III 主要行等監督上の評価項目
III −3 業務の適切性等
III −3―4 利用者保護ルール等
III −3−4−1 顧客の誤認防止等
III −3−4−1−1 意義
顧客に対する利便性の向上や事務の合理化の観点から、当該銀行が、その営業所を他者の店舗と同一の建物内に設置するなどの場合があるが、その際、顧客に対する弊害防止措置が講じられていることが重要である。
III −3−4−1−2 主な着眼点
銀行が、その営業所を他者の本支店等と同一建物、同一フロアに設置する場合には、顧客の誤認防止、顧客情報の保護及び防犯上の観点から、適切な措置が講じられているか。また、コンピュータ設備を共用する場合に銀行自らの情報管理規定が遵守できるよう体制が整備されているか。
III −3−4−1−3 監督手法・対応
検査結果、不祥事件等届出書等により、顧客の誤認防止等に問題があると認められる場合には、必要に応じ、法第24条に基づき報告を求め重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。
III −3−4−2 プライベートバンキング等の留意点等
III −3−4−2−1 意義
近年、一定規模以上の資産等を有する顧客層(いわゆる富裕層顧客)を特定し、一般的にプライベートバンキングやウェルス・マネジメントなどと呼ばれる、財産管理や資産運用のサービス及び金融商品などを複合的に提供する業務の立上げや推進が活発に行われているが、一般の定型業務とは異なる当該業務の個別性・特性に応じて、利用者の自己責任原則と預金者、投資家及び委託者等の保護の双方の観点から、業務運営の実態とこれに伴うリスクの把握に努める監督対応が重要である。
III −3−4−2−2 主な着眼点
(1)健全かつ適正な収益・営業目標の設定と業務運営の監督・管理
顧客の長期的な資産運用・財産形成に係る取引や助言等を適切に行い、健全な取引関係を維持し、適正な収益・営業目標の設定と業務運営の適切性・妥当性を確保するために、収益追求と法令等遵守(コンプライアンス)を適切にバランスさせ、営業をけん制する十分な内部統制や経営管理(ガバナンス)態勢が導入されているか。また、営業の規模等に応じて営業部員一人ひとりを適正に監督・管理する態勢が導入・整備されているか。
営業部員や役職員の給与・賞与体系が、短期的な収益獲得に過度に連動し、成果主義に偏重していないか。また、手数料収益の獲得に傾注した外国為替、投資信託、その他の有価証券等の乗り換え取引・回転売買、並びに、デリバティブが内包された預金取引や仕組み債、レバレッジ効果を有する金融取引などの勧誘・販売に不適正に注力した営業体制や商品構成になっていないか。
(2)適切な営業を監督・管理する態勢の整備
顧客の囲い込みや獲得を優先するあまり、顧客の要求等に営業部門の役席者等が過度に対応し、顧客と金融機関が本来維持すべき、健全かつ適切な関係が保たれていない状況などが認められないか。
顧客との個別取引のみならず、営業部員や取引等に関係する当事者間に、不正なキックバックやリベートなどに相当する実質的な条件等が含まれていないか。これらの条件等を抑止・けん制する内部管理態勢が構築されているか。
(3)情報管理態勢等の確立
(4)法令違反を排除し、公正・妥当な取引等を確保する態勢の構築
(5)マネー・ローンダリング及び疑わしい取引等を検出・排除する態勢の構築
III −3−4−2−3 監督手法・対応
監督による通常のオフサイト・モニタリング、検査結果及び不祥事件等届出書等の状況などにより、当該業務の運営や内部管理態勢等に問題があると認められる場合には、必要に応じて法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づく業務改善命令を発出する等の対応を行うものとする。
III −3−5 苦情等への対処(金融ADR制度への対応も含む)
III −3−5−1 意義
(1)相談・苦情・紛争等(苦情等)対処の必要性
金融商品・サービスは、リスクを内在することが多く、その専門性・不可視性等とも相俟ってトラブルが生じる可能性が高いと考えられる。このため、金融商品・サービスの販売・提供に関しては、トラブルを未然に防止し顧客保護を図る観点から情報提供等の事前の措置を十分に講じることに加え、苦情等への事後的な対処が重要となる。
近年、金融商品・サービスの多様化・複雑化により金融商品・サービスに関するトラブルの可能性も高まっており、顧客保護を図り金融商品・サービスへの顧客の信頼性を確保する観点から、苦情等への事後的な対処の重要性もさらに高まっている。
このような観点を踏まえ、簡易・迅速に金融商品・サービスに関する苦情処理・紛争解決を行うための枠組みとして金融ADR制度(ADRについて(注)参照)が導入されており、銀行においては、金融ADR制度も踏まえつつ、適切に苦情等に対処していく必要がある。
(注)ADR(Alternative Dispute Resolution)
訴訟に代わる、あっせん・調停・仲裁等の当事者の合意に基づく紛争の解決方法であり、事案の性質や当事者の事情等に応じた迅速・簡便・柔軟な紛争解決が期待される。
(2)対象範囲
銀行の業務に関する申出としては、相談のほか、いわゆる苦情・紛争などの顧客からの不満の表明など、様々な態様のものがありうる。銀行には、これらの様々な態様の申出に対して適切に対処していくことが重要であり、かかる対処を可能とするための適切な内部管理態勢を整備することが求められる。
加えて、銀行には、金融ADR制度において、苦情と紛争のそれぞれについて適切な態勢を整備することが求められている。
もっとも、これら苦情・紛争の区別は相対的で相互に連続性を有するものである。特に、金融ADR制度においては、指定ADR機関において苦情処理手続と紛争解決手続の連携の確保が求められていることを踏まえ、銀行においては、顧客からの申出を形式的に「苦情」「紛争」に切り分けて個別事案に対処するのではなく、両者の相対性・連続性を勘案し、適切に対処していくことが重要である。
III −3−5−2 苦情等対処に関する内部管理態勢の確立
III −3−5―2−1 意義
