Asia Cloud Computing Association's Financial Services in the Cloud Report 2021- Japan

クラウドをうまく活用するために：アジア太平洋地域の金融サービス 2021：日本向け | 1 ／ 41
クラウドをうまく活用するために
アジア太平洋地域の
金融サービス
2021 年
日本向けバージョン語版

Copyright © Asia Cloud Computing Association 2021
無断転載を禁ず。
謝辞：本レポートは、ゴールドスポンサーの Google Cloud、シルバースポンサーの HSBC Ltd、ブロ
ンズスポンサーの AWS からご支援をいただき、TRPC Pte Ltd の調査協力を得て発表の運びとなり
ました。ACCA は独立した質の高い調査に努めており、本レポートの結論がスポンサーによって決
定または影響されることはありません。
ACCA は次の方々の貢献に謝意を表します。
プロジェクトマネジャー：Stacy Baird（TRPC Pte Ltd）
Lim May-Ann、Hiromi Oka（ACCA）
Yam Ki Chan（Google Cloud）
Bojan Obradovic、Daniel Warelis（HSBC Ltd.）
Agne Makauskaite（Amazon Web Services）
調査員：Faiza Saleem、Cheryl Tan、Jenny Wan（TRPC Pte Ltd.）
表紙デザイン：Christian Wiediger（https://unsplash.com/photos/32RQSc3cRxQ）
ACCA は、アジア太平洋地域（APAC）のクラウド・コンピューティング・エコシステムのステー
クホルダーを代表する業界団体です。クラウド・コンピューティングの製品およびサービスに関
して、信頼性が高く魅力的な市場環境と安全で一貫性のある規制環境を構築することにより、
APAC におけるクラウド・コンピューティングの活用を促進することを使命としています。当協会
は、クラウド・コンピューティング・コミュニティの関心が公共政策の議論にうまく反映される
よう努めています。メンバー企業、専門家ワーキンググループ、特別利益団体の専門知識を活用
し、ベストプラクティスの提言やその他のソートリーダーシップとなる資料を作成しています。
入会については secretariat@asiacloudcomputing.org までメールでお問い合わせいただくか、当協会
のウェブサイト（www.asiacloudcomputing.org）をご覧ください。

クラウドをうまく活用するために：
アジア太平洋地域の金融サービス
2021
日本語版

目次
加速する金融機関（FI）のクラウド活用：2018 年以降の最新情報 ..................................................5
提言 .......................................................................................................................................................16
市場スコアとランキング.....................................................................................................................31
市場の特性：日本 ................................................................................................................................35
日本 ...................................................................................................................................................35
付録：クラウドのビジネスモデルが規制遵守に及ぼす影響............................................................38

加速する金融機関（FI）のクラウド活用：2018 年
以降の最新情報
規制当局は金融サービス業界（FSI）と積極的に協働し、同業界がさまざまな金融
プロセスでクラウド・コンピューティングをいかに活用しているかを理解しよう
と努めてきた。規制当局は、クラウドがいかにして FI のビジネス目標（リスクへ
の対処を含む）を支援する重要な技術となり得るかを理解するために FI やクラウ
ドサービス・プロバイダー（CSP）との協働をますます増やしており、多くの場
合、FI がクラウド・コンピューティング技術を活用しやすくなるよう、規制やガ
イドラインの更新、適合、修正に取り組んでいる。これらは、規制当局、CSP、FI
の間で継続的に対話を行うことの重要性と利点を実証する、前向きな動きと考え
られる。
アジアクラウドコンピューティング協会（ACCA）は、2015 年に FI のクラウド・コ
ンピューティングの活用に関する市場状況について報告を開始した。それ以来
ACCA は、主な規制当局が FI によるクラウド活用を引き続き擁護していることを心
強く感じている1
。私たちは、より多くの市場の規制当局が、クラウドの活用に対
して同様に好意的なアプローチをとることを望んでいる。この 2021 年版レポート
では、こうした動きを念頭に置き、私たちの以前の提言を更新している。ACCA
は、すべての規制当局が、FI がより簡単にクラウドサービスを活用できるような
より好ましい政策を追求し、アジア太平洋地域全体の政策におけるクラウドの一
貫性を高め、同地域の市場でコンプライアンスを向上させることを促したいと考
えるものである。
FSI で加速するクラウドの活用
2018 年のレポート以降、従来型 FI は、新しい顧客サービスやバックオフィスの高
度なデジタル化を通じて事業を変革する中で、クラウドの活用を加速させてい
る。FSI はクラウド・コンピューティングによって可能となった急速なイノベーシ
ョンの真っ只中にあり、主な動向は以下のとおりである。
● クラウド上に構築されたデジタルバンキングの増加。新規市場参入者と従来
型銀行の両方で、クラウドサービスをベースにしたデジタルバンキングが増
加している。テクノロジーが進歩し規制当局の安心感が増すにつれ、主なFIの
いくつかは、規制当局が許可する主要な市場において中核ビジネスプロセ
ス、商品、サービスのクラウドへの移行を続けるだろう。香港、マレーシ
ア、シンガポールなどの地域では、金融サービスへのよりインクルーシブな
アクセスを実現し、顧客のためにイノベーションを起こし、より安全で効率
的な銀行業務を育成するための広範な取り組みの一環として、すべてのデジ
1 ACCA は、2015 年から金融機関（FI）のクラウド・コンピューティングの活用に関する市場状況について報告を開始した。これまでと同様に本レポートでは、特に断りのない限
り、パブリッククラウドを指す用語として「クラウド」を使用する。本レポートはまた、銀行サブセクターに関連する規制のみを調査対象としており、保険や証券の規制は含まな
い。さらに、本レポートは、2015 年および 2018 年のレポートと同様に、金融業界の銀行セクターのみをレビューしていることにも注意されたい。私たちは企業を抽象的に議論す
る場合に、一般的に FI という用語を使用している（たとえば、「FI はその規制が制限的であると思うかもしれない」など）。特定の銀行（ナショナルバンク）や銀行規制（市場の
特性において）について言及する場合、または「バーチャルバンク」や「デジタルバンキング」などの用語を説明する場合には「銀行」を使用している。

タルバンクに対するライセンスの発行も始めている。こうしたデジタルバン
クは、ほとんどクラウド上でのみ運営されている。
● COVID-19 の制約により現金取引に依存できなくなったため、デジタル決済シ
ステムの発展と採用を可能にする上で、クラウドは重要な役割を果たしてい
る。また、銀行の主要事業の運営に必要な複数の機能を提供する、新しいク
ラウド・ネイティブな「サービスとしてのソフトウェア（SaaS）」を活用し
た新サービスも登場している（Thought Machine 社の Vault、Mambu 社、Temenos
社など）。
● クラウド上の規制当局。監督機関は、FSI によるレグテック（RegTech）の活用
や監督機関自身によるスプテック（SupTech）の採用において、クラウド・コ
ンピューティングのユースケースを探求してきた。これらはいずれも、通
常、何らかの形でクラウドサービスを利用する。規制当局にとっては、クラ
ウド上に構築された人工知能や機械学習を利用して、データ収集、監視、ア
ナリティクスを加速かつ能率化し、疑わしい取引報告を分析したり、マネー
ロンダリングその他の不正行為を検知したりするものである2
。
● シンガポール金融管理局（MAS）3
は早くからスプテックを採用しており、最
初はデータの質を確保するために、最近では疑わしい取引報告を分析し、あ
り得るマネーロンダリングのネットワークを発見するために使用している4
。
フィリピンでは、フィリピン中央銀行（BSP）5
が「規制アクセラレーターのた
めのレグテック（Regtech for Regulators Accelerator）」と提携し、FI から直接規
制当局への報告書を抽出する API ベースのスプテック・ソリューションの試作
品を開発している6
。
● 非従来型 FI と新たなビジネス。FI が非従来型の新しい FI やビジネスとの競争
にさらされていることが、さらにクラウドの活用を加速させている。フィン
テックのスタートアップは、消費者の満たされていないニーズを特定し、そ
れらのニーズを満たす製品やサービスをクラウド上に構築している。従来型 FI
も、この競争に真っ向から対決するために、クラウドを活用した新しい商品
やサービスを開発している。
● クラウドサービスを利用すれば、スタートアップも従来型 FI も新たなユーザ
ー体験を開発し、新しい製品やサービスを市場に提供することができる。ク
ラウドサービスには順応性があるため、FI は小規模な実験を行った上でサービ
スや製品への適用を容易に拡大することができ、コストは規模に比例する。
こうしてコストは、大きな固定資本支出からきめ細かい支出管理が可能な運
営費へと移行する。また、クラウド・コンピューティングを活用すること
で、FI は市場環境の変化やビジネス上の優先順位の変更に迅速に対応できるよ
うになる。規制当局と FI はクラウドの活用を加速させており、それが業界を
変革し、ビジネスプロセスを改善して顧客へのサービスを向上させる一方
で、規制当局の監視とコンプライアンスを維持し、諸機関のセキュリティと
レジリエンスを向上させている。
2 Fintech News（2019 年 10 月）, What is Suptech? An Overview of this Rapidly Growing Space, https://fintechnews.ch/regtech/what-is-suptech-an-overview/31289/
3 Financial Services Agency (13 Mar 2017) [金融庁・シンガポール MAS 共同プレスリリース] 日本・シンガポール、FinTech 協力枠組みを構築, https://www.fsa.go.jp/inter/etc/20170313-1.html
4 Bank for International Settlements（2018 年）, Innovative technology in financial supervision (suptech) – the experience of early users, https://www.bis.org/fsi/publ/insights9.pdf.
5 Financial Services Agency (8 Dec 2014) フィリピン中央銀行（BSP）との協力関係に関する書簡交換について https://www.fsa.go.jp/inter/etc/20141208-1.html
6 Chambers and Partners（2020 年）, Philippines Law and Practice, https://practiceguides.chambers.com/practice-guides/fintech-2020/philippines

