【世界一流の内部監査】第37回:EUの新規制「DORA(Digital Operational Resilience Act)」とは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。
このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、EU(欧州連合)の新しい規制「DORA(Digital Operational Resilience Act)」についてお伝えしたいと思います。この記事を読むことで、DORAの概要や適用範囲、日本の内部監査人にとっての影響やリスクマネジメントのポイントなどについて理解することができます。
1. EUが推進する新たなサイバーレジリエンス規制「DORA」とは
1.1. DORAの成立背景と狙い
2025年1月17日に施行される見込みのDORA(Digital Operational Resilience Act)は、EU内の金融サービス業界のサイバーレジリエンスを飛躍的に高める目的で制定された新しい規則です。これまでのEU規制が主にデータ保護やプライバシー(GDPRなど)に焦点を当てていたのに対し、DORAは金融機関やその関連サービスプロバイダーが運営するITインフラやシステムの安定性そのものを強化しようとする点で画期的といえます。
世界的に見ると、GDPRが世界各国の個人情報保護に大きな影響を与えたように、DORAもEU外の企業に波及する可能性が高いと指摘されています。なぜなら、GDPR同様、DORAでは「拠点がどこか」よりも「EU圏内の顧客や金融機関と取引しているかどうか」が適用の基準となるからです。仮に米国やアジアに本社を置く金融機関であっても、EU圏のお客様にサービスを提供していれば、DORA遵守を求められるリスクが生じます。
1.2. 適用範囲と大まかな要件
DORAは、銀行、証券会社、保険会社などの主要な金融機関のみならず、ファンドマネージャー、フィンテック、仮想通貨取引所、そしてICTサービスを提供する一部の外部ベンダー(クリティカルICTサードパーティプロバイダー、CTPP)にまで影響を及ぼします。要は、EU金融セクターに何らかの「重要なITサービス」を提供している企業は、DORAの対象に含まれる可能性があるのです。
DORAは、以下のようなポイントを軸として要求事項を定めています。
- ICTリスク管理フレームワーク
金融機関やICTサービスプロバイダーは、日常業務を支えるシステム上のリスクを体系的に管理し、定期的に見直す仕組みを構築しなければなりません。
- 脆弱性テストや侵入テストの実施
重大な金融機関の場合、脅威ベースのペネトレーションテストを3年に一度以上行い、日常的なセキュリティテストも年に1回以上行うことが推奨されています。
- インシデント報告
サイバー事故や障害発生時の報告を24時間以内など短い時間で行う義務があります。小規模事業者の場合は72時間以内という猶予が設けられるケースもあります。
- サードパーティリスク管理
外部委託先(クラウドサービスなど)を含めたリスク評価、契約上のセキュリティ要件の明確化が求められます。特に「CTPP(クリティカルICTサードパーティプロバイダー)」に指定されるような重要ベンダーは、より厳格な監督下に置かれる可能性があります。
1.3. 巨額の罰則と広範な影響
DORAに違反した場合、最高で「グローバル売上高の1%」もの罰金が科される可能性があるとされています。この規模の罰則はGDPRにも匹敵し、すでにグローバル企業がGDPR違反で巨額の制裁金を支払っている例もあることから、DORAが単なるEUローカルの規制に留まらず、世界中の金融ビジネスに重大なインパクトを与えることは想像に難くありません。
さらに、DORAでは「ICTリスクが顕在化して金融システム全体が不安定化することを防ぐ」ことを重視しており、EU内で10%以上の金融機関の重要機能を支えるようなベンダーであれば、一気に「クリティカルベンダー」に指定されるリスクがあります。たとえば、グローバルなクラウドサービスプロバイダー(AWS、Azure、Google Cloudなど)は既にDORA対応に動き出していると報道されています。
2. 日本の内部監査人が知っておくべきDORAへの対応ポイント
2.1. まずは「適用範囲」への該当性を確認する
「EU圏外に拠点を置いているから関係ない」と思いがちな日本企業ですが、実際にはEU圏の金融機関と直接取引していたり、EUに顧客を抱えていたりする場合はDORAの範囲に入る可能性があります。
