムを同時に使い分ける必要がある。ウィンドウズPCが主に使われ、ウィンドウズのバージョンを変える際には、各ソフトの相互可用性と移行性に問題が生ずるだろう。今後、コンプラインス関連の事務負担が減ることは考えられず、むしろ増加するだろう。極論すれば、金融機関が長い歴史を通じて築き上げてきた事務システムが、コンプライアンス対応によって機能不全に陥ることが懸念されるのである。その場合、現在の事務規定を前提としている勘定系、業務系といった基幹システムが機能しなくなることを意味する。今では死語となった事務論の復活が望まれるが、スキル・経験を有する人材は稀有である。

 

. 多種多様なコンプライアンス関連技術は更に発展する

トラブルが発生した場合に備え、全ての顧客折衝の音声、映像を保存しようとする金融機関がある。その膨大なイメージ・データに対する検索技術を磨くITベンダーがいる。音声をテキスト化し、それに対する自然言語検索、動画における顔面照合や不自然動作の自動検出などである。これでコンプライアンスが確立できるとは到底思えないが、導入機運は高まりつつある。テクノロジー・ドリブンが悪いとは言えないが、業務全体を見ないテクノロジーはいずれ無駄か邪魔になる。

コンプライアンスに関連する技術はまさに多種多様である。認証、アクセス権限管理、セキュリティ(ネットワーク/アプリケーション/DB等)、DB管理、名寄せ、検索、フィルタリング、文書ライフサイクル管理、スプレッドシート管理、モニタリング、ルールベース、スコアリング(リスクベース管理)、ログ管理、暗号化、フォレンジック等々である。ITベンダーが提供するコンプラ関連ツールは、自社の得意とする技術を中心に設計されるので、個別法規への部分的対応となる。ベンダー・ツールを当該法規毎に導入し続ければ、数多くの技術やプロセスの重複、不整合が出てくる。既に、その事態に入りつつある。

関連する技術を上述したが、各技術は更に分類できる。例えば、認証技術で見てみる。伝統的な識別番号と暗証番号に加えて、昨今では生体認証(指静脈、掌静脈、指紋、声紋、顔面、瞳孔など)やサイン認証が普及しつつあり、ワンタイムパスワード・トークンなど使い捨て認証が増えている。メール認証やサイト認証を行う様々なサービスも出現している。これからも新しい技術やサービスが次々と開発されるだろう。それらを、社内、外部の顧客、代理店のような提携先などとの責任分界によって使い分けることになる。更に取引操作媒体が、IT機器なのか、人間なのか、電話と人間の混合なのか、郵便やファックスなのかによっても採用技術の組み合せが変わる。通信回線が社内LAN、専用回線、公衆回線かによっても異なる。これらの要素を組み合わせて逐次、対応ソフトを自社開発や購入し続ければ、混乱することは当然である。また、誤送信防止の為にFaxやメール配信を自動化しても、そのソフトや配布先リストに不具合があれば、却って誤送信の範囲と規模を拡大させる危険すらある。それを防止する投資が必要となり、際限がなくなるかもしれない。

 

. コンプライアンス・プロセスの体系化が必要

解決策としては、関連法規ガイドラインを総覧して、コンプラインスに関するプロセスを整理し、共通部分と個別部分に区分けしてしながら整合性ある体系として全体を設計することだ。そして、各プロセスに適用する関連技術を業務要件に従って選択する。その際に、SOA的な設計を行なうことで、個々の技術の独立性を確保して、置換えや移行を容易にするほかあるまい。例えば下記のようなプロセスがコンプライアンスに必要な代表的なものである。

フロント・プロセス(取引・操作時のチェック、確認等)

◇フィルタリング(取引・操作者とコンテンツがネガティブ・リスト対象でないか)

◇本人確認(事前登録された当該取引・操作の権限保有者か)

◇権限・適合性確認(事前登録された取引・操作権限範囲と合致するか)

◇取引操作内容確認(操作途中で操作者が変わったり、操作内容に異常はないか)

◇取引操作相手先確認(送信先、取引相手が適正か)

◇リアルタイム・モニタリング(権限保有者の取引・操作パターン、内容に異常はないか)

◇異常取引・操作発生時対応管理

◇取引・操作記録の信憑性保証(タイムスタンプ、第三者認証など)

バック&ミドル・プロセス(フロント・プロセスの事前準備、事後分析等)

◇バッチ・モニタリング(長期的な取引・操作履歴を一定のリスク・パターンで傾向分析)

◇権限変更管理(代理権限を含めて異動内容の更新管理)

◇名寄せ管理(複数の取引・操作者の関係管理)

◇現況存否確認(取引・操作者の登録属性に変更がないか)

◇ネガティブ・リスト更新管理

◇コンタクト条件管理(取引・操作要求に対して接触の是非、折衝内容の範囲等の管理)

◇リスク・スコアリング管理(リスク要素項目とレベルの更新管理)

◇取引ログ、操作ログ、パケット・ログの収集・保管・分析(含むFax、メール、電話,映像等)