図 1：FI のクラウド活用におけるイノベーションを増加させる要因
出所：ACCA（2021 年）
COVID-19 による危機が FI のデジタル化をさらに加速
多くの FI は、COVID-19 の危機による金融サービス環境の変化に迅速に対応するた
めに、クラウドサービスの導入を加速させた。このことは、クラウド・コンピュ
ーティングが FI のレジリエンス向上に重要な役割を果たし得ることを示してい
る。
これまでオフィスや支店の閉鎖は、銀行の一部の従業員に大きな困難をもたらし
ていた。しかし、COVID-19 の危機によって、従業員はリモートでも効果的かつ生
産的に協働でき、顧客はオンラインや FI アプリを介して取引できることが浮き彫
りになった。さらに、本人確認などの紙ベースの活動は、対面でのやり取りがな
くても確実に行うことができる。これらは、クラウドベースの環境で行われてい
る活動の重要な事例である。
リモートワークの期間が数週間から数カ月に延びる中で、多くの学びがあった。
クラウドは、FI がより多くの金融サービス活動（顧客対応業務とバックオフィス
業務の両方）をオンライン環境に移行させる能力を高めた。
● クラウドを利用することで、FI はオンラインやモバイルアプリを使って新
しいサービスを迅速に提供することができ、顧客は支店に行かなくても金
融サービスを容易に受けることができる。
● 突然リモートワークを余儀なくされた FIの多数の従業員が、オフィスシス
テムに安全にアクセスし、生産性を維持することができる。
● クラウドベースのサービス（Amazon Chime、Cisco Webex、Google Meet、
Microsoft Teams、Zoom など）により安全に会議を行い、セキュア・スイ
ート（Amazon WorkDocs、Google Workspace、Microsoft 365 など）で生産性
を維持することができる。
● これらのクラウドベースのツールにより、コミュニケーションやコラボレ
ーションのための新たな方法を迅速に導入できるようになった。この新た
な方法とは、ビジネス効率を向上させるとともに、クラウド・コンピュー
ティングを活用しなければ、はるかに困難で高コストであったはずの FIの
クラウド上の規制当局：レグ
テックおよびスプテックの利
用の増加
クラウド上に構築されたデジ
タルバンキングの増加（需給
両面で）：規制当局によるサ
ポートフレームワーク
非従来型 FI の参入と新たなビ
ジネス
FI によるクラウドの活用と導
入の加速：テクノロジー主導
のイノベーションによる好循
環
クラウド・コンピューティング
により可能となる、金融サービ
ス分野の急速なイノベーション

IT システム機能にかかる圧力リスクを緩和するものである。マネジャーが
在宅勤務の従業員との関係を維持して監督するために、また、従業員同士
が直接合う機会が限られ、ほとんどがバーチャルなやり取りとなる中でバ
ランスをとりながら交流するために、新しいアプローチが導入されつつあ
る。
クラウドは短期的には、対面でのやり取りを最小に抑制しなければならないこの
困難な時期において、FI が事業継続性を維持し、顧客のニーズを満たすための鍵
となっている。長期的には、このような状況がクラウドの活用を加速させ、事業
運営のデジタル化が進み、より効率的で効果的なプロセス、有意義なコラボレー
ション、より優れたデータ分析とリスク管理、コンプライアンスの向上などがも
たらされる。実際、多くの改善が見られ、一部ではこれを「ニューノーマル」と
表現している。
クラウドが FI のレジリエンスを高め、経済回復を支える
顧客に対して銀行の支店が閉鎖されていても、クラウドベースのアプリや Web
ポータルの利用など、オンラインでのアクセスは増加しつつある。支店において
対面でやり取りする必要性を減らすために、新しい機能が急速に開発されてい
る。FI やテクノロジー企業は、対面での本人確認や物理的な署名、書類を物理的
にコピーする必要性など、これまでデジタル化されていなかった FI のプロセスに
代わる安全なデジタル手段を開発している。シンガポールの DBS 銀行のような FI
では、個人や中小企業がオンラインで口座を開設できるようになった7
。今やアプ
リには、入金を容易にするための小切手スキャン機能や、取引を容易にするため
のデジタル署名機能が組み込まれている。また、多要素認証などの手段や強力な
エンド・ツー・エンドの暗号化の使用により、セキュリティの一層の向上を図
っている。
7 DBS（日付不明）, It’s simple to open your new account – anytime, anywhere, https://www.dbs.com.sg/personal/deposits/bank-with-ease/addon-casa, DBS（日付不明）, Business Digital Account,
https://www.dbs.com.sg/sme/day-to-day/accounts/digital-account。

図 2：クラウドが FI のレジリエンスをいかに向上させ、経済回復を支えているかに関する
見解
バックオフィス業務、コンプライアンス、本人確認、マネーロンダリング
対策、不正検知などの重要な機能への新しいテクノロジーの利用をクラウ
ドが支える
クラウドサービスにより、FI は広範な技術的イノベーションを利用して、ビジネ
スのための価値をデータから引き出すことができる。クラウドは、人工知能
（AI）やビッグデータアナリティクスの利用を促進することにより、FI が業務を
効率化する能力においてますます重要な役割を果たしている。これらの新しい技
術は、リスクを低減してレジリエンスを向上させるのに役立つ。
さらに、クラウドはデータ共有の改善、共通データセットの使用、より高度なデ
ータアナリティクス、そして究極的にはインサイトの共有を通じてビジネス部門
の統合を可能にすることで、業務効率の向上可能性を支援する。このようなク
ラウドベースの機能により、迅速な意思決定が可能となる。クラウドベースのビ
ジネスアジリティにより、AI（画像認識や自然言語処理を含む）、ビッグデータ
アナリティクス、モノのインターネット（IoT）などのツールを活用することで、
FI はオペレーションを最適化し、リソースを管理することができる。FI はこれら
の新しいツールや機能を活用して、増収、コスト削減、ビジネスプロセスの改善
や効率化を図ることができる。
クラウド・コンピューティングは、FI が米国連邦準備制度の包括的資本分析8
およ
びレビューなどの規制上の報告要件をより効率的かつ正確に満たすのに役立つ9
。
クラウドベースの AI と高度なアナリティクスは、FI のさまざまなデータセットを
使用して、FI の日中流動性とリスクの計算の改善に利用できる。
8 Deloitte (2015) 2015 年米国ストレステストの結果私たちの解釈 https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/financial-services/bk/jp-fi-ccar-and-dfast-2015-results-our-take.pdf
9 US Federal Reserve System（日付不明）, Comprehensive Capital Analysis and Review. https://www.federalreserve.gov/supervisionreg/ccar.htm.
クラウドが他の効率性向上の新たな基盤を支える
必須機能に関する新テクノロジーのための基盤をクラウドが提供する：バックオフィス
業務、コンプライアンス、本人確認、マネーロンダリング対策、不正検知
リスクベースのアプローチを重視
レジリエンスの強化、事業継続性、災害復旧
技術的中立性
好循環の発生
新しい金融サービス商品とサービスをクラウド上に構築
クラウドが持続可能な経済回復を可能にする
経済回復において金融サービスの役割に対するクラウドの重要性が増大し、回復後の経
済成長が継続
規制当局の足並みを揃える必要性
グローバルな基準に従って、地域全体での規制当局の足並みを揃える必要性

新たな規制当局はコンプライアンスに機敏性を求めている。クラウドテクノロジ
ーは、規則が進化する中で FI の信用リスク、市場リスク、流動性リスクの定量化
に貢献している。クラウドテクノロジーは、日中流動性とリスクの計算の精度と
頻度を向上させるとともに、これまで旧システムでは不可能だった方法で増大す
るデータを用いてより幅広いシナリオを使用できるようにする。ダイナミックな
経済環境により信用リスクやカウンターパーティリスクが通常の範囲を超えて変
動する現在の経済状況において、これは重要であることが分かっている。リスク
を正確に分析し予測する能力が向上すれば、そのリスクをより適切に管理するこ
とができるようになる。
テクノロジーの進歩に伴い、高度な金融犯罪から顧客や組織、市場を守る対策も
進歩しなければならない。クラウドベースの AI と高度なデータアナリティクス
は、顧客と FI のリスクを回避するために、取引監視データやこれまでの縦割り業
務（リスク、財務、カスタマーサポート、規制など）の各所で保有されているデ
ータをより迅速に、より詳細に分析するために使用される。これらのツールによ
り、FI はより迅速かつ正確な顧客情報分析、マネーロンダリング対策、個人情報
窃盗やその他の不正行為の検知を行う能力を獲得することが出来る。
レジリエンス、事業継続性、災害復旧力を高めるためのリスクベースのア
プローチ
セキュリティとデータガバナンスに対するリスクベースのアプローチ10
は、まずは
真のリスクを特定し、合理的な比率分析に基づいてリソースを配分し、それらの
リスク緩和を優先することから始まる。リスクベースの戦略は、サイバーセキュ
リティ、物理的停止や混乱、レジリエンス、事業継続性、データ復旧、サービス
プロバイダーの集中に関するあらゆる種類のリスクに対応している。
コンプライアンス、レジリエンス、事業継続管理（BCM）、災害復旧（DR）に確
実に対処するためには、リスクベースの戦略が不可欠である。データやアプリケ
ーション、そしてサービスを地理的に離れた複数のデータセンターに複製して運
用することが、これらのリスク緩和の標準的なアプローチである。
歴史的に見れば、FI は自行のワークロードを管理するために、すべてのデータセ
ンター（オペレーションシステムだけではなく予備／バックアップシステムも）
を自分たちで運営することでこれらの戦略を実現してきた。そのコストは、クラ
ウドを使用してこれらの戦略を実現する場合よりもかなり高額で、現在も増え続
けている。FI が成長したり合併（大きく異なる形態の IT インフラとデータ管理を
統合することになる）したりすると、BCM および DR に対処するためのコストと
複雑さはさらに増加した。
クラウド・プロビジョニングは、設備投資を削減し、合併した FI の IT およびデー
タ管理の課題を軽減し、セキュリティやデータガバナンスの目標を達成するため
の選択肢を増やすものである。クラウドを使えば、FI は複数のゾーンや地域にわ
たる「アクティブ・アクティブ構成」のシステムを運用することができ、バック
アップのための多額の追加費用を必要とせずにオペレーショナルレジリエンスを
10 リスクベースのアプローチは、5 つの理論的ステップに要約される。まず、(1)資産とその資産を管理する者を決定し、次に(2)脅威を特定し、(3)それに対応して脆弱性を特定し、
(4)脅威が脆弱性を悪用する可能性を評価し、(5)リスクを緩和するための適切な管理対策を特定して実行する。

