はじめに
「金融庁」という言葉は金融機関のプロジェクトであれば耳にする事があるワードです。
本記事では、エンジニアの観点で金融庁を整理してみました。
そもそも金融庁とは?
金融庁とは英語でFinancial Services Agencyと呼ばれ、金融庁設置法が存在のベースになっている機関です。
その機関の任務も明文化されており「日本の金融の機能の安定を確保し、預金者、保険契約者、金融商品の投資者その他これらに準ずる者の保護を図るとともに、金融の円滑を図ること」とあります。システム移行などで提言してくるのも、このあたりが背景ですね。
構造としては、内閣府の外局なので内閣総理大臣の所轄の下に設置されており、金融庁以外の外局として例えば宮内庁や消費者庁があります。金融庁は特殊で専門的なことがらを扱うためか、省ではなく庁になっていると思われます。
3つの構成局
金融庁は以下の3つの部門があります。
総合政策局
官房機能を持つ
監督局
金融機関との日々の接点を担う
企画市場局
市場行政や制度作りを受け持つ
ちなみにもともとは総務企画局、監督局、検査局でしたが2018年に上記に移行しました。
監督と検査の違いですが、前者は性善説で金融機関を相手し、後者は性悪説で金融機関を相手すると記載した以下の書籍は印象的でした。
関連図書
ITシステムにおける監査
金融庁がシステムを評価するポイントもWeb上で確認できます。以下、そこからの抜粋です。
主要行等向けの総合的な監督指針 : 金融庁
まずはシステムリスクを以下としています。
コンピュータシステムのダウン又は誤作動等のシステムの不備等に伴い、顧客や銀行が損失を被るリスクやコンピュータが不正に使用されることにより顧客や銀行が損失を被るリスク
そしてそれを評価する観点の例として
1口座当たりの未記帳取引明細の保有可能件数などのシステムの制限値を把握・管理し、制限値を超えた場合のシステム面・事務面の対応策を検討しているか。商品開発の担当部門は、新商品の導入時又は商品内容の変更時に、システムリスク管理部門と連携するとともに、システムリスク管理部門は、システム開発の有無にかかわらず、関連するシステムの評価を実施しているか。
と挙げられています。
さらに、報告すべき事案として
その原因の如何を問わず、銀行等が現に使用しているシステム・機器(ハードウェア、ソフトウェア共)に発生した障害であって、
a.預金の払戻し、為替等の決済機能に遅延、停止等が生じているもの又はそのおそれがあるもの
b.資金繰り、財務状況把握等に影響があるもの又はそのおそれがあるもの
c.その他業務上、上記に類すると考えられるもの
をいう。
ただし、一部のシステム・機器にこれらの影響が生じても、他のシステム・機器が速やかに交替することで実質的にはこれらの影響が生じない場合(例えば、一部のATMが停止した場合であっても他の同一店舗若しくは近隣店舗ATMや窓口において対応が可能な場合。)を除く。
なお、障害が発生していない場合であっても、サイバー攻撃の予告がなされ、又はサイバー攻撃が検知される等により、顧客や業務に影響を及ぼす、又は及ぼす可能性が高いと認められる時は、報告を要するものとする。
と記載があります。
これがいわゆる「金融庁報告」です。
まとめ
金融庁とは「金融の機能の安定を確保し預金者などの保護を図る」ことを目指す機関で、構造が変化する前は金融機関に対して「検査と監督」を行う局が明示的に存在していました。システムのオンライン化が進む昨今では、システムリスクへの対応と報告を監督しています。
システムの安定運用が最も求められるエリアの一つである金融機関、きちんと明文化されて整理されていることを知れて良かったです。
以上、ご参考になれば幸いです。