苦情等への迅速・公平かつ適切な対処は、顧客に対する説明責任を事後的に補完する意味合いを持つ重要な活動の一つでもあり、金融商品・サービスへの顧客の信頼性を確保するため重要なものである。銀行は、金融ADR制度において求められる措置・対応を含め、顧客から申出があった苦情等に対し、自ら迅速・公平かつ適切に対処すべく内部管理態勢を整備する必要がある。
III −3−5―2−2 主な着眼点
銀行が、苦情等対処に関する内部管理態勢を整備するに当たり、業務の規模・特性に応じて、適切かつ実効性ある態勢を整備しているかを検証する。その際、機械的・画一的な運用に陥らないよう配慮しつつ、例えば、以下の点に留意することとする。
特に、与信取引及び預金・リスク商品等の苦情等対処の検証にあたっては、苦情等対処が説明態勢を補完するものであることに留意し、必要に応じ、 III −3−3−1−2、 III −3−3−2−2を参照する。
(1)経営陣の役割
取締役会は、苦情等対処機能に関する全行的な内部管理態勢の確立について、適切に機能を発揮しているか。
(2)社内規則等
特に顧客からの苦情等が多発している場合には、まず社内規則等(苦情等対処に関するものに限らない。)の営業店に対する周知・徹底状況を確認し、実施態勢面の原因と問題点を検証することとしているか。
(3)苦情等対処の実施態勢
苦情等対処に当たっては、個人情報について、個人情報の保護に関する法律その他の法令、保護法ガイドライン等に沿った適切な取扱いを確保するための態勢を整備しているか( III −3−3−3参照)。
銀行代理業者を含め、業務の外部委託先が行う委託業務に関する苦情等について、銀行自身への直接の連絡体制を設けるなど、迅速かつ適切に対処するための態勢を整備しているか( III −3−3−4−2(1)
反社会的勢力による苦情等を装った圧力に対しては、通常の苦情等と区別し、断固たる対応をとるため関係部署に速やかに連絡し、必要に応じ警察等関係機関との連携を取った上で、適切に対処する態勢を整備しているか。
(4)顧客への対応
なお、複数ある苦情処理・紛争解決の手段(金融ADR制度を含む。)は任意に選択しうるものであり、外部機関等の紹介に当たっては、顧客の選択を不当に制約していないか留意することとする。
(5)情報共有・業務改善等
(6)外部機関等との関係
III −3−5―3 金融ADR制度への対応
III −3−5−3−1 指定紛争解決機関(指定ADR機関)が存在する場合
III −3−5―3−1−1 意義
顧客保護の充実及び金融商品・サービスへの顧客の信頼性の向上を図るためには、銀行と顧客との実質的な平等を確保し、中立・公正かつ実効的に苦情等の解決を図ることが重要である。そこで、金融ADR制度において、指定ADR機関によって、専門家等関与のもと、第三者的立場からの苦情処理・紛争解決が行われることとされている。
なお、金融ADR制度においては、苦情処理・紛争解決への対応について、主に銀行と指定ADR機関との間の手続実施基本契約(法第2条第22項)によって規律されているところである。
銀行においては、指定ADR機関において苦情処理・紛争解決を行う趣旨を踏まえつつ、手続実施基本契約で規定される義務等に関し、適切に対応する必要がある。
III −3−5―3−1−2 主な着眼点
銀行が、上記意義を踏まえ、金融ADR制度への対応に当たり、業務の規模・特性に応じて適切かつ実効性ある態勢を整備しているかを検証する。その際、機械的・画一的な運用に陥らないよう配慮しつつ、例えば、以下の点に留意することとする。
なお、「 III −3−5−2 苦情等対処に関する内部管理態勢の確立」における留意点も参照すること。
(1)総論
イ.自らが営む銀行業務(法第2条第18項で定義する「銀行業務」を指す。)について、指定ADR機関との間で、速やかに手続実施基本契約を締結しているか。
また、例えば、指定ADR機関の指定取消しや新たな指定ADR機関の設立などの変動があった場合であっても、顧客利便の観点から最善の策を選択し、速やかに必要な措置(新たな苦情処理措置・紛争解決措置の実施、手続実施基本契約の締結など)を講じるとともに、顧客へ周知する等の適切な対応を行っているか。
ロ.指定ADR機関と締結した手続実施基本契約の内容を誠実に履行する態勢を整備しているか。
イ.手続実施基本契約を締結した相手方である指定ADR機関の商号又は名称、及び連絡先を適切に公表しているか。
公表の方法について、例えば、ホームページへの掲載、ポスターの店頭掲示、パンフレットの作成・配布又はマスメディアを通じての広報活動等、業務の規模・特性に応じた措置をとっているか。仮に、ホームページに掲載したとしても、これを閲覧できない顧客も想定される場合には、そのような顧客にも配慮することとしているか。
公表する際は、顧客にとって分かりやすいように表示しているか(例えば、ホームページで公表する場合において、顧客が容易に金融ADR制度の利用に関するページにアクセスできるような表示が望ましい。)。
ロ.手続実施基本契約も踏まえつつ、顧客に対し、指定ADR機関による標準的な手続のフローや指定ADR機関の利用の効果(時効中断効等)等必要な情報の周知を行う態勢を整備しているか。
ハ.金融商品取引業者、保険会社が組成した金融商品や保険商品を銀行が販売する場合、当該商品を組成した金融商品取引業者、保険会社や、当該商品を販売した銀行といった、業態の異なる複数の業者が関係することになるため、顧客の問題意識を把握した上で、問題の発生原因に応じた適切な指定ADR機関を紹介するなど、丁寧な対応を行っているか。
(注)保険商品の場合、銀行(保険募集人)による販売時の説明等の問題であっても、所属保険会社等は、保険業法第283条第1項の規定により保険募集人が保険募集について保険契約者に加えた損害を賠償する責任を負う(同条第2項に掲げる場合を除く。)とされていることから、顧客は、銀行が手続実施基本契約を締結する指定ADR機関のみならず、保険会社が手続実施基本契約を締結する指定ADR機関に対しても、原則として申立てを行うことができることに留意する。
(2)苦情処理手続・紛争解決手続についての留意事項
銀行が手続実施基本契約により手続応諾・資料提出・特別調停案尊重等の各義務を負担することを踏まえ、検証に当たっては、例えば、以下の点に留意することとする。