獲得することができる。1 つのアクティブゾーンに障害が起きても、もう 1 つのゾ
ーンはすでにアクティブであり、自動での大規模な導入が可能である。
FIが BCM および DRの目標を達成するには、いくつかの異なるアプローチがある。
多国籍 CSP のほとんどは世界各地にデータセンターを所有し、最高品質のセキュ
リティ対策を誇っている。グローバルなリソースが利用できるため、FI がサイバ
ーセキュリティ、物理・環境的破壊、政治的リスク（懸念される場合）に対する
レジリエンスを高める上で、予備的備えと地理的多様性に対処する戦略としてク
ラウドを使用する多くの選択肢がある。
● 最も保守的なアプローチの 1 つは、何らかのオンプレミスのインフラを維
持しつつ、そのインフラの機能をクラウド上のプラットフォームで複製ま
たは補完する、いわゆる「ハイブリッド」戦略である。
● FI は CSP の 1 社と交渉し、稼働システムと予備システムの間で合理的な地
理的多様性を確保しうる契約を結ぶことができる。
● 3 つ目の選択肢は、2 社の CSP 間に十分な相互運用性がある場合、FI はマ
ルチクラウド戦略を採用して複数の CSP と契約することができる。
FI がクラウドサービスに移行する中、クラウドベースのイノベーションが FI のニ
ーズを満たし、コンプライアンス、レジリエンス、リスク管理といった基本的責
任を果たす能力を高めることができる。人工知能とビッグデータ分析は、FI のセ
キュリティ、不正の検知、資本準備金とリスク分析を大幅に改善している。大半
の多国籍 CSP は、常に最新の脅威を探し出して備え、最新のセキュリティ管理に
よりシステムやネットワーク、顧客を保護している11
。
多くの規制当局は、CSP がリスクを効果的に管理できるよう厳格な基準を用いて
いることをますます認識するようになっている。このことは、セキュリティ責任
の分担を確認する最も先進的な複数のアウトソーシングガイドラインに反映さ
れている。コンプライアンスの最終責任は依然として FI にあるが、ガイドライン
がクラウドの責任分担モデルを提供している。たとえば、CSP がサービスとして
のインフラ（IaaS）を提供している場合、CSP はそのインフラと基礎的サービスの
セキュリティに責任を負い、FI は自行の管理下にあるデータ、アプリケーショ
ン、オペレーションのセキュリティに責任を負うものである。
金融サービスの新しい商品やサービスがクラウド上に構築される
COVID-19 のパンデミックで明らかになったように、電子決済やデジタルバンキン
グなど、従来型 FI や商店、電子商取引プラットフォームが提供する新しいサービ
スは消費者体験を一変させた。たとえばシンガポールでは、シンガポール銀行協
会（ABS）12
が PayNow という電子決済システムを設立し、シンガポール国内の主
な従来型銀行の個人および商店の顧客間で即時送金が可能になった。香港の即時
送金システム FPS（Faster Payment System）は、従来型銀行と Alipay、Wechat Pay 香
港、PayMe などのデジタルウォレットシステムを電子的に結びつけ、従来の当座
預金口座や貯蓄口座から商店への即時支払いを可能にしている。
11 付録 I を参照。
12 ESG Quick (27 Oct 2015) 【シンガポール】銀行協会、責任ある投融資の推進に向けたガイドラインを公表 https://www.esg.quick.co.jp/research/231

新しくデジタル化されたこれらの体験はまだ馴染みのあるものだが、従来型 FI や
ノンバンクはそれらをさらに超えて、モバイル決済（Alipay、Apple Pay、Go Pay、
Google Pay、Grab Pay、PayPal など）などの新しいサービスを提供しており、決
済、リアルタイムの口座管理、取引の機能をモバイル機器に統合することで、顧
客体験を刷新している。これらの新しいデジタル専用サービスは、クラウド・サ
ービス・プラットフォームを基盤にするものである。
アジアでは、デジタルバンクやバーチャルバンク（「ネオバンク」や「チャレ
ンジャーバンク」とも呼ばれる）が台頭している。バーチャルバンクは、ライセ
ンスを取得してはいるものの、物理的な支店を持たない銀行である。英国や欧州
ではすでに受け入れられており、潤沢な資本とデジタルに精通した顧客基盤を持
つ多くのバーチャルバンクが設立されている。銀行が物理的な存在である必要性
を感じないこれらの顧客層は拡大しつつあり、アジアでは本分野の成長を確認
できる。
バーチャルバンクは、リスクの高い借り手への融資を始めとする低コストのサー
ビスを顧客に提供することが多く13
、政府の間でも、バーチャルバンクは、これま
で銀行口座を持たなかったり十分なサービスを受けられなかった人々に金融サー
ビスを提供するためのパイプ役になりうるという認識が高まっている。これらの
銀行の口座を持つことで、人々は信用力を確立し、より十分な経済参加が可能と
なる。
● たとえば、バーチャルバンクの先進的市場である香港は、2019 年 3 月以降
に 8 件の銀行を付与している14
。香港政府は、銀行サービスを十分に活用
できていない中小企業にアプローチする方法として、バーチャルバンクを
推進している15
。認可された企業の中には、小売業者（香港のセブンイレ
ブンのフランチャイズ加盟店、Jardine）、不動産開発業者（香港中環で最
大の地主、Hong Kong Land）、スマートフォンメーカー（Xiaomi）、オン
ライン旅行サイト（Ctrip）などの従来型銀行ではない企業もある。それぞ
れが消費者のニーズや好みに対する独自の視点を持っており、その業界で
必要な多くのイノベーションをもたらしている。
● 他国の政府もバーチャルバンクの認可を検討しており、ベトナムではこれ
までに 1 行のバーチャルバンク（Timo）が認可され、マレーシアでは年内
に 5 行のバーチャルバンクの認可を予定している16
。
● 約 250 万人（人口の 40％）の国民が十分な金融サービスを受けられていな
いシンガポールでは、バーチャルバンク認可の第一次申請に 21 件の応募
があり、そのうち 14 件が基本要件を満たした17
。2 社は2020 年に完全な銀
行を取得する予定であり、3 社はホールセールバンキングサービスのライ
センスを取得している18
。
この地域では、バーチャルバンクに加えてノンバンクのフィンテック企業も登場
している。暗号通貨サービスやライドシェアの決済システムから従来型 FI に顧客
を呼び込む新しいプラットフォームまで、ニッチなものから広範なものを含
13 Fintech News（2019 年 10 月）, What is Suptech? An Overview of this Rapidly Growing Space, https://fintechnews.ch/regtech/what-is-suptech-an-overview/31289/
14 KrAsia（2019 年）, Digital banks are coming to Southeast Asia, https://kr-asia.com/digital-banks-are-coming-to-southeast-asia
15 KrAsia（2019 年）, Digital banks are coming to Southeast Asia, https://kr-asia.com/digital-banks-are-coming-to-southeast-asia
16 FMT News（2020 年 2 月）, Digital banking is changing Malaysia’s financial landscape, https://www.freemalaysiatoday.com/category/leisure/2020/02/01/digital-banking-is-changing-malaysias-
financial-landscape/
17 Crowdfund Insider（2020 年 8 月）, Digital Banking: Singapore May be Ideal for Virtual Banks Offering Modern Financial Services as 40% of its Nearly 6 Million Residents are Underbanked,
https://www.crowdfundinsider.com/2020/08/165949-digital-banking-singapore-may-be-ideal-for-virtual-banks-offering-modern-financial-services-as-40-of-its-nearly-6-million-residents-are-underbanked/.
18 Crowdfund Insider（2020 年 8 月）, Digital Banking: Singapore May be Ideal for Virtual Banks Offering Modern Financial Services as 40% of its Nearly 6 Million Residents are Underbanked,
https://www.crowdfundinsider.com/2020/08/165949-digital-banking-singapore-may-be-ideal-for-virtual-banks-offering-modern-financial-services-as-40-of-its-nearly-6-million-residents-are-underbanked/.

