金融庁検査(大手アウトソーサーに立ち入り検査の方向)


日経コンピュータ2005年6月13日号に注意すべき記事がありました。4月に国会で成立した保険業法改正において、金融庁は保険会社のIT関連アウトソーシング受託会社に対して直接検査の権限を入手しました。つまり、日本IBMなど保険会社のアウトソーシング受託ベンダーには、近々、金融庁が検査に入ることになります。金融庁としては、銀行法においても同様の改正を考えており、実現するとNTTデータや日立、富士通、ユニシス、NECなどにも金融庁検査が行なわれることになります。既に、日銀は本年度のアウトソーサーに対する考査実施意向を発表しているとのことです。

認可業務である、銀行や保険の業務そのものを運営するアウトソーサーに対して、監督当局が直接検査を行なう場合の権限規定は不明確です。業法の趣旨からすれば検査・考査が必要なのは明らかですが、一般事業会社としてのITベンダーに対して、どこまでの範囲で検査の強制力が及ぶのか、改善必要事項の実施責任は誰にあるのか?(恐らく当該銀行への指導・処分を通じた方法になるでしょう。)アウトソーシング先に対する検査の必要性は、何年も前から検討されていました。特にBISや日銀は早くから、その必要性を意識していました。例えば、日銀は4年前に、「金融機関業務のアウトソーシングに際してのリスク管理」というレポートを公表しています。今年2月にバーゼル委員会、証券監督者国際機構、保険監督者国際機構が共同で行なったジョイント・フォーラムでは「Outsourcing in financial services 」というレポートが出され、その中で、アウトソーサーに対する適切な検査を通じて金融システムのリスク管理を行なう責務が監督当局にはあると明言されました。(これらのレポートは日銀のサイトに掲載されています。)金融庁の動きは、こうした国際的な方向性に基づいたものです。マスコミやITベンダーは、「グローバル展開する金融コングロマリット」対策に限定されるだろうと考えていたようですが、今日の金融の世界はグローバルもローカルもないほど一体化してしまっています。

ちなみに、金融庁検査は法に基づき実施され、金融機関に拒否する権利はありません。一方の日銀考査は、日銀との取引関係を持つ金融機関に対して、任意という形式で行なうものです。断れば取引を停止されますが。金融庁に先行して日銀が考査を行なうというのも面白いことです。また、日銀には大規模システムの構築・運用経験がありますが、金融庁には全くそのような経験はありません。中途採用組には、ITベンダー出身者もいるでしょうが、何年かIT企業の禄を食んだくらいでは、何も判らないでしょう。日銀から金融庁にノウハウに移転が行なわれるものと考えるべきです。

検査考査の過程でいろいろなトラブルが出るでしょう。金融庁検査では、前の検査での知識経験が使われます。「他行では、ここまで出来ているのに、お宅ではどうして出来ていないのです?」という具合です。下手に「日立さんでは・・・なのに、お宅では?」なんてやったら、場合によっては営業機密漏洩になるでしょう。ベンダー側も、聞かれた範囲内で答えるのか?積極的に応じるのか?恐らく銀行担当者の同席の下で、どこまで答えるか相談しながらになるでしょう。その時に報告義務違反があったとして、ベンダー社員も提訴対象となるのか?ベンダー側としては、顧客と金融庁どちらが大切かといえば、当然顧客ですから悩みは深いでしょう。顧客だけでなく、弁護士の同席も求めて、いつでも行政訴訟で対抗できる体制を作っておかないととんでもないことが起こる可能性があります。

金融庁職員も頭の痛い問題を抱え込むことになります。例えば、あるベンダーの実態が余りにひどいものだとします。「このベンダーの方法と体制では、大変なリスクが想定される。早急な改善が必要。」などと改善命令を出したとします。そのベンダーの他のユーザーも改善命令を受けたのと同じことです。一挙に複数のユーザーを失うベンダーによっては、事業継続が危うくなるかもしれません。検査という密室の中で、果たして、そんな権限を持ってよいのか?金融庁も、とんでもない水域に入ってしまったと後悔することもあるでしょう。

ベンダーが最も頭を痛めるでしょう。何を検査されるのか?どこまで答えれば良いのか?ウソか間違いを答えたらどうなるのか?検査マニュアルを見ても何もわかりません。最初の内は、さしたる負担は発生しないでしょう。検査側に遠慮もあるでしょうし、知識不足もありますので。しかし、二、三年もしたら、監獄ゲームです。(社会心理学の実験で、学生を看守と囚人に分けて2週間生活させる。結果は,例外なく極端な主従関係が構築される。)大変なコスト負担と業務上の弊害が出るでしょう。それでなくとも、ユーザーの不満が表面化しつつあり、コストも思うほど下がらず、利益のでないのがアウトソース・ビジネスです。金融業界の法外な制度コストを負担してまで実施するビジネスかどうかが問われます。

ITベンダーにとって金融庁は、棚の上からボタ餅をバラ撒いてくれる存在でした。金融庁検査の後についていけば、リスク管理や審査モデル、セキュリティ対策、バックアップ・システムなどのビジネスが必ず出てきます。最近では、リレバンであり、偽造・盗難カード対策であり、個人情報保護です。ITベンダーの皆さんが「商売ネタが無い。」と嘆くのを聞くと筆者は、「金融機関に売りに行っているから駄目なのです。お宅のお客は金融庁でしょ。いや、金融庁はお宅の営業要員でした。」と冗談を言うくらいです。事実、金融庁や日銀との密接な関係を強調するベンダーもあります。銀行の人から、「あのベンダーは本当に金融庁とツーカーなのだろうか?」と質問されることがあります。筆者の応えは「金融庁の役人が特定のベンダーに肩入れして得るものがありますか?下手したら命取りになりますし。今、権力を握っていると思われているラインにしても、小泉内閣の任期とともに去りぬですからね。皆さんが勝手に思っているのを利用されているだけでは。」です。金融機関の方々は、余り余計なことを考えずに、純ビジネス・純テクノロジーでお考えになることです。金融庁との親密な関係をうたうベンダーは、これからはアウトソーサーにコンサルティングをすれば良いビジネスになります。金融庁職員は、退職後の転職先が増えるのか、逆に狭まるのか難しいところですが、ITを勉強するのは無駄にはなりません。