イ.指定ADR機関から手続応諾・資料提出等の求めがあった場合、正当な理由がない限り、速やかにこれに応じる態勢を整備しているか。
ロ.指定ADR機関からの手続応諾・資料提出等の求めに対し拒絶する場合、苦情・紛争の原因となった部署のみが安易に判断し拒絶するのではなく、組織として適切に検討を実施する態勢を整備しているか。また、可能な限り、その判断の理由(正当な理由)について説明する態勢を整備しているか。
イ.紛争解決委員から和解案の受諾勧告又は特別調停案の提示がされた場合、速やかに受諾の可否を判断する態勢を整備しているか。
ロ.和解案又は特別調停案を受諾した場合、担当部署において速やかに対応するとともに、その履行状況等を検査・監査部門等が事後検証する態勢を整備しているか。
ハ.和解案又は特別調停案の受諾を拒絶する場合、業務規程(法第52条の67第1項)等を踏まえ、速やかにその理由を説明するとともに、訴訟提起等の必要な対応を行う態勢を整備しているか。
III −3−5―3−2 指定ADR機関が存在しない場合
III −3−5―3−2―1 意義
金融ADR制度においては、指定ADR機関が存在しない場合においても、代わりに苦情処理措置・紛争解決措置を講ずることが法令上求められている。銀行においては、これらの措置を適切に実施し、金融商品・サービスに関する苦情・紛争を簡易・迅速に解決することにより、顧客保護の充実を確保し、金融商品・サービスへの顧客の信頼性の向上に努める必要がある。
III −3−5−3−2−2 主な着眼点
銀行が、苦情処理措置・紛争解決措置を講じる場合、金融ADR制度の趣旨を踏まえ、顧客からの苦情・紛争の申出に関し、業務の規模・特性に応じ、適切に対応する態勢を整備しているかを検証する。その際、機械的・画一的な運用に陥らないよう配慮しつつ、例えば、以下の点に留意することとする。
なお、「 III −3−5―2 苦情等対処に関する内部管理態勢の確立」における留意点も参照すること。
(1)総論
イ.自らが営む銀行業務の内容、苦情等の発生状況及び営業地域等を踏まえて、法令で規定されている各事項のうちの一つ又は複数を苦情処理措置・紛争解決措置として適切に選択しているか。なお、その際は、例えば、顧客が苦情・紛争を申し出るに当たり、顧客にとって地理的にアクセスしやすい環境を整備するなど、顧客の利便の向上に資するような取組みを行うことが望ましい。
ロ.苦情・紛争の処理状況等のモニタリング等を継続的に行い、必要に応じ、苦情処理措置・紛争解決措置について検討及び見直しを行う態勢を整備しているか。
ハ.苦情処理業務・紛争解決業務を公正かつ的確に遂行できる法人を利用する場合、当該法人が苦情処理業務・紛争解決業務を公正かつ的確に遂行するに足りる経理的基礎及び人的構成を有する法人であること(規則第13条の8第1項第5号、同条第2項第5号)について、相当の資料等に基づいて、合理的に判断しているか。
ニ.外部機関を利用する場合、必ずしも当該外部機関との間において業務委託契約等の締結までは求められていないが、標準的な手続のフローや、費用負担に関する事項等について予め取決めを行っておくことが望ましい。
ホ.外部機関の手続を利用する際に費用が発生する場合について、顧客の費用負担が過大とならないような措置を講じる等、苦情処理・紛争解決の申立ての障害とならないような措置を講じているか。
苦情処理措置・紛争解決措置の適用範囲を過度に限定的なものとするなど、不適切な運用を行っていないか。なお、苦情処理措置と紛争解決措置との間で適切な連携を確保しているかについても留意する( III −3−5―1(2)参照)。
(2)苦情処理措置(自行で態勢整備を行う場合)についての留意事項
イ.定期的に消費生活専門相談員等による研修を実施する等、苦情処理に従事する従業員のスキルを向上させる態勢を整備しているか。
ロ.消費生活専門相談員等との連絡体制を築く等、個別事案の処理に関し、必要に応じ、消費生活専門相談員等の専門知識・経験を活用する態勢を整備しているか。
イ.苦情の発生状況に応じ、業務運営体制及び社内規則を適切に整備するとともに、当該体制・規則に基づき公正かつ的確に苦情処理を行う態勢を整備しているか。
ロ.苦情の申出先を顧客に適切に周知するとともに、苦情処理にかかる業務運営体制及び社内規則を適切に公表しているか。
周知・公表の内容として、必ずしも社内規則の全文を公表する必要はないものの、顧客が、苦情処理が適切な手続に則って行われているかどうか自ら確認できるようにするため、苦情処理における連絡先及び標準的な業務フロー等を明確に示すことが重要であることから、それに関連する部分を公表しているかに留意する必要がある。
なお、周知・公表の方法について、 III −3−5−3−1−2(1)
(3)苦情処理措置(外部機関を利用する場合)及び紛争解決措置の留意事項
イ.銀行が外部機関を利用している場合、顧客保護の観点から、例えば、顧客が苦情・紛争を申し出るに当たり、外部機関を利用できることや、外部機関の名称及び連絡先、その利用方法等、外部機関に関する情報について、顧客にとって分かりやすいように、周知・公表を行うことが望ましい。
ロ.苦情処理・紛争解決の申立てが、地理又は苦情・紛争内容その他の事由により、顧客に紹介した外部機関の取扱範囲外のものであるとき、又は他の外部機関等(苦情処理措置・紛争解決措置として銀行が利用している外部機関に限らない。)による取扱いがふさわしいときは、他の外部機関等を顧客に紹介する態勢を整備しているか。
ハ.金融商品取引業者、保険会社が組成した金融商品や保険商品を銀行が販売する場合については、III−3−5―3−1−2(1)
イ.外部機関から苦情処理・紛争解決の手続への応諾、事実関係の調査又は関係資料の提出等を要請された場合、当該外部機関の規則等も踏まえつつ、速やかにこれに応じる態勢を整備しているか。
ロ.苦情処理・紛争解決の手続への応諾、事実関係の調査又は関係資料の提供等の要請を拒絶する場合、苦情・紛争の原因となった部署のみが安易に判断し拒絶するのではなく、苦情・紛争内容、事実・資料の性質及び外部機関の規則等を踏まえて、組織として適切に検討を実施する態勢を整備しているか。
また、当該外部機関の規則等も踏まえつつ、可能な限り拒絶の理由について説明する態勢を整備しているか。