め、新しい金融サービスがクラウド・プラットフォーム上で考案され、開発さ
れ、商業的に拡大している。広く認知されている幾つかのスタートアップは、
例えば以下のような、規制やビジネス上の制約のために従来型 FI ができなかっ
た方法で顧客にサービスを提供している。
● シンガポールを拠点とする CodaPay は、エンターテインメント、電気通
信、電子商取引などの代替決済チャンネルにアクセスできるようにして、
地域内のカードを持たない顧客の支払いを処理している19
。CodaPay は、イ
ンドネシア、マレーシア、シンガポール、台湾、タイ、ベトナムで利用可
能である20
。
● 2019 年に中国の WeBank は、香港で営業するための香港金融管理局
（HKMA）21
のバーチャルバンク・ライセンスを取得した。WeBank は、テ
ンセントが支援するデジタルバンクのスタートアップで、中国の個人や企
業にリテールバンキングを提供している22
。香港を拠点とするスタートア
ップの WeLab は、バーチャルバンキング・サービスを提供する WeLab Bank
とオンライン融資プラットフォームの WeLend を導入し、いずれも香港で
運営している。
● 2020 年にマレーシア証券委員会（SC）は23
、中小企業の資金繰りや融資ニ
ーズを支援するために、それらの企業を対象にピアツーピア（P2P）のマ
ルチバンク・サプライチェーン・ファイナンス・サービスを提供するフィ
ンテック・スタートアップ、CapitalBay を認可した24
。CapitalBay は、クラウ
ド技術を利用することで、セキュリティ機能、独自のリスクアルゴリズ
ム、信用評価などのビッグデータを活用する機能を持つ P2P プラットフォ
ームを企業や FI に提供し、中小企業のキャッシュフロー管理を向上させる
持続可能な返済条件での合理化されたサプライチェーン・ファイナンスを
可能にしている25
。
● 世界の保険会社 30 社と提携するデジタル保険ブローカーの PolicyPal は、
Android アプリからスタートし、シンガポールのフィンテック・レギュラト
リー・サンドボックスで育成期間を終えた後、シンガポール金融管理局
（MAS）26
から認可された最初の企業である27
。同社は最近、香港の AMTD
グループに買収された。AMTD グループは、先に述べた香港で最初にバー
チャルバンク・ライセンスを取得した 8 企業の 1 つである AirStar Bank を
Xiaomi とともに所有している28
。AMTD の会長兼 CEO であるカルバン・チョ
イ（Calvin Choi）氏は、これを革新的で包括的なデジタル金融プラットフ
ォームを開発するよい機会と捉えている29
。
19 Crunchbase（日付不明）, Coda Payments, https://www.crunchbase.com/organization/coda-payments.
20 Tech Collective（2019 年 8 月）, FinTech in Southeast Asia: new trends and market leaders, https://techcollectivesea.com/2019/08/30/fintech-in-southeast-asia-new-trends-and-market-leaders/.
21 Bank of Japan (2005) 香港金融管理局 https://www.boj.or.jp/announcements/koho_nichigin/backnumber/data/nichigin1-11.pdf
22 Crowdfund Insider（2019 年）, Hong Kong Monetary Authority Approves Virtual Bank License for WeLab Digital Limited, https://www.crowdfundinsider.com/2019/04/146193-hong-kong-monetary-
authority-approves-virtual-bank-license-for-welab-digital-limited/.
23 Financial Services Authority, (2 Oct 2020) スチュワードシップ・コードをめぐる状況と論点等について https://www.fsa.go.jp/singi/stewardship/siryou/20191002/03.pdf
24 Tech Collective（2019 年 8 月）, FinTech in Southeast Asia: new trends and market leaders, https://techcollectivesea.com/2019/08/30/fintech-in-southeast-asia-new-trends-and-market-leaders/. ま
た、次も参照のこと。https://www.digitalnewsasia.com/business/capitalbay-receives-sc-approval-operate-p2p-financing-platform.
25 Vulcan Post, RM2 Mil In Hand, https://vulcanpost.com/621713/startup-sme-cashflow-capitalbay-malaysia-funding/.
26 Financial Services Agency, (13 Mar 2017) [金融庁・シンガポール MAS 共同プレスリリース] 日本・シンガポール、FinTech 協力枠組みを構築 https://www.fsa.go.jp/inter/etc/20170313-
1.html
27 Fintech News（2020 年 3 月）, HK-Based AMTD Acquires Insurtech Startup PolicyPal, https://fintechnews.sg/38448/insurtech/hk-based-amtd-acquires-insurtech-startup-policypal/.

● CreditVidya はインドに本社を置くクラウドネイティブ・フィンテックであ
り、その融資審査技術により、金融サービスを受けられない 2 億 5,000 万
人以上の市民に対する融資市場を開拓している。これまで FI は、1 日の世
帯収入が通常 2 ドルから 10 ドル程度のこれらの市民に対して、担保やクレ
ジット履歴がないことを理由に融資を行おうとしなかった。加えて、ロ
ーン処理にかかる申込者 1 人当たりにかかるコストの平均額は 290 ドル
で、費用面からも負担が大きかった。CreditVidya の技術は、ローン処理
コストを約 2 ドルから 1 セント未満に削減するとともに、申込者のデジタ
ルフットプリントを活用して信用力を測定することで、クレジット履歴
や担保がなくても融資出来るようになった。
● 2008 年以降、スタートアップの投資アドバイザーと従来の投資アドバイザ
ーの両方から、ロボアドバイザーが開発された。ロボアドバイザーとは、
人間がほとんど関与しない、自動化されたアルゴリズム駆動のファイナン
シャルプランニング・サービスである。ロボアドバイザーの設定は簡単
で、目標設定やポートフォリオ管理などのサービスを低料金で提供す
る。シンガポールを拠点とする StashAway は、2017 年にシンガポール金融
管理局（MAS）から資本市場ライセンスを取得した30
。2018 年には、はマ
レーシアでサービスを提供するライセンスを取得している31
。シンガポー
ルに設立された Lumiq とスイスに拠点を置く Additiv もまた、シンガポール
でサービスを提供している32
。香港拠点の 8 証券会社は、2015 年に日本で
「クロエ（Chloe）」というロボアドバイザリーサービスを開始し、2016
年にはお金のデザイン社33
の「テオ（THEO）」がこれに続いた34
。
● 「今買って後で払う（Buy-now-pay-later）」BNPL サービスが人気を集めて
いる。これらのブランドまたはホワイトラベルのクレジットサービスは、
消費者がオンラインおよび実店舗の商店から商品を受け取ることを可能に
する。オーストラリアの BNPL サービスである AfterPay は、アジア市場での
事業拡大のために、シンガポールを拠点とする EmpatKali BNPL サービスの
買収を検討している。EmpatKali は主にインドネシア市場に注力しており
35
、他の企業も、これらのサービスをアジアに導入することを検討してい
る。
これらのサービスはすべてクラウド・プラットフォーム上で実行されており、ク
ラウドの手頃な価格、能力、スケーラビリティ、そしてサービスのためのクラウ
ド・エコシステムがなければ成功しなかった可能性が高いものである。顧客向け
アプリからビッグデータアナリティクス、バックオフィス機能に至るまで、クラ
ウドは創造的な問題解決を可能にし、金融サービスの革新のためのプラットフォ
ームを提供している。
30 StashAway（日付不明）, about StashAway, https://www.stashaway.sg/about.
31 StashAway（日付不明）, about StashAway, https://www.stashaway.sg/about.
32 Okhonko, Elena（2018 年）, Who is the Best Robo-Advisor in Asia, https://fintechnews.sg/20585/roboadvisor/best-robo-advisor-in-asia/.
33 Money Design, (n.d.) https://www.money-design.com/
34 The Asian Banker（2017 年）, Robo-Advisors Poised to Take Off, https://www.theasianbanker.com/updates-and-articles/robo-advisors-poised-to-take-off.
35 Electronic Payments International（2020 年）, Australia’s BNPL services provider AfterPay eyes Asia expansion, https://www.electronicpaymentsinternational.com/news/australias-bnpl-services-
provider-afterpay-eyes-asia-expansion/.

経済回復における金融サービスの役割および回復後の継続的な経済成長に
対するクラウドの重要性が増大
多くの政府は、労働者や企業がパンデミックによる経済危機を乗り越えられるよ
う支援する融資プログラムや助成金を設立している。これらのプログラムの多く
は、FI に対してローンの免除や、一時解雇された従業員への政府の給付金を管理
したりすることを求めている。また、中小企業に対して低金利または無金利の
ローンを提供することを貸し手に求めるものもあり、通常の 60 日よりもはるかに
短い期間で処理される36
。これらのプログラムの中には、比較的明確に定義されて
いるものもあるが、ほとんどの場合 FI には、資格要件や給付条件が不明確な複雑
な緊急プログラムを管理することが求められる。
クラウド・コンピューティングは、FI がこれらの特殊な（通常はオンラインの）
サービスを拡大して危機における顧客のニーズに応えるとともに、監査可能性を
維持し説明責任を果たすことができるよう支援している。一部の融資プログラム
には、中小企業がキャッシュフローの変動に合わせてスケジュール通りに返済で
きるという特徴がある37
。このような不規則な返済を、借り手に負担をかけること
なく管理するためには、一般的な FI のビジネスプロセスや情報技術では対応でき
ない、より高度なデータ管理が必要となる。そのため、規制へのコンプライアン
スを維持しつつ、新たな需要に対応するために、クラウドベースのデータアナリ
ティクス・ソリューションが導入されている38
。
これらのプログラムは法域ごとに異なるが、CSP は FI と協力して、特定のプログ
ラムや CSP の顧客のニーズに合わせたソリューションを提供することができる。
長期的には、FI は CSP と協力することで、危機が去った後にも十分役立つような
新しい、即座に展開できる商品やサービスを構想することができる。
グローバルスタンダードに従って、地域全体の規制を一致させる必要性
クラウド・コンピューティングの活用が加速する中、多くの規制当局は、クラウ
ドのガイドラインやポリシーを導入することでクラウドの活用を奨励かつ監督す
る動きを加速させている。ACCA は、それに伴って FI にコンプライアンス上の課題
が生じていることに気づいた。政策やガイドラインが策定される中、この地域の
いくつかの市場では異なる規制要件が見られる。クラウドに関する公表された
ポリシーやガイドラインには、重要な差異を持つ要件がある。
ポリシーが異なると、2 つの理由から相当な複雑性が生まれる。第一に、グロー
バル企業の FI は、通常、グローバルに標準化されたシステムを導入しており、市
場ごとの差異が少ないほどコンプライアンスはより効率的になる。第二に、FI は
通常、多くの市場でサービスを提供する CSP に外部委託しており、CSP は一貫し
て厳格なレビューと報告を行うためにグローバルスタンダード（SOC2、SSAE18 な
ど）を準拠している39
。したがって、地域内の規制が一致していればいるほ
ど、コンプライアンスの効率性が高まる。
36 Tech Radar（2020 年）, How technology can support SME lending during the pandemic, https://www.techradar.com/news/how-technology-can-support-sme-lending-during-the-pandemic.
39 SOC2 とは、米国公認会計士協会（AICPA）のトラストサービスの原則（TSP）に準拠した審査に基づき、セキュリティ、可用性、処理のインテグリティー、機密性、プライバシー
を評価し、報告するプロセスである。米国公認会計士協会（AICPA）の監査基準委員会は、世界的に認められている国際会計基準を反映させるために、「米国アテステーション業務
基準書第 18 号」（SSAE 18）を作成した。SSAE 18 は、国際保証業務基準第 3402 号（ISAE 3402）と密接に連携している。