◇検索支援(キーワード検索、時間検索、機器検索、映像検索など)

◇機密文書ライフサイクル管理(作成、保管、参照、変更、移動、廃棄の管理)

◇業務処理規定・操作マニュアル更新、参照支援、研修、ヘルプ機能

◇外部攻撃対策セキュリティ(ウィルス、DoS攻撃、盗聴、改ざん等への対策)

◇構成管理(機器、ソフトの導入、設定変更管理、バージョン管理等)

◇性能管理(処理能力への影響予測と事前対応)

これらのプロセスを取引・操作者と取引・操作相手の組み合わせと取引・操作内容、使用メディア(社内PC、社外PC、固定電話、携帯電話、メール、Fax、郵便、文書、口頭、ATM、プリンターなど)の組み合わせに応じて、業務フローに組みこむことになる。日常的な保守管理作業であるバック&ミドル・プロセスの重要性と負担が想像以上に大きいことが理解できよう。バック&ミドル・プロセスを全社的に統合管理して効果と効率向上を図ることが必要である。

コンプライアンス・プロセスを全社的に部品化し共有する動きは、米国でも始まっており、ホリスティック・コンプライアンスと呼ばれている。業務面から全体を整理し、既に導入済みのITツールを適用しなおせば良いと考えられている。外部コンサルタントがプロセス設計と部門間調整を行うことが多いようだ。しかしながら、実際には難しくて、結局は全社BPR並みの作業となることがあるという。個々の業務プロセスの特性に合わせて、社内規程、操作方法、ツールのカストマイズが細部にわたって施されていることが障害となる。特に、用語とデータ項目の不整合は厄介だという。この反省からすれば、コンプライアンスの本格対応がこれからのわが国金融機関には、コンプラ・プロセスが寸断される前に、全体の体系化と導入ルールの早期採用が望まれることになる。

 





. 経営ガバナンスがコンプライアンスITを決める

コンプライアンス、セキュリティ管理における基本ポリシーを確立しておくことは重要である。しかし、基本ポリシーとして「我々は法令を遵守する。」というような当たり前にすぎる宣言では無意味である。取引ログ、操作ログ、パケット・ログの収集・保管・分析というプロセスの場合を考えてみる。取引ログは顧客や社内の取引記録に関連データを付記して保存するもので、あくまでも取引内容である。操作ログであれば、誰がどのような入力操作を行ない、どのような出力を得たかが判る。異常操作を検出し、追跡するためには当該操作ログだけで良いが、関係者のアリバイを立証する目的であれば、全ての操作ログが必要となる。システムの処理能力、記憶装置への負荷は大きくなるが、いざという時の社内の混乱を限定できる。ネットワーク経由での取引、操作の場合は、PCや監視サーバーに保存される取引ログ、操作ログだけでは法的な証拠能力に問題が残る。経験のある内部技術者や高度な技術をもった外部からの攻撃者には、自らの操作ログを抹消、改ざんが可能だからである。違反操作、それを抹消するための操作などを含む全ての電子信号を残すパケットキャプチャによって、法的証拠能力を強化すべき場合もある。いかにも大掛かりな仕組みが必要に思えるが、専用のハード、ソフトが低価格で発売されている。いずれにせよ、ログを取る目的によって採用する技術は異なる。その目的を決めるのは経営陣という認識が必要である。欧米の大手金融機関では、CCO(チーフ・コンプライアンス・オフィサー)を設置するところが増えている。コンプライアンスには、営業諸部門だけでなく、社内管理部門、事務部門、IT部門の利害が関係する。それらの合意を得ることも大変であるが、法制度に関する具体的知識だけでなく、現場実務にも精通した調整機能が求められる。権限からすればCOが果たすべき役割であるが、一人のCOがそこまで対応することは不可能である。そこでCCOが必要となるのだろう。CEOとは独立した牽制職位としてCFOCRO(リーガル)とは異なり、CIOあるいはCTOと並んでCCOCEOを補佐代行する。全社横断の特定業務に関してCEOと共に、顧客・株主・社員・協力企業、社会に対する責任を果たすことになる。

コンプライアンスは、金融機関にとって大きな負担となっているが、今後軽減されることはなく、むしろ拡大強化されると覚悟すべきである。一方で、障害者や高齢者を含むデジタル・ディバイドにとって、コンプライアンスは金融サービスの利便性を引き下げることになる。こうした人々に対する配慮も社会的に要請されるだろう。また、昨今のようにエコロジーが注目されると、IT機器が消費するエネルギーも問題となる。個別企業に対して使用電力と発熱量の総量規制などが課せられるかもしれない。膨大な数のサーバーやPC等のICT機器を導入する金融機関にとって、エコロジーも大きな問題となろう。内部の合理化だけにIT利用を考え、強制されることだけにコンプラ対応していると、むしろ、大きな負担と時間の浪費となる可能性がある。ITとCSRの関係にも注意が必要である。まさに経営理念が具体化される場面と言えよう。