ハ.紛争解決の手続を開始した外部機関から和解案、あっせん案等の解決案(以下、「解決案」という。)が提示された場合、当該外部機関の規則等も踏まえつつ、速やかに受諾の可否を判断する態勢を整備しているか。
ニ.解決案を受諾した場合、担当部署において速やかに対応するとともに、その履行状況等を検査・監査部門等が事後検証する態勢を整備しているか。
ホ.解決案の受諾を拒絶する場合、当該外部機関の規則等も踏まえつつ、速やかにその理由を説明するとともに、必要な対応を行う態勢を整備しているか。
III −3−5−4 各種書面への記載
銀行は、各種書面(預金者等に対する情報の提供、契約締結前交付書面等)において金融ADR制度への対応内容を記載することが、法令上、義務付けられている。それら書面には、指定ADR機関が存在しない場合は苦情処理措置・紛争解決措置の内容を記載する必要があるが、例えば、銀行が外部機関を利用している場合、当該外部機関(苦情処理・紛争解決にかかる業務の一部を他の機関に委託等している場合、当該他の機関も含む。)の名称及び連絡先など、実態に即して適切な事項を記載するべきことに留意する。
III −3−5−5 行政上の対応
金融ADR制度への対応を含む苦情等対処態勢が構築され機能しているかどうかは、顧客保護・銀行への信頼性確保の観点も含め、銀行の健全かつ適切な業務運営の基本にかかわることから、関係する内部管理態勢は高い実効性が求められる。
当局としては、銀行の対応を全体的・継続的にみて、業務の健全かつ適切な運営を確保するため問題があると認められる場合は、必要に応じ、法第24条に基づき報告を求め、また、重大な問題があると認められる場合は、法第26条に基づく業務改善命令の発出を検討するものとする。更に、重大・悪質な法令等違反行為が認められる等の場合には、業務停止命令等の発出も含め、必要な行政処分を検討するものとする。
この点、指定ADR機関が存在する場合において、銀行に手続応諾義務等への違反・懈怠等の問題が認められた場合であっても、一義的には銀行と指定ADR機関との手続実施基本契約にかかる不履行であるため、直ちに行政処分の対象となるものではなく、当局としては、前述のように、銀行の対応を全体的・継続的にみて判断を行うものとする。
なお、一般に顧客と銀行との間で生じる個別の紛争は、私法上の契約に係る問題であり、基本的にADRや司法の場を含め当事者間で解決されるべき事柄であることに留意する必要がある。
III −3−6 事務リスク
III −3−6−1 意義
事務リスクとは、銀行の役職員が正確な事務を怠る、あるいは事故・不正等を起こすことにより、銀行が損失を被るリスクをいうが、銀行は当該リスクに係る内部管理態勢を適切に整備し、業務の健全かつ適切な運営により信頼性の確保に努める必要がある。
III −3−6−2 主な着眼点
(1)事務リスク管理態勢
また、事務に係る諸規程が明確に定められているか。
(2)内部監査態勢
内部監査部門は、事務リスク管理態勢を監査するため、内部監査を適切に実施しているか。
(3)営業店のリスク管理態勢
事務部門は、営業店における事務リスク管理態勢をチェックする措置を講じているか。
(4)人事管理に当たっては、事故防止等の観点から職員を長期間にわたり同一業務に従事させることなくローテーションを確保するよう配慮されているか。人事担当者等と連携し、連続休暇、研修、内部出向制度等により、最低限年一回、一週間以上連続して、職場を離れる方策をとっているか。職員教育において、職業倫理が盛り込まれているか。なお、派遣職員等についても、事故防止等の観点から、可能な範囲で職員と同様の措置を講じているか。
(参考)派遣社員に係る管理態勢の強化について(要請)(平成17年11月30日)
(5)営業拠点に関する事務管理
派出とは、特定の施設内の一定の場所に職員を派遣し、当該施設主体のために、金銭出納事務を行うことをいい、官公庁、公営住宅団地、総合病院等の公共性のある施設内において公金等の金銭出納事務に限った事務を行っている限りにおいて、銀行法上の営業所としない扱いとすることができるが、やむを得ず預金等の取次行為と同様の行為を行う場合は、次の点に留意し、必要最小限度にとどめることとしているか。
イ.取次を行う対象とする者は、当該派出先の施設に所属する職員及び当該派出先の施設をもっぱら利用する者に限られているか。
ロ.取次行為を行うに当たっては、金銭や通帳の預り証等を発行するなど事故防止について万全を期しているか。
顧客先に出向いて営業活動を行う職員の内部事務等を行うために設置された施設などは、当該施設において恒常的に対顧客業務を行わない限りにおいて、銀行法上の営業所としない扱いとすることができるが、利用者が当該施設を営業所と誤認しないような措置を講じているか。
法第8条第1項に規定する営業所の位置変更の届出は、所在地の変更を伴う位置変更について提出すればよいことに留意する。また、既存の営業所の一部の部門(例えば、銀行の固有業務を一部行っているディーリングルームや法人営業部門など)を分離し、新たに当該部門の業務を営む営業所を(所在地の変更を伴って)設置しようとする場合には、同項に規定する営業所の設置の届出が必要であることに留意する。
III −3−6−3 監督手法・対応
検査結果、不祥事件等届出書等により、事務リスクの管理態勢に問題があると認められる場合には、必要に応じ、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。
III −3−7 システムリスク
III −3−7−1 システムリスク
III −3−7−1−1 意義
システムリスクとは、コンピュータシステムのダウン又は誤作動等のシステムの不備等に伴い、顧客や銀行が損失を被るリスクやコンピュータが不正に使用されることにより顧客や銀行が損失を被るリスクをいうが、銀行の経営再編に伴うシステム統合や新商品・サービスの拡大等に伴い、銀行の情報システムは一段と高度化・複雑化し、さらにコンピュータのネットワーク化の拡大に伴い、重要情報に対する不正なアクセス、漏えい等のリスクが大きくなっている。