コンプライアンスの遵守義務が異なると、一部の市場では、FI が顧客に同じ革新
的な機能を提供できなかったり、事業コストが大幅に増加して存続できなくなっ
たりする可能性がある。規制当局が私たちの提言を採用することで、地域内のコ
ンプライアンス要件およびグローバルスタンダードがいっそう一致するようにな
ることが期待される。ACCA は、この地域の規制当局が規制アプローチを一致させ
るよう働きかけている。これには、規制要件に対するリスクと原則に基づいたア
プローチを採用し、リスク管理の枠組みの中で FSI のためにクラウドの使用を許可
することが含まれる。また、国境を越えたデータの流れを可能にし、クラウド上
で適切に保護された顧客データを、過度に負担のかかる規制プロセスなしに処理
することを許可することも含まれる。
提言
ACCA は、FI と規制当局によるFSI のクラウドへの理解を細部まで把握すべく、
10 の提言（2018 年の報告書から更新）を行っている。ACCA の提言の目的は以下
の 3 つである。
● FI が多くの機能にわたるクラウドサービスを使用する方法およびそ
の理由を、規制当局が理解できるように支援する。
● 規制当局に対して、管轄区域内や異なる市場でクラウドサービスに影
響を及ぼす規制要件やガイドラインの一致を促す。
● 国際基準とグローバルなベストプラクティスを用いて、FI のクラウド
活用を可能にする最高水準のコンプライアンスを支持する。
図 3：規制への 10 の提言

提言の改訂理由
ACCA の提言は、FI や規制当局がクラウド・コンピューティングとは何かについ
て、また、それが FSI にどのように適合するかについて理解を深めてきたことを反
映して改訂されてきた。私たちは特に、クラウドがコンプライアンスや監督のパ
ラダイムにどのように適合するのか、また、規制やガイドラインにどのような調
整を加えることが妥当かを明らかにすることを目指している。
表 1：提言とスコアリングの根拠に関するまとめ
規制への提言採点方法の根拠
1. 政府は、FI へのパブリッククラウ
ドの活用を公に認めてきた。
パブリッククラウドの活用を公的に認めることで、規制当局が FI によるク
ラウドサービスの活用を支持し、その利点を認めていることが明確になる。
2. 規制により、FI がクラウドサービ
スを活用する際に従うべき明確かつ
過度に負担にならないプロセスを定
めるべきである。
明確な規制プロセスは確実性を高め、コンプライアンスやリスク管理が向上
する。不透明、不確実、過度の負担を強いるプロセスは、新技術の活用を妨
げたり、阻害したりする傾向がある。
3. ワークロードごとにクラウドサー
ビスを導入する際、規制は当局の事
前承認を要求すべきではない。
各ワークロードにクラウドサービスを活用したり、アプリケーションをクラ
ウドに移行したりする際、FI に対して規制当局の事前承認を要求すべきで
はない。重要、あるいは必須のワークロードをクラウドサービスに移行
する場合、規制当局への通知は適切に行うべきである（ただし、ワークロー
ドをクラウドに移行する前に「異議なし通知」を要求しない）。あらゆ
る通知プロセスは明確で、過度に負担をかけたり繰り返す必要がないように
すべきであり（たとえば、Iaa S／Paa S タイプのクラウドの活用に
は、1 回限りの外部委託プロセスで十分）、規制当局による不利益な決
定に対しては、「異議申し立て」または協議の機会を設けるべきである。規
制当局への通知は、リスク評価フレームワークの見直しで対処が可能。
4. 規制はリスクベースで行い、重要
なワークロードと重要でないワーク
ロードへの適用を明確に区別し、重
要でないワークロードについては要
件を最小限にすべきである。
規制要件は、さまざまなワークロードに関連するリスクに相応のものでなけ
ればならない。この重要な区別により、企業はリスクをよ
り明確に評価し、コンプライアンスとセキュリティを特定のワークロードと
一致させることができる。重要性を評価するための基準は明確に定義さ
れるべきである。重要でないワークロードがあるとすれば、それについて
は、最小限のコンプライアンス要件を設けるべきである。
5. 規制はデータの管理と処理を明確
に区別すべきである。
この重要な区別により、企業はリスクを評価し、管理とコンプ
ライアンスの責任をより明確に割り当てることができる。それに対応し
て、データを管理する企業とデータを処理する企業それぞれが、データ
の管理と保護、コンプライアンスに関して、大きく異なる役割を担うこ
とになる。
6. 地理的制約：
a. 規制は国境をまたぐデータの転送
を許可すべきである。
b. 規制は特定地域にデータを保存す
ることを要求すべきではない。
国境をまたぐデータの転送が認められるべきである。これは、金融サービス
の国境横断的性質や、クラウドベースのデータフローの性質と整合するもの
である。データのローカライゼーションの要件やデータを特定の地域に保存
する要件は、FI にリスクへの脆弱性をもたらし、規模の経済から恩恵を受
けるクラウド導入の効率性を制限する可能性があるため、避けなければなら
ない。また、このような制限はクラウド活用のコストを増加させ、選択肢を
狭める可能性がある。

7. 規制によりクラウド契約の条件を
規定すべきではない。
規制によりコンプライアンスの目的や原則を規定してもよいが、コンプライ
アンス上の義務を果たしながら最大限の柔軟性を持って、CSP と FSI の間で
クラウド契約を自由に交渉できるようにすべきである。
8. 規制により、CSP 施設に対して無
制限に物理的監査を行う権限を政府
に与えるべきではない。
CSP 施設への無制限の物理的アクセスは、監査や監督のためには不要
で、CSP とその顧客にセキュリティ・リスクをもたらす。代わりに、
正式な監査を定期的に実施し、報告書を規制当局が閲覧できるようにすれ
ば、監督の目的を果たすことができる。
9. 規制および規制当局は、海外の
CSP か国内の CSP かに関しては中立
を保つ。
ベストプラクティスについて提言するならば、規制は国内の CSP か海外の
CSP かということに対して中立を保つべきである。
国際基準やベストプラクティスに基づき、事業目的やコストを考慮した上
で、FI が最善のサービスを提供する最も適切な CSP を選択できるようにす
ることが重要である。
10. 規制は、効果的なオペレーショナ
ルレジリエンスに対するリスクベー
スのアプローチを促進するものであ
る。これには、事業継続計画および
災害復旧計画、地理的多様性、可逆
性、出口戦略、ベンダーの選択など
の要因を検討するよう FI に促す、強
制的ではないガイダンスが含まれ
る。
FI がレジリエンスを管理する上で最大限の柔軟性を確保するため、規制当
局はリスクベースのアプローチを奨励すべきであり、これには、事業継続計
画および災害復旧計画、地理的多様性、可逆性、出口戦略、ベンダーの選択
などの要因を検討するよう FI に促す強制的でないガイダンスが含まれる。
指示的規制は避けるべきである。
もう一つの改訂は、2018 年に使用された色分けされた「はい」か「いいえ」の表
現から、絶対的な数値によるスコアリングモデルに変更されたことである。これ
により規制当局は、市場でのクラウド活用の拡大に向けた取り組み状況をより詳
細に把握することができる。また、これを使って市場を比較すれば、どの分野が
改善可能か、FI が自行の市場でクラウドサービスを活用する際に、FI や規制対象
のコミュニティがどのような課題に直面するかを規制当局は知ることができ
る。
私たちは銀行セクターの規制について検討した後、アジア太平洋地域の 11 の市場
について後続分析を行っている。参考までに、英国とアメリカ（実例として、連
邦政府の規制当局と 1 つの州の規制当局の両方）の評価を行った。アジア太平洋
地域の市場は、オーストラリア、香港、インドネシア、インド、日本、マレーシ
ア、フィリピン、シンガポール、韓国、台湾、タイである。各市場について、銀
行規制やガイドラインが提言に明確に沿っているかどうかを理解するために、提
言と対照して銀行規制およびガイドラインを評価した。各提言について、以下に
具体的な採点基準を示し、提言の焦点をより詳しく説明した。