日本国内でEU向けサービスを展開している保険会社や証券会社、あるいは銀行の海外支店を通じてEU圏の顧客を持つケースなどは要注意です。また、クラウドやセキュリティサービスを提供するIT企業であっても、EUに本社を持つ金融グループにサービス提供していれば、DORAの監督対象になり得るかもしれません。
内部監査部門としては、まず自社の事業範囲とEU金融機関との取引状況、そして取り扱うデータの重要度を洗い出すことが出発点になります。
2.2. サイバーリスク管理体制の強化と成熟度評価
DORAの核心的な目的は「サイバー事故に対するレジリエンスの強化」です。具体的には、内部監査として以下のような観点で評価・指導を行うことが想定されます。
- リスクアセスメントの実行と定期的な見直し
どのシステムが業務上クリティカルで、どのデータが最も機密性が高いのかを定義し、障害や不正アクセス時の影響度を分析します。
- 脆弱性診断やペネトレーションテストの計画
とりわけDORAでは、脅威ベースのペネトレーションテスト実施が求められるケースが増えると想定されています。従来の「形式的なテスト」ではなく、実際の攻撃手法を想定した高度な検証が必要です。
- インシデント対応計画と報告プロセス
24時間または72時間以内にどの程度の情報をまとめられるか、また責任者は誰なのかを明確化し、研修やシミュレーション演習を実施することで対応力を高める必要があります。
2.3. サードパーティマネジメント(アウトソーシング先の管理)
DORAでは、第三者(外部委託先やクラウドベンダー)に対する管理責任が厳しく追及されます。日本では既に金融庁などが「アウトソーシング管理指針」を出しており、クラウド利用ガイドラインなども整備されているため、整合性を取る必要が出てきます。
具体的には、委託契約書にセキュリティ要件、インシデント対応手順、監査権限(オンサイト監査含む)などを盛り込み、外部ベンダーがDORAの基準を満たすかどうかをチェックする必要があります。内部監査としては、これらが実行されているか、文書化されているかを検証することになります。
2.4. 「強制力の高いEU規制」が国内外に与える示唆
GDPRのケースでも見られたように、EUが規制を施行すると、そのモデルを参考に世界各地の関連法がアップデートされることが多々あります。DORAも同様に、「金融セクターのITレジリエンス規制」という新しい潮流を作り出す可能性があります。
日本でも「サイバーセキュリティ基本法」や「金融商品取引法」など、すでに多くの規制が存在しますが、DORAの影響を受けて「さらに厳格なITリスク管理要件を導入する」動きが将来的に出てくるかもしれません。内部監査人としては、今回のDORAの要件を学ぶことで、今後の国内法改正や自主規制団体によるガイドライン変更に早期対応できる強みを得ることができます。
2.5. 施行までのロードマップと内部監査の役割
DORAの正式施行日は2025年1月17日です。多くのEU金融機関は施工前からすでに準備を進めていましたが、一部の調査によると「実際の対応準備が間に合わなかった」という声も少なくありません。特にグローバル企業の場合、社内外との調整が複雑で、IT資産がどこに存在するのか把握するだけでも一苦労なのです。
内部監査部門としては、以下のステップを推進していくとよいでしょう。
1. 現状把握:自社がDORAの適用範囲に入るかを調査し、リスクアセスメントを実施。
2. ギャップ分析:DORAの要求事項と現在のリスク管理体制を比較し、足りない部分や更新すべき手順を洗い出す。
3. 行動計画の策定:優先度の高い項目(インシデント報告プロセス、契約書の見直し、侵入テスト計画など)から取りかかる。
4. テストとモニタリング:模擬インシデント対応や脆弱性診断を実施し、経営陣に状況を報告する。
こうした対応の過程で、内部監査は「客観的なアドバイザー」として経営陣に重要な示唆を提供できます。特に情報システム部門だけに作業を丸投げするのではなく、経営トップも巻き込んだ組織横断的なアプローチを促す役割が期待されるでしょう。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。
それでは、次回の記事でお会いしましょう!
引用元:
Nikos Vassakis, “Are You Ready for Compliance with EU’s DORA?” ComplianceChief360.com (November 15, 2024)
https://compliancechief360.com/are-you-ready-for-compliance-with-eus-dora/