特に主要行等のシステムについては、元来、機能が高度である一方、大量処理が求められていることから、規模が大きく、構成が複雑である傾向にある。加えて、累次の経営再編によりシステム構成、システム運用体制が、一層複雑化していることから、特にシステム上の諸課題に的確に対応することが求められている。仮に主要行等において、システム障害が発生した場合は、利用者の社会経済生活、企業等の経済活動、ひいては、我が国経済全体にも極めて大きな影響を及ぼすおそれがあるほか、その影響は単に一銀行の問題にとどまらず、金融システム全体に及びかねないことから、システムが安全かつ安定的に稼動することは決済システム及び銀行に対する信頼性を確保するための大前提であり、システムリスク管理態勢の充実強化は極めて重要である。
(参考) 預金等受入金融機関に係る検査マニュアル
「システムリスク」とは、コンピュータシステムのダウン又は誤作動等、システムの不備等に伴い金融機関が損失を被るリスク、さらにコンピュータが不正に利用されることにより金融機関が損失を被るリスクをいう。
III −3−7−1−2 主な着眼点
(1)システムリスクに対する認識等
また、自らが指揮を執る訓練を行い、その実効性を確保しているか。
(2)システムリスク管理態勢
また、システムリスク管理体制は、システム障害等の把握・分析、リスク管理の実施結果や技術進展等に応じて、不断に見直しを実施しているか。
(3)システムリスク評価
また、洗い出したリスクに対し、十分な対応策を講じているか。
(4)安全対策
(5)システム企画・開発・運用管理
また、中長期の開発計画は、取締役会の承認を受けているか。
(6)システム監査
(7)外部委託管理
特に外部委託先が複数の場合、管理業務が複雑化することから、より高度なリスク管理が求められることを十分認識した体制となっているか。
システム関連事務を外部委託する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか。
また、外部委託先任せにならないように、例えば委託元として要員を配置するなどの必要な措置を講じているか。特に共同センターの内部管理、開発・運用管理の状況について、報告を受けているか。
さらに、システムの共同化等が進展する中、外部委託先における顧客データの運用状況を、委託元が監視、追跡できる態勢となっているか。
(注)統合ATMスイッチングサービスなどの外部のサービスを利用する場合についてもこれに準じる。
(8)データ管理態勢
(9)コンティンジェンシープラン
また、バッチ処理が大幅に遅延した場合など、十分なリスクシナリオを想定しているか。
(10)障害発生時の対応
また、システム障害の発生に備え、最悪のシナリオを想定した上で、必要な対応を行う態勢となっているか。
また、必要に応じて、対策本部を立ち上げ、代表取締役等自らが適切な指示・命令を行い、速やかに問題の解決を図る態勢となっているか。
また、システム障害の発生に備え、関係業務部門への情報提供方法、内容が明確になっているか。
また、システム障害の原因等の定期的な傾向分析を行い、それに応じた対応策をとっているか。
(注) 着眼点の詳細については、必要に応じ金融検査マニュアルを参照。
(参考) システムリスクについての参考資料として、例えば「金融機関等コンピュータシステムの安全対策基準・解説書」(公益財団法人金融情報システムセンター編)などがある。
III −3−7−1−3 監督手法・対応
(1)障害発生時
-
イ.コンピュータシステムの障害の発生を認識次第、直ちに、その事実を当局宛てに報告を求めるとともに、「障害等発生報告書」(様式・参考資料編 様式4−45)にて当局宛て報告を求めるものとする。
また、復旧時、原因解明時には改めてその旨報告を求めることとする。
ただし、復旧原因の解明がされていない場合でも、1か月以内に現状についての報告を行うこととする。
(注) 報告すべきシステム障害等
その原因の如何を問わず、銀行等が現に使用しているシステム・機器(ハードウェア、ソフトウェア共)に発生した障害であって、
a.預金の払戻し、為替等の決済機能に遅延、停止等が生じているもの又はそのおそれがあるもの。
b.資金繰り、財務状況把握等に影響があるもの又はそのおそれがあるもの。
c.その他業務上、上記に類すると考えられるもの。
をいう。
ただし、一部のシステム・機器にこれらの影響が生じても、他のシステム・機器が速やかに交替することで実質的にはこれらの影響が生じない場合(例えば、一部のATMが停止した場合であっても他の同一店舗若しくは近隣店舗ATMや窓口において対応が可能な場合。)を除く。
なお、障害が発生していない場合であっても、サイバー攻撃の予告がなされ、又はサイバー攻撃が検知される等により、上記のような障害が発生する可能性が高いと認められる時は、報告を要するものとする。
ロ.必要に応じて法第24条に基づき追加の報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出するものとする。
-
特に、大規模な障害の場合や障害の原因の解明に時間を要している場合等には、直ちに、障害の事実関係等についての一般広報及び店頭等における顧客対応等のコンティンジェンシープランの発動状況をモニタリングするとともに、迅速な原因解明と復旧を要請し、法第24条に基づき速やかな報告を求める。
さらに、大規模な障害の復旧の見通しが不確実であり、市場取引、ATM取引・口座振替・給与振込等の決済システムに大きな影響が生じている場合には、早期に法第26条に基づく業務改善命令を発出することを検討する等の対応を行う。
(2)システムの更新時等
銀行が重要なシステムの更新等を行う時は、必要に応じ、法第24条に基づく報告を求め、計画及び進捗状況、プロジェクトマネジメントの適切性・実効性等について確認する。
(3)問題認識時
検査結果等により、システムリスクに係る管理態勢に問題があると認められる場合には、必要に応じ、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。
(4)外部委託先への対応
システムに係る外部委託業務について、外部委託先における適切な業務運営が懸念される場合など、必要があると認められる場合には、 III −3−3−4−3の対応を行うものとする。