方法論：既述の提言とスコアリング基準
提言 1：政府は、FI へのパブリッククラウドの活用を公に認めてきた。
スコアリング
● 6 点：はい。パブリッククラウドの採用を公式に支持して推進している。
● 4 点：パブリッククラウドのメリットは認識しているが、採用を明確に推進して
はいない。
● 2 点：クラウドのメリットはおおむね認識しているが、パブリッククラウドに言
及してはいない。
● 1 点：プライベートクラウドやクラウドのハイブリッド利用を暗に支持して優遇
しているか、クラウドを利用している金融セクターに言及していない。
● 0 点：パブリッククラウドに明確に反対している。
いくつかの市場では、規制当局がアクションを取るか公式声明を発しているが、これは FI によるクラウドサービ
スの利用を明確に支持するものである。この状況は、国の政策、規制、ガイドライン、あるいは広く周知されて
いる公式声明のコンテキストに沿っていることがある。この点で顕著なのがシンガポールである。2016 年に、シ
ンガポール金融管理局（MAS）40
のラヴィ・メノン局長41
が、シンガポールフィンテックフェスティバル
（SFF）42
で、MAS は FI がクラウドを利用することにまったく異議を唱えないと公式に宣言している（写真参
照）。
写真 1：クラウド・コンピューティングに関する MAS の発表（2016 年 SFF）
出典：Asia Cloud Computing Association（ACCA、2016 年）43
MAS は、最近になってクラウドを積極的に推進している。2020 年 8 月、MAS は強化版の金融セクター技術/革新
スキーム（FSTI 2.0）44
の下、以降の 3 年間に 2 億 5,000 万シンガポールドルをつぎ込む旨を発表している。その目
的は、初期段階での投資と大規模フィンテックプロジェクト（「金融サービスを抜本的に変革する」45
5 つの
テクノロジーの 1 つとしてクラウド・コンピューティングを利用するものを含む）をサポートすることである。
FI によるクラウド採用に関して積極的な見解を明確に表明している各国政府は、こうした動きに関して FI が規制
当局との議論を開始するお膳立てをしている。規制当局の間で見解が変化していることを示す根拠として、これ
ほど明確なものはあまりない。
クラウド採用に関係する 1 つのポイントは、暗号化済みの個人情報を規制当局がどう見ているかである。MAS が
2016 年の協議中に受けたフィードバック46
は、「顧客情報」に適用される義務を、公開情報や、匿名化または暗
号化によりセキュリティを確保した結果、FSI の顧客の特定に容易に利用できない情報には、適用すべきではな
いというものであった。ACCAは、クラウド利用の拡大を可能にすべく、全規制当局が同一アプローチの採用を検
討することを推奨する。
40 Financial Services Agency (13 Mar 2017) [金融庁・シンガポール MAS 共同プレスリリース] 日本・シンガポール、FinTech 協力枠組みを構築 https://www.fsa.go.jp/inter/etc/20170313-1.html
41 New Economy, (22 Jun 2020) シンガポールの中央銀行と通貨管理局が中国デジタル人民元の共同開発に向け模索段階か https://www.neweconomy.jp/posts/58080
42 JETRO, (6 Jun 2021) 世界最大級のフィンテックフェス、11 月 8～12 日にハイブリッド開催へ https://www.jetro.go.jp/biznews/2021/08/11d47069bc359180.html
43 ACCA の Twitter（2016 年 11 月 17 日）, https://twitter.com/accacloud/status/799102882955960320
44 Financial Services Agency (Mar 2021) ASEAN の金融包摂に係る委託調査 https://www.fsa.go.jp/common/about/research/20210423/report.pdf
45 Yahoo Finance（2020 年 8 月）, 「Innovation and technology adoption in financial sector accelerated https://sg.finance.yahoo.com/news/innovation-technology-adoption-financial-sector-182849393.html
46 MAS（2016 年 7 月）, 「Response to Feedback Received – Public Consultation on Guidelines on Outsourcing」
https://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/Response%20to%20Consult%20%20Outsourcing%20Guidelines%20Jul
%202016.pdf

提言 2：規制により、FI がクラウドサービスを活用する際に従うべき明確かつ過度に
負担にならないプロセスを定めるべきである。
スコアリング
● 6 点：はい。規制により、FI がアウトソーシング契約を結ぶ際に従うべき明瞭なプ
ロセス（たとえば、デューデリジェンスの実施、リスクの評価、規制当局への通
知）を提示しており、このプロセスがクラウド採用にも適用されることを（規制自
体での言及を通じて、またはクラウド・コンピューティングに関する添付のガイド
ラインやインフォメーションペーパーで）明示している。こうしたプロセスは、
リスクに見合うものであり、現実的で、過度な負担をかけないものになっている。
● 4 点：はい。規制により、FI がアウトソーシング契約全般を結ぶ際に従うべき明瞭
なプロセスを提示しているが、クラウドに適用する可能性に明示的に言及していな
いか、プロセスの負担が重めである。
● 0 点：いいえ。アウトソーシングやクラウド採用に関する明瞭なプロセスや規制に
関するガイダンスが存在しないか、プロセスの負担が重すぎる。
ACCA は、FI がクラウドに移行できる明瞭なプロセスを規制時に提示することを強く推奨する。
明瞭なプロセスは、コンプライアンスの確実性を高める。また、このプロセスを過度な負担をか
けるものとしてはならない。
第 1 の例では、クラウド・コンピューティングの利用が、FI が選択可能なオプションとして明示
されているか否かの明瞭性に注目する。たとえば、それがアウトソーシングに関する FI のポリシ
ーやガイドラインの対象である多数のサービスの 1 つとして登場するか、 FI によるテクノロジ
ー利用を管理するテクノロジーリスク管理フレームワークを規制当局が開発しているか、であ
る。
米国では、連邦政府で銀行を担当する最大の規制当局である通貨監督庁（OCC）47
が規制を通
じ、FI がアウトソーシング契約を結ぶ際に従うべき明瞭なプロセス（たとえば、デューデリジェンス
の実施、リスクの評価、規制当局への通知）を提示しており、このプロセスがクラウド採用にも適用
されることを明示している。省庁を横断する形で原則を踏まえて政策を決定する連邦政府機関であ
る連邦金融機関検査協議会（FFIEC）48
が作成したアウトソーシングテクノロジーサービスブックレ
ットでは、適用される各種の法令と規制をまとめ、テクノロジーをアウトソースする際に従うべ
き手続きと要件を詳述しているが、FFIEC が別件で述べたところによると、これはクラウドにも
適用される49
。また、適用される複数の規制とガイダンスブックレットを通じて、クラウドサー
ビスを採用する FI に明瞭なコンプライアンス手続きを提示している。
今回のレポートで取り上げている市場のほとんどが、FI がクラウド・コンピューティングを採用
するプロセスを明示すべく動いていることは、心強い実態である。たとえば、香港金融管理局
（HKMA）50
の監督政策マニュアル（SA-2）51
は、セクション 1.1.3 で「最新テクノロジー」を取り
立てて挙げているため、クラウド・コンピューティングの採用が可能になっている52
。他方、マ
レーシア国立銀行（BNM）53
のアウトソーシングガイドラインは、セクション 11 で「クラウドサ
ービスに関係するアウトソーシング」に言及しており54
、「クラウド・コンピューティングサー
ビスに関係するアウトソーシング」に関するオーストラリア健全性規制庁（APRA）55
のインフォ
47 Financial Services Agency (n.d.) https://www.fsa.go.jp/link
48 Financial Services Agency (15 Aug 2016) FFIEC Cybersecurity Assessment Tool に関する調査研究』調査報告書」の公表について https://www.fsa.go.jp/common/about/research/20160815-1.html
49 FFIEC（日付不明）, 「Outsourcing Technology Services Booklet」（https://ithandbook.ffiec.gov/it-booklets/outsourcing-technology-services.aspx）
50 HKMA Twitter, (n.d.) https://twitter.com/hkmagovhk
51 HKMA (n.d.) 監管政策手冊 https://www.hkma.gov.hk/media/chi/doc/key-functions/banking-stability/supervisory-policy-manual/SA-2-Ch.pdf
52 HKMA（日付なし）, 「SA-2 Outsourcing」（http://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/SA-2.pdf）
53 Sustainable Japan (7 Jan 2021) 【マレーシア】中央銀行、気候変動ファイナンス・タクソノミー案発表。高効率火力発電は盛り込まれず https://sustainablejapan.jp/2020/01/07/malaysia-climate-
texonomy/45277
54 BNM（2019 年 10 月）, https://www.bnm.gov.my/index.php?ch=57&pg=144&ac=849&bb=file
55 Financial Services Agency (16 Aug 2016) オーストラリア健全性規制庁（APRA）との銀行監督協力に係る書簡交換について https://www.fsa.go.jp/inter/etc/20160816-1.html

メーションペーパーは、クラウド・コンピューティングについて、更に明瞭な形で示している
56
。
この評価基準でスコアが最高になっている市場は、FI がクラウドを採用するプロセスを明示して
いる。たとえば、先に言及した市場の多くは、デューデリジェンスと説明責任の仕組みを FI 向け
に詳述する規制を設けている。他方、規制関連の要件とプロセスは、たとえ明瞭であってもリス
クに見合うものとすべきであり、過度な負担をかけてはならない。不必要に負担が重い指示型の
要件では、コンプライアンスが単に枠内にチェックを入れる作業に転じる恐れがあり、リスク評
価の責任を FI が負うのではなく規制当局に負わせる傾向が強まる。これでは、テクノロジー採用
とイノベーションが阻まれるか遅れかねない。
FI が関係するアウトソーシング契約/承認の合理化
規制関連の要件とプロセスは、セキュリティとコンプライアンスに関して妥協することなく、
可能な限り合理化すべきである。今日のクラウド規制の大半では、クラウドのインプレモ
デル（IaaS、PaaS、SaaS の各デリバリーモデル）を区別していない。また、多くの規制はク
ラウド採用に関する話になると、アウトソーシングに関する契約と承認を義務付けることで、
FI に不必要なまでに重い責任を課している。FI は、IT アプリケーションをクラウドに配備す
るたびにアウトソーシングプロセスを実行することを義務付けられていることが多いが、こ
れは反復性が高い上に時間がかかる非効率な作業となる。また、アジア太平洋（APAC）
地域では、それぞれの体制によって大きな分断が生じており、FI はこうしたプロセスを国ご
とに繰り返す必要に迫られている（国境を越えてサービスを提供しているグローバル FI やリ
ージョナル FI にとって、この負担は極めて重い）。
たとえば、FI が自社のアプリケーションをサードパーティのクラウドサービス・プロバイダ
ー（CSP）のプラットフォーム（たとえばアウトソース先の IaaS や PaaS）に移行し、こうし
たアプリケーションとデータの責任とコントロールを完全に手元に維持しているが、オペレ
ーション上のアクセス権がない場合、ACCA は規制当局に対し、こうした契約に関して単一
の金融サービス（FS）規制当局から承認を受けるか、FI が規制当局に通知することを唯一の
要件とすることを推奨する。これは、プラットフォーム開発／クラウド移行計画の全体で、
後続のワークロードとアプリケーションのすべてについて 1 回のみ実行するものである。
このアプローチを採用すると、FI が市場化リードタイムを短縮し、リソースを反復的なコン
プライアンス管理から付加価値が高い提案内容に再配備できるため、メリットを享受できる。
56 APRA（2018 年 9 月 24 日）, 「Information Paper, Outsourcing Involving Cloud Computing Services」（https://www.apra.gov.au/sites/default/files/information_paper_-
_outsourcing_involving_cloud_computing_services_0.pdf）

