・(上)から読む
金融機関のシステムリスク
動向とその管理について
21世紀の金融業の可能性と課題 ――今後も金融機関におけるITの利用は進むと思われますが、21世紀の金融業、特にネット金融の未来について、どのような展望が描けますか。
富永 「ITバブルがはじけた」と言われ、各種のネット金融系ベンチャービジネスが撤収を余儀なくされている情勢ですが、私自身は、「ネット金融の未来」に希望を捨てていません。
NYテロ時に、実際に自分が安否連絡や情報収集を行ってみて再認識したのですが、インターネットはやはり非常に便利で強力なツールです。インターネットをうまく活用しない業界は、おそらく生き残っていけないでしょう。
IT革命やEコマース(電子商取引)のインパクトは何かと言えば、時間・距離・情報が国境を越えてボーダーレス化する点にポイントがあります。最近では「ユビキタス・コンピューティング」という言葉が流行っていますが、生活のあらゆる場でのIT利用、すなわちネット家電等を利用し、「いつでもどこでもコンピュータやインターネットにアクセスできる」環境は、すぐそこまで来ています。あるいは、「もうとっくにやっているよ」と言う方もおられるかもしれませんね。
問題は、むしろそうした技術の進化に対応した「新たな金融のビジネスモデル」が見えてこないという点にあります。特に「ネットで儲ける」と言うと品がないかもしれませんが、収益力の向上に繋がる新たなビジョンといったものがなかなか確立し難い状況です。
この辺りの処方箋が見つかるようなら、まず私自身が起業したいくらい(笑)ですが、金融界に少し柔らかな「創造力のしずく」を垂らし、「大胆という名のスパイス」を加えれば、きっと明確な戦略に基づく「新たなビジネスモデル」とそれを通じた「金融再生への道筋」が見えてくるのではないか、と期待しています。
――今後、金融機関がインターネットを一層活用していく上で、どのようなことが課題となりますか。
富永 インターネットというのは、ご存知のように世界中の誰もが常時アクセスできるネットワークシステムです。これが便利さの源泉である訳ですが、反面、リスクがあることにもより敏感であらねばなりません。「職場や自宅のパソコンのすぐ向こうには、様々な考えを持った人や犯罪者達がいる」とイメージして頂ければ、鍵も掛けずに情報をやり取りすることには、誰しもためらいを覚えられるでしょう。
そういう意味で、情報セキュリティの重要性は益々高まっています。基本はまず各種の暗証番号やパスワードをきちんと管理するといった身近な一歩から始まりますが、最近では「クロスサイト・スクリプティングの脆弱性問題」など、第三者がセキュリティホール(システムの弱点)を悪用して他人の暗証番号を盗み見るといった新たな攻撃のリスクも話題になっているところです。いずれは、電子政府構想が具体化するのに伴って、電子署名を使った個人認証等、より進んだ方式も普及してくるものと思われ、金融界としても、技術進歩をフォローしながら、絶えずより安全な方式にチャレンジし続ける心構えが必要です。
――今後、金融機関の経営者が注力すべきポイントは何でしょうか。
富永 今後、金融機関においては、「経営としての内部監査、特にシステム監査の重要性」が一段と高まるでしょう。これまでも、「経営戦略とIT戦略は一体だ」といった掛け声レベルでは経営のシステムへの関与が標榜されていた訳ですが、昨今の情勢に鑑みると、経営者としてシステムリスクをしっかり把握し、適切なコントロールを行うことの大切さは、火を見るより明らかです。
かといって、経営者が皆システムに強い訳ではありません。むしろこれまでは逆のケースが多かったのが実情でしょうし、ウォッチすべきリスクは他にも沢山あります。そこで、経営者に代わりシステムを専門的な観点も交えてチェックし、リスクの所在と対応の在り方を経営者に勧告するシステム監査を、外部監査を含め是非ともうまく活用して頂きたいと思います。何と言っても、「監査は経営者の最強の武器・最大の味方」です。監査がうまく機能していないとしたら、それ自体が経営者の責任でしょう。
――日本銀行、特に考査局が果たすべき役割は何でしょうか。
富永 日本銀行には、日銀ネットをはじめとする大規模な決済システムを自ら開発し運営したり、暗号化等金融IT技術の最先端を研究しているといったバックボーンがあります。考査局では、かねてからコンピュータシステム関連の調査を続けてきましたが、特に、いわゆる「西暦2000年(Y2K)問題」への対応以降は、行内関係部署のノウハウも踏まえながら、本格的にシステムリスクに焦点を当てたターゲット考査を実施してきました。そうした蓄積を踏まえて、昨年5月には「システムリスク分析グループ」という組織を新設するなど、この分野に一層力を入れているところです。
考査局では、これまでも、その時々に重要と思われるトピックにつきペーパーを公表し、啓蒙に努めてきたほか、考査やオフサイトモニタリング(ヒアリング)を通じ、各金融機関のリスク管理プロセスの適切性をチェックし、必要に応じ助言してきました。各金融機関がおかれた環境に相応しいリスク管理を行えるよう側面から支援していきたいと考えています。
ただし、過剰な期待を抱かれないよう、念のため付け加えさせて下さい。我々の考査等の活動は、基本的に個別のシステム開発プロジェクトの正否や個々のプログラムの品質等までチェックし、是正を迫るような性質のものではありません。各金融機関において、自らのシステム環境に必要な資源を確保し、自己責任の下で、安全で安定的なシステム運行に努めて頂くことが基本です。私どもとしては、いろいろな機会を捉えて関係各位と胸襟を開いて議論しながら、金融システムが「IT時代」に相応しい信認を得られるよう、ともに切磋琢磨していきたいと考えています。
――本日は興味深いお話を有難うございました。
(聴き手 日本銀行情報サービス局)
「にちぎんクオータリー(2002年夏号)」より転載【富永 新】
日本銀行 考査局企画役(システムリスク分析グループ長)
(とみなが あらた)1980年日本銀行に入行。システム情報局、業務局、情報サービス局等を経て、98年以降考査局。大半をIT分野に籍をおき、日銀ネットの基盤構築、新電算センターの設計、各種AP開発のプロジェクト管理、日銀Webサイトの開設等に取り組む。システム監査技術者。
合縁奇縁
先日、NHKの朝のニュースを見ていたら、2001年9月11日、WTC(ワールドトレードセンター)の崩落映像が流れた。カメラはマンハッタン上空から、もくもくと煙を吐く、摩天楼を写していた。思わず吐き気がした。運命的な遭遇としか言いようがない。筆者の富永新さんとは、同じ場所からこの現場を共有した。
システムリスク分析グループ長として、これほどの教材はない。生きた資産があの重厚な建築物の中にいる。日銀。実に威厳のある響きだ。素顔の富永さんって、フォークソング好き(並ではない)のナイスな人だ。話をしていて、誰かに似ていると感じた。出身地を聞いて、確信した。ジャストシステムの浮川和宣さんだ。むきになるところ、間が外れるところ。人に優しいところ。たまたまだろうが…。 (BCN主幹・奥田喜久男)