III −3−7−2 ATMシステムのセキュリティ対策
III −3−7−2−1 意義
ATMシステムは、簡便・迅速に各種サービスを提供するものであり、顧客にとって利便性が高く、広く活用されている。一方で、ATMシステムを通じた取引は、非対面で行われるため、異常な取引態様を確認できないことなどの特有のリスクを抱えている。
金融機関が顧客にサービスを提供するに当たっては、顧客の財産を安全に管理することが求められる。従って、利用者利便を確保しつつ、利用者保護の徹底を図る観点から、金融機関にはATMシステムの情報セキュリティ対策を十分に講じることが要請される。この点、預貯金者保護法は、偽造・盗難キャッシュカード等による預貯金の不正払戻しを未然に防止するため、必要な情報システムの整備を講じること、及び、顧客に対する情報提供、啓発及び知識の普及を銀行等の責務として規定している。
また、金融機関のATMシステムは、統合ATMスイッチングサービスを通じて他の金融機関と相互に接続していることから、仮にセキュリティ対策が脆弱なATMシステムを放置している金融機関が存在した場合、他の金融機関に対する影響が及ぶことにも留意し、セキュリティ対策を講じる必要がある。
III −3−7−2−2 主な着眼点
(1)内部管理態勢の整備
犯罪技術の巧妙化等の情勢の変化を踏まえ、キャッシュカード偽造等の犯罪行為に対する対策等について、銀行が取り組むべき最優先の経営課題の一つとして位置付け、取締役会等において必要な検討を行い、セキュリティ・レベルの向上に努めているか。また、ATMシステムに係る健全かつ適切な業務の運営を確保するため、銀行内の各部門が的確な状況認識を共有し、銀行全体として取り組む態勢が整備されているか。
その際、犯罪の発生状況などを踏まえ、自らの顧客や業務の特性に応じた検討を行った上で、必要な態勢の整備に努めているか。
加えて、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなるいわゆるPDCAサイクルが機能しているか。
(参考) 情報セキュリティに関する検討会で示されたPDCAサイクル
(2)セキュリティの確保
キャッシュカードやATMシステムについて、そのセキュリティ・レベルを一定の基準に基づき評価するとともに、当該評価を踏まえ、一定のセキュリティ・レベルを維持するために体制・技術、両面での検討を行い、適切な対策を講じているか。その際、情報セキュリティに関する検討会の検討内容等を踏まえ、体制の構築時及び利用時の各段階におけるリスクを把握した上で、自らの顧客や業務の特性に応じた対策を講じているか。また、個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指しているか。
預貯金者保護法等を踏まえ、適切な認証技術の採用、情報漏洩の防止、異常取引の早期検知等、不正払戻し防止のための措置が講じられているか。その際、顧客の負担が過重なものとならないよう配慮するとともに、互換性の確保などにより利用者利便に支障を及ぼさないよう努めているか。
高リスクの高額取引をATMシステムにおいて行っている場合、それに見合ったセキュリティ対策を講じているか。特に脆弱性が指摘される磁気カードについては、そのセキュリティを補強するための方策を検討しているか。また、国際的な業務展開を行っている銀行については、国際的なセキュリティトレンドに沿った対策を念頭におきながら、必要な検討を行っているか。
(参考1)セキュリティに関する基準としては、「金融機関等コンピュータシステムの安全対策基準・解説書」(金融情報システムセンター)などがある。
(参考2)リスクの把握に当たって参考となるものとしては、情報セキュリティに関する検討会における検討資料がある。
(3)顧客対応
スキミングの可能性、暗証番号及びカードの盗取の危険性、類推されやすい暗証番号の使用の危険性、被害拡大の可能性(対策として、ATM利用限度額の設定等)、不必要に多くのカードを保有することによる管理上の問題等、キャッシュカード利用に伴う様々なリスクについて、顧客に対する十分な説明態勢が整備されているか。
顧客からの届出を速やかに受け付ける体制が整備されているか。また、顧客への周知(公表を含む。)が必要な場合、速やかに周知できる体制が整備されているか。特に、被害にあう可能性がある顧客を特定可能な場合は、可能な限り迅速に顧客に連絡するなどして被害を最小限に抑制するための措置を講じることとしているか。
不正払戻しに係る損失の補償に関する規程等は、預貯金者保護法に基づき、可能な限り明確かつ具体的な内容となっているか。また、その内容を顧客に対して十分説明・周知する態勢が整備されているか。
不正払戻しに関する記録を適切に保存するとともに、顧客や捜査当局から当該資料の提供などの協力を求められたときは、これに誠実に協力することとされているか。
(4)ATMシステムの運用・管理を外部委託している場合の対策
ATMシステムに関し、外部委託がなされている場合、外部委託に係るリスクを検討し、必要なセキュリティ対策が講じられているか。
III −3−7−2−3 監督手法・対応
(1)犯罪発生時
偽造キャッシュカード及び盗難キャッシュカードによる不正払戻しを認識次第、速やかに「犯罪発生報告書」にて当局宛て報告を求めるものとする。
(2)問題認識時
検査結果、犯罪発生報告書等により、銀行のATMシステムのセキュリティ対策及び犯罪対策に係る管理態勢に問題があると認められる場合には、必要に応じ、法第24条に基づき追加の報告を求める。その上で、犯罪防止策や被害発生後の対応について、必要な検討がなされず、あるいは被害が多発するなどの事態が生じた場合など、利用者保護の観点から問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。
(注) ATMシステムに関し、外部委託がなされている場合は、必要に応じて、 III −3−3−4−3の対応を行うものとする。
(参考)
- 「偽造キャッシュカード問題に関するスタディグループ最終報告書」(平成17年6月24日:偽造キャッシュカード問題に関するスタディグループ)