提言 3：ワークロードごとにクラウドサービスを導入する際、規制は当局の事前承認
を要求すべきではない。
スコアリング
● 6 点：規制当局の承認は一切不要（グローバル標準の遵守と国際サードパーティ認証で十分）である。
● 4 点：規制では、重要でないワークロードについては規制当局の事前承認（正規のものか事実上のものか
を問わず）を不要としている。
重要なワークロードについては、規制当局の承認（正規のものか事実上のものかを問わず）が必要である
が、これはワークロードごとに必要なものではない。
承認プロセスを明確に記述して、透明性、客観性、要件明瞭性が高いプロセスに従い、承認に関する期限
と基準を示して、FI や CSP に抗弁権を与えるべきである。
重要なワークロードを CSP に移行する際に規制当局に「情報提供」か「通知」を行うことが義務付けら
れていることがあるが、この通知プロセスでは FI がワークロードを CSP に移行する作業を、異議なし通
知書を受け取るまで止めておく必要がない。
● 2 点：規制により、各ワークロードではなく CSP と銀行の各関係について事前承認（または規制当局への
通知と異議なし通知書の受領）が義務付けられているが、4 点の項で説明したプロセス透明性を欠いてい
る。承認プロセスを明確に記述していないか、透明性、客観性、要件明瞭性が高いプロセスに従っておら
ず、承認に関する期限と基準を示さず、FI や CSP に抗弁権を与えていない。
● 0 点：規制により、FI がワークロードを CSP に移行するたびに規制当局の承認を受けることが義務付けら
れている。
一部の市場では、FI がワークロードをクラウドサービスに移行しようとするたびに承認を受けることを規制当局
が義務付けている。このプロセスは反復性が高く、長期にわたり、透明性を欠くことがあるため、クラウド展開
が阻まれる恐れがある。一部の市場では、要件が通知のみであるが、FI はワークロードを CSP に移行する作業
を、規制当局が発行する「異議なし通知書」などの同意書を受け取るまで止める必要がある。これは「事実
上」、承認要件を構成している。
CSP とのアウトソーシング契約については、規制当局が FI によるクラウドサービスの利用を承認する要件を設け
るべきでない。規制当局は、承認や事実上の承認を受けることを義務付けるのではなく、FI のリスクベース分析
に加え、CSP の標準、ベストプラクティス、認証と目的との整合性を考慮する必要がある。これが特に重要なの
は、多国籍サービスプロバイダーの場合である。多国籍サービスプロバイダーは、グローバル FI の厳しいニーズ
を満たす最高レベルの国際標準と全世界のベストプラクティスに対応すべく、自社サービスを保守していること
が多い。また、FI がアウトソーシングベンダー（CSP を含む）と共同でリスクベースの自社ポリシーを通じてコ
ンプライアンスを管理している点は注目に値するため、監督時にはリスク管理に関する規制当局の期待事項に FI
がどう対応しているかに留意すべきである。
クラウド・コンピューティングの主なメリットは、必要に応じてワークロードを拡張可能でアジャイルな環境
に素早く効率的に移行できることである。面倒な承認プロセス（正規のものか事実上のものかを問わず）が必
要であると、テクノロジーの採用とイノベーションが阻まれるか、遅れる恐れがある。ワークロードごとに承認
を受けるよりも優れた方法は、FI が CSP と契約する際にリスク評価フレームワークを採用するものである。この
シナリオでは、FI が CSP と契約するか CSP にワークロードを追加移行する際に、承認を受けるのではなく、規制
当局にみずから情報を提供することを義務付けるものである。情報提供目的で通知を行うと、規制当局がクラ
ウドのインプレを不必要に遅らせることなく、コンプライアンスを検討することができる。
どの規制プロセスも、付随するリスクに見合ったものとする必要がある。承認や通知が絶対に必要な場合でも、
それらを基幹ワークロードか、少なくとも重要なワークロードに限定すべきである。また、先述のように、どの
規制プロセスも可能な限り合理化する必要がある。たとえば、FI が自社アプリケーションをサードパーティにア
ウトソースしたプラットフォーム（IaaS／PaaS）に移行する場合は、規制関連のアウトソーシングプロセス（ま
たは、それぞれの承認／通知）をワークロードごとに FI に要求するのではなく、プラットフォーム展開／クラウ
ド移行計画全体について 1 回だけ実行すれば、その後に開発するワークロードとアプリケーションのすべてを十
分カバーできるようにすることを推奨する 57
。
57 本提言事項は、アジア証券業金融市場協会（ASIFMA）が 2021 年 3 月にリリースした Principles for Public Cloud Regulation（パブリッククラウド規制の原則）にも沿ったものである。この原則には、「規
制当局は、柔軟性にも配慮して対応し、こうした通知を行うレベルをシステムプラットフォーム開発計画やクラウド移行計画の全体などに引き上げるべきである。また、当該計画全体を通じて追加通知
が必要と判断される場合、FI と規制当局は早期に協力して当該計画の基幹部分を見分け、基幹部分のみに注目すればよいものとする」との記述がある（https://www.asifma.org/wp-
content/uploads/2021/03/final-proposed-asifma-principles-for-public-cloud-regulation-1.pdf）。ASIFMA の訳は https://www.boj.or.jp/announcements/press/koen_2019/ko191010a.htm を参照しました。

提言 4：規制はリスクベースで行い、重要なワークロードと重要でないワークロード
への適用を明確に区別し、重要でないワークロードについては要件を最小限にすべ
きである。
スコアリング
● 6点：はい。規制は重要なワークロードと重要でないワークロードへの適用性を明確に区別し
ており、重要でないワークロードに関する規制が存在する場合、それは軽微（最小限）であ
る。重要性を評価するための基準は明確に定義されている。
● 4点：はい。一定程度は区別されている。規制は重要なワークロードと重要でないワークロー
ドへの適用性を明確に区別しており、重要でないワークロードは（重要なワークロードには
適用される）追加的な文書要件は免除されるものの、これ以外の煩わしい規制要件が重要で
ないワークロードに適用される。
● 2点：最低限の区別はなされている（重要性が定義されている）が、重要なワークロードと重
要でないワークロードの両方に同じ規制要件が適用される。
● 0点：区別はなく、すべてのワークロードが同等に扱われる。
規制は重要なワークロードと重要でないワークロードへの適用性を明確に示すべきであり、この区別は FI へのリ
スクに対応するものである。FI へのリスクは、重要でないワークロードでは大幅に低いか、リスクが存在しない
場合が多い。したがって、重要でないワークロードはリスクが低く、監視要件もわずかであることから、重要な
ワークロードと同じコンプライアンス負担の対象、またはクラウド・コンピューティングの利用を妨げる可能性
のある如何なる規制の対象ともされるべきではない。さらに、重要なワークロードのすべてが最重要ワー
クロードであるとは限らないことが認識されているべきであり、最重要ワークロードに関しては特定の要件を設
定することができる。
重要でないワークロードに適用される規制がある場合、それは最小限に留めるべきである。重要なワークロード
と重要でないワークロードの規制を区別することで、FI はセキュリティ管理を実際のリスクに合わせることがで
き、重要なワークロード関連の管理を重要でないワークロードの場合よりも強化し、高リスクの領域にリソース
を集中させることができる。
優れた指針の例として、オーストラリアの外部委託を管理するオーストラリア健全性規制庁（APRA）の健全性基
準 CPS 231 がある。CPS 231 は、重要な事業活動の外部委託にのみ適用される。APRA では「重要な事業活動」
を、その活動に混乱が生じた場合、FI の事業運営または効果的なリスク管理能力に重大な影響が及ぶ可能性があ
る活動と定義しており、内部監査およびリスク管理機能は、どちらも重要な事業活動と見なされている。
重要な外部委託は APRA との事前協議の対象となり、組織が契約を締結した後の通知要件の対象となる。重要で
ない外部委託の取り決めなどはこれらの要件の対象とはならないものの、外部委託プロバイダーの情報セキュリ
ティ管理の設計を評価することが求められるなど、CPS 234 情報セキュリティセキュリティに従って一定の情報
セキュリティ要件の対象となる。これによってプロバイダーの情報セキュリティ能力が、情報セキュリティイン
シデントによって管理下の情報資産に生じ得る影響に見合ったものであること、また、セキュリティ管理の体系
的な試験の性質と頻度が、情報資産の重要性や機密性などの要因に見合った効果的な水準にあることが保証され
る。
同様に、台湾では、「金融機関業務の外部委託に関する内部の業務制度および手順を規定する」規制の第 19-2 条
に重要な業務が明確に定義されており、重要な業務と重要でない業務に関してはそれぞれに異なる規制が適用さ
れることが明確に定義されている。58
マレーシアでも、2020 年 6 月にテクノロジーに関するリスク管理（RMiT）
ガイドラインが更新され、事前承認が必要なのは最重要システムのみであるとなっている。さらに、最重要シス
テムと最重要でないシステムが明確に区別されている。59
58 金融監督管理委員会（2019 年）, 金融機関業務の外部委託に関する内部の業務制度および手順を規定する規制の改正に関するプレスリリース、
https://www.fsc.gov.tw/en/home.jsp?id=54&parentpath=0,2&mcustomize=multimessage_view.jsp&dataserno=-201910220020&aplistdn=ou=news,ou=multisite,ou=english,ou=ap_root,o=fsc,c=tw&dtable=News.
59 BNM（2020 年 6 月）, RMIT、https://www.bnm.gov.my/documents/20124/963937/Risk+Management+in+Technology+%28RMiT%29.pdf/810b088e-6f4f-aa35-b603-1208ace33619?t=1592866162078.

提言 5：規制はデータの管理と処理を明確に区別すべきである。
スコアリング
● 6点：はい、データの管理者である組織と処理者である組織は明確に区別されてい
る。
● 4点：規制案では区別されている。
● 2点：不明確または曖昧（例：言及はあるが、定義はされてない）。
● 0点：区別なし。
管理と処理（およびそれぞれを担当する組織、つまり管理者と処理者）を明確に区別するこ
とは、データを管理する組織とデータを処理する組織のさまざまな責任を規制当局が理解す
る助けとなるうえ、コンプライアンスに影響を与えるのがどちらの組織なのかが明確になる
ことから重要である。FI のデータ管理の場合、データ処理の方法と理由を決定する組織はデ
ータ管理者である。データ処理者は、データ管理者に代わって、またはデータ管理者の要請
でデータを処理するだけであることから、データ管理者とは区別しなければならない。
外部委託された活動のコンプライアンスの責任を外部に委譲することはできないことから、
管理者と処理者を区別することが重要となる。クラウドサービス（たとえば、サービスとし
てのインフラストラクチャ（IaaS）やサービスとしてのプラットフォーム（PaaS））では多
くの場合、CSP は、データの処理方法や処理の理由に関する決定を下したり、管理する権限
を持たないことから、「データ処理者」に過ぎないことが一般的であり、事実、顧客データ
へのアクセスが可能であることも希である。FI は通常、データ処理の方法と理由に関するす
べての決定を行うため、「データ管理者」となる。この際に重要な点としてリスクの割り当
てがある。リスク、ひいては責任は外部委譲することはできず、この事実認識は規制で明確
に区別しなければならない。
管理者と処理者の区別が最も頻繁に見られるのは個人データ保護法やプライバシー法におい
てである。ただし、市場によってはこの区別が FSI の外部委託ガイドラインまたは規制の文
脈で行われる場合もある。今日のデータや情報の利用方法を反映するかたちでの銀行秘密法
の更新が立ち遅れている市場も多数存在するが、このような法律はクラウドサービスの利用
を勘案して更新することを推奨する（FI や CSP が個々の FI 顧客の同意を得ることが不可能
な場合）。

提言 6：規制は国境をまたぐデータの転送を許可すべきであり、特定地域にデ
ータを保存することを要求すべきではない。
スコアリング
a.
規制は国境をまたぐデータの
転送を許可すべきである。
● 3点：はい、適切な保護対策を講じることを条件に国境をまたぐ転送
が認められている。
● 1点：いくつかの例外を除いて、認められていない。
● 0点：認められていない。
b.
規制は特定地域にデータを保
存することを要求すべきでは
ない。
● 3点：適切な保護対策が講じられる限り、特定地域にデータを保存す
ることを求める要件はない。
● 1点：認められるのは「ホワイトリスト」法域のみ。
● 0点：データは特定の地理的な場所に保存しなければならない。
ACCA では、順調かつ最も効率的なかたちでのクラウド・コンピューティングの利用とは相容れない地理
的制限が 3 通り存在することを確認している：
● 1 つ目は、法域内の FI、または法域内の市民／居住者を顧客とする FI が、その法域外にデータを
転送することを認めないもの。これは「データローカリゼーション」と呼ばれるものである。
● もう 1 つは、データが法域外に転送される場合でも、法域内の FI がそのデータの複製を法域
内に保持することを求めるもの。これも「データローカリゼーション」の一種である。
● データの所在の制限に関する 3 つ目のパターンは、規制当局が考えるところのより高度なレジリ
エンスを実現するために、特定の地理的な場所でデータを保存することを求めるもの。たとえ
ば、ある都市に所在する FI が、遠く離れた別の都市、ただし規制当局の管轄内の都市で、冗長性
を確保することが求められるといったものがある。
データのローカリゼーションは、規制当局がデータを監視して、これにアクセスするには、その管轄内に
保存する必要があるという誤った考え方を反映したものである。しかし、この考え方は、規制対象の FI が
管轄内にある限り、規制当局は FI に対する監視機能を介して FI のすべてのデータへのアクセスが可能であ
るという現実を見落としている。これは、FI がクラウドサービスを利用していない場合の既存の慣行と一
致する。
レジリエンスの強化を目的として、規制当局の管轄内でデータを保持することを求める地理的制限が正当
であるという考え方は、また別の誤解に基づくものである。実際、FI がある 1 つの都市に所在しており、
その都市内でのみ冗長性を維持することは、その都市が運用データシステムと冗長システムの両方に障害
を及ぼすような環境リスクにさらされた場合にはリスクとなり、このような場合、冗長システムを別の都
市に配置することを義務付けることは理にかなっている。ただし、その都市は規制当局の管轄内にある必
要はない。
実際には、管轄外にあるデータセンターであっても、地理的な距離と区別に関する同じ保護対策を満たす
ことができる。主要な CSP は世界各地でデータセンターを運営していることから、複数の場所から FI にそ
のリソースを提供することができる。実際、複数の場所が存在することで、最高のセキュリティ基準を備
えつつ、はるかに優れた冗長性を実現できる場合もある。
米国に目を転じると、主要な連邦規制機関である通貨監督庁（OCC）の規制では、国境を越えたデータ転
送に制限はなく、データのローカリゼーションも求められていない。ただし、省庁間原則に基づいて政策
を制定する連邦省庁間機関である連邦金融機関審査評議会（FFIEC）では、国外に拠点を置くサードパーテ
ィのサービスプロバイダーを利用する規制対象組織（または国外に拠点を置くサービスプロバイダーに下
請けをする国内サービスプロバイダー）は、顧客データの保護を規定するグラム・リーチ・ブライリー法
のセクション 501(b)など、適用対象となる米国法に準拠しなければならないと指摘している。60
ACCA で
は、米国の FI は州法の対象となるため、多くの多国籍 FI が本社を置き、ニューヨーク州金融サービス局
（NYDFS）の規制が国境を越えたデータ転送を制限しておらず、データのローカリゼーションも求めてい
ないニューヨーク州の州法も調査した。61
60 FFIEC（日付不明）, Gramm-Leach-Bliley Bill, https://www.ffiec.gov/exam/infobase/documents/02-con-501b_gramm_leach_bliley_act-991112.pdf.
61 New York State（日付不明）, 23 NYCRR 500, https://www.dfs.ny.gov/industry_guidance/cyber_faqs.

提言 7：規制によりクラウド契約の条件を規定すべきではない。
スコアリング
● 6点：規制はクラウド契約の条件について規定するものではない。規制には、CSPと
の契約が必要であること、そして契約が規制要件／コンプライアンスへ対処すること
を、具体性を伴わずに求めるもの（規制ではクラウド契約に含まれる規定条件を規定
しない）、またはCSPとの契約が必要であること、そしてその契約において対処すべ
き特定の原則または概念（例、セキュリティ、下請け業者のデータ使用責任の制限、
データの場所、監査権、契約終了に関する条項など）を定めるもの、またはCSPとの
契約の要不要を定めないものがある。
● 2点：規制にはクラウド契約に関する過度に詳細な要件があるが、特定の契約文言を
規定するまでは至っていない。
● 0点：規制が特定の契約条件／文言を規定しているか、クラウド契約の規定書式を定
めている。
ACCA では、規制でコンプライアンスの目的または原則を明示することを推奨している
が、コンプライアンスの義務を果たすうえで CSP と FI が最大限柔軟に、クラウド契約
について自由に交渉できるものとするべきである。FI と CSP 間の契約条件は、サービ
スの具体的な取り決めと一致していなければならない。委託利用できるクラウドサー
ビスは多岐に及び、契約条件は契約の具体的な詳細を反映したものでなければならな
い。具体的な条件または規定を求める規制要件は、契約の目的に適さないことも考え
られる。規制当局の期待に応えるために契約で規定すべき内容が FI と CSP にとって明
確となるように、コンプライアンスの目的または原則を説明することのほうに価値が
ある。
一部のガイドライン草案には — おそらくは時代錯誤的な規制を背景に — SLA の見本が
使用を目的として提供されていることを確認しており、これは FI によって事実上の要
件と誤解されることもあり得る。規制にはこの他に、規制当局が FI にクラウド契約に
盛り込むことを要求する特定の契約条件または条項を定めるものも考えられるが、コ
ンプライアンス要件を満たす上でより多様なアプローチで臨めるようにするために、
これらは規制から削除することを推奨する。
香港の SA-2 が定める要件では、外部委託契約には外部委託プロバイダーの契約上の責
任と義務が明示されていること、さらに外部委託活動に関連する外部委託プロバイダ
ーの業務と管理の監督検査を可能にする条項が盛り込まれることと規定している。62
こ
れ以外の規制要件は目標として提示されており、契約条件は規定されていない。日本
では、金融庁の主要行等向けの総合的な監督指針に契約の一般的な内容が説明されて
いる。ここでは、契約には、提供されるサービスの内容と水準、および取り消しの手
順、契約で指定されたとおりにサービスが提供されない場合の外部委託請負業者の責
任をはじめ、外部委託において発生し得る損害の賠償責任（担保提供を含む）、銀行
が外部委託請負業者から受け取る報告書の内容、検査および監督に関連する金融当局
からの要請への対応の仕方に関する取り決めを盛り込むことを求めている。63
62 HKMA, n.d., SA-2, Section 2.5.1 及び 2.8.2 https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/SA-2.pdf.
63 金融庁（2014 年 7 月 2 日）, 主要行等向けの総合的な監督指針、https://www.fsa.go.jp/common/law/guide/gaigin.pdf.

Asia Cloud Computing Association's Financial Services in the Cloud Report 2021- Japan

Asia Cloud Computing Association's Financial Services in the Cloud Report 2021- Japan

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Asia Cloud Computing Association's Financial Services in the Cloud Report 2021- Japan

Similar to Asia Cloud Computing Association's Financial Services in the Cloud Report 2021- Japan (20)

More from accacloud

More from accacloud (20)

Recently uploaded

Recently uploaded (12)

Asia Cloud Computing Association's Financial Services in the Cloud Report 2021- Japan