- 「偽造・盗難キャッシュカードに関する預金者保護の申し合わせ」(平成17年10月6日:全国銀行協会)
- 「金融機関の防犯基準」(警察庁)
- 「全銀協ICキャッシュカード標準仕様」(全国銀行協会)
III −3−7−3 金融機関相互のシステム・ネットワークの利用
III −3−7−3−1 意義
現在、金融機関相互のシステム・ネットワークは、金融機関相互の金融取引の決済やCD/ATMオンライン提携などを行う上で、基幹インフラとしての機能を担っている。仮にシステム・ネットワークにおいて、障害が発生した場合は、その影響は決済システム全体及び顧客サービス全般に及びかねないことから、システム・ネットワークに係るリスク管理態勢の充実強化は極めて重要である。
III −3−7−3−2 主な着眼点
(1)統合ATMスイッチングサービス、全国銀行データ通信システム等の金融機関相互のシステム・ネットワークのサービスを利用する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか。
(2)特に、当該外部サービスにおいて、システムの更改を行う場合においては、顧客や業務に対する影響が生じないよう、当該外部サービスの管理者及び自行の双方において、適切なシステム上の対応がなされているかを十分に評価・確認し、必要な場合は、当該外部サービス管理者に対して適切な対策を求めるなどの対応がなされているか。
(3)特に、銀行が、当該システム・ネットワークの運営、更改に関して、主導的な役割を果たしている場合、顧客サービスや我が国の決済システム等に対する影響が生じないよう、当該外部サービス管理者とともに、適切かつ十分なリスク管理態勢、プロジェクトマネジメント態勢等を整備しているか。
III −3−7−3−3 監督手法・対応
検査結果等により、銀行のシステム・ネットワークに係る健全かつ適切な業務の運営に疑義が生じた場合には、必要に応じ、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。また、銀行が当該システム・ネットワークの運営、更改に関して、主導的な役割を果たしている場合において、当該システム・ネットワークに係るリスク管理態勢に疑義が生じた場合においても同様の対応を行うものとする。
(注) システム・ネットワークの外部サービス管理者のうち外部委託先に該当するものについて、適切な業務運営が懸念される場合などには、必要に応じて、 III −3−3−4−3の対応を行うものとする。
III −3−8 インターネットバンキング
III −3−8−1 意義
インターネットは、金融機関にとっては低コストのサービス提供を可能とするものであるとともに、利用者にとっては利便性の高い取引ツールとなり得るものである。一方、インターネットを通じた取引は、非対面で行われるため、異常な取引態様を確認できないことなどの特有のリスクを抱えている。
金融機関が顧客にサービスを提供するに当たっては、顧客の財産を安全に管理することが求められる。従って、金融機関においては、利用者利便を確保しつつ、利用者保護の徹底を図る観点から、インターネットバンキングに係るセキュリティ対策を十分に講じるとともに、顧客に対する情報提供、啓発及び知識の普及を図ることが重要である。
III −3−8−2 主な着眼点
(1)内部管理態勢の整備
インターネットバンキングに係る犯罪行為に対する対策等について、最優先の経営課題の一つとして位置付け、取締役会等において必要な検討を行い、セキュリティ・レベルの向上に努めているか。また、インターネットバンキングの健全かつ適切な業務の運営を確保するため、銀行内の各部門が的確な状況認識を共有し、銀行全体として取り組む態勢が整備されているか。
その際、犯罪の発生状況などを踏まえ、自らの顧客や業務の特性に応じた検討を行った上で、必要な態勢の整備に努めているか。
加えて、リスク分析、セキュリティ対策の策定・実施、効果の検証、対策の評価・見直しからなるいわゆるPDCAサイクルが機能しているか。
(2)セキュリティの確保
情報セキュリティに関する検討会の検討内容等を踏まえ、体制の構築時及び利用時の各段階におけるリスクを把握した上で、自らの顧客や業務の特性に応じた対策を講じているか。また、個別の対策を場当たり的に講じるのではなく、セキュリティ全体の向上を目指すとともに、リスクの存在を十分に認識・評価した上で対策の要否・種類を決定しているか。
インターネットバンキングに係る情報セキュリティ全般に関するプログラムを作成し、必要に応じて見直す体制を整えているか。特に、本人認証については、個々の認証方式の各種犯罪手口に対する強度を検証した上で、個人・法人等の顧客属性を勘案し、例えば、可変式パスワードや電子証明書といった、固定式のID・パスワードのみに頼らない認証方式の導入を図るなど、取引のリスクに見合った適切な認証方式を選択しているか。
ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じているか。
(注) 情報の収集に当たっては、金融関係団体や金融情報システムセンターの調査等のほか、情報セキュリティに関する検討会や金融機関防犯連絡協議会における検討結果、金融庁・警察当局から提供された犯罪手口に係る情報などを活用することが考えられる。
(参考1)セキュリティに関する基準としては、「金融機関等コンピュータシステムの安全対策基準・解説書」(金融情報システムセンター)などがある。
(参考2)リスクの把握に当たって参考となるものとしては、情報セキュリティに関する検討会における検討資料がある。
(3)顧客対応
インターネット上での暗証番号等の個人情報の詐取の危険性、類推されやすい暗証番号の使用の危険性、被害拡大の可能性(対策として、振込限度額の設定等)等、様々なリスクについて、顧客に対する十分な説明態勢が整備されているか。
顧客自らによる早期の被害認識を可能とするため、顧客が取引内容を適時に確認できる手段を講じているか。
顧客からの届出を速やかに受け付ける体制が整備されているか。また、顧客への周知(公表を含む。)が必要な場合、速やかに周知できる体制が整備されているか。特に、被害にあう可能性がある顧客を特定可能な場合は、可能な限り迅速に顧客に連絡するなどして被害を最小限に抑制するための措置を講じることとしているか。
不正取引に係る損失の補償については、預貯金者保護法の趣旨を踏まえ、利用者保護を徹底する観点から、顧客対応方針等を定めるほか、真摯な顧客対応を行う態勢が整備されているか。
不正取引に関する記録を適切に保存するとともに、顧客や捜査当局から当該資料の提供などの協力を求められたときは、これに誠実に協力することとされているか。
(4)その他
インターネットバンキングが非対面取引であることを踏まえた、取引時確認等の顧客管理態勢の整備が図られているか。
インターネットバンキングに関し、外部委託がなされている場合、外部委託に係るリスクを検討し、必要なセキュリティ対策が講じられているか。
(参考)
- 「インターネット・バンキングにおいて留意すべき事項について」(全国銀行協会)
- 「金融機関等コンピュータシステムの安全対策基準・解説書」(金融情報システムセンター)
III −3−8−3 監督手法・対応
(1)犯罪発生時
インターネットバンキングによる不正取引を認識次第、速やかに「犯罪発生報告書」にて当局宛て報告を求めるものとする。
(2)問題認識時
検査結果、犯罪発生報告書等により、銀行のインターネットバンキングに係る健全かつ適切な業務の運営に疑義が生じた場合には、必要に応じ、法第24条に基づき追加の報告を求める。その上で、犯罪防止策や被害発生後の対応について、必要な検討がなされず、被害が多発するなどの事態が生じた場合など、利用者保護の観点から問題があると認められる場合には、法第26条に基づき業務改善命令を発出する等の対応を行うものとする。
(注) インターネットバンキングに関し、外部委託がなされている場合は、必要に応じて、 III −3−3−4−3の対応を行うものとする。
(参考)
- 「預金等の不正な払戻しへの対応」について(平成20年2月19日:全国銀行協会)
III −3−9 システム統合リスク・プロジェクトマネジメント
III −3−9−1 意義
III −3−9−1−1 システム統合リスク
主要行等のシステムについては、規模が大きく構成が複雑なことに加え、累次の経営再編によりシステム構成、システム運用体制が一層複雑化しており、銀行業務におけるIT(情報通信技術)依存度の高まりやオンライン・リアルタイム・ネットワークの拡大と相俟って、システムの安全性・安定性の確保が重要な経営課題となっている。
特に、合併等の経営再編に伴うシステム統合において大規模なシステム障害が発生し、経営陣が経営責任を問われる事態も発生していることから、合併等を行うに際し、システム統合リスク管理態勢の構築は最重要課題のひとつとなっている。
(参考) システム統合リスク管理態勢の確認検査用チェックリスト(平成14年12月)
III −3−9−1−2 システム統合リスクの「リスク特性」とリスク軽減策
(1)主要行等が、システム統合を行う場合のリスクは多岐にわたるが、
すなわち、「システム統合リスク」とは、単にシステムの開発にかかわるリスクに限られるのではなく、事務(ユーザー)部門における事務処理対応、営業店における顧客対応等の「事務リスク」の分野を広く包摂したものであって、対象銀行の経営陣の責任において、「顧客利便」を最重要視した複合的なリスク管理が求められている点が重要である。
(2)リスク軽減策の基本的考え方
システム統合リスクのリスク量は、事象(イベント)の発生確率と発生した場合の影響度(インパクト)の積で認識すべきものであり、主要行等の業容等からすれば、以下のような徹底したリスク軽減策が求められることに留意する必要がある。
III −3−9−1−3 プロジェクト管理(プロジェクトマネジメント)の重要性
合併に伴うシステム統合の実施に当たっては、下記のような合併時固有の事情から、システム開発会社だけではなく、銀行においても、実効性のあるプロジェクト管理態勢の構築(いわゆる「プロジェクトマネジメント」の実施)が不可欠であると考えられる。
(1)合併に伴うシステム統合についてみると、合併する複数の銀行の経営陣は、制約のあるスケジュールと競争・競合環境の下で、
こうした中で、合併の日程は、システム統合の準備に要する期間のみを勘案して決定されるわけではなく、合併対象銀行の経営を巡る様々な要因の影響を受けるので、結果として、システムのテストや営業店における事務の習熟に十分な時間を確保できず、大規模な障害を起こした事例が見られること。
(2)合併を実現するプロセスの基本的なパターンは、
(注) 関係当局としては、金融監督当局、公正取引委員会のほか、海外拠点の監督当局がある。
(3)主要行等の場合の合併によるシステム統合の想定されるパターンは、例えば以下のような、長期にわたる複雑なプロジェクトであること。
イ.第一段階:合併(行名、店名、店番の変更)時は、旧行のシステムは並列して存続させ、その間をつなぐ中継・連携システムを稼動
ロ.第二段階:完全な統合システムを稼動させ、商品・サービスの一本化、店舗統廃合を本格化
III −3−9−2 主な着眼点
検証に当たっての基本的な着眼点は、「システム統合リスク管理態勢の確認検査用チェックリスト」(平成14年12月)に示されているところによるが、以下は、主要行等の業態の特徴、規模、過去の事例から得られた反省と教訓等を勘案して、より具体化した着眼点を例示したものである。
(1)取締役の責任分担及び経営姿勢の明確化
経営統合を行う複数の銀行(以下 III −3−9−2及び III −3−9−3において「対象銀行」という。)の代表取締役は、上記 III −3−9−1のようなシステム統合リスクのリスク特性やプロジェクトマネジメントの重要性を正確に認識しているか。
対象銀行の代表取締役は、システム統合に係る役職員の責任分担を明確化するとともに、自らの経営姿勢を明確化しているか。
(2)システム統合方式に係る経営判断の合理性
対象銀行の取締役会は、システム統合の方式決定に当たり、対象銀行間の軋轢を排除し、十分な協議を行い、合併までのスケジュール、合併後の経営戦略等に基づき、システム統合実施までの準備期間を十分に確保した上で、合理的な意思決定が行われているか。
(3)システム統合計画とその妥当性
対象銀行の取締役会は、統合前のそれぞれのシステムの実態及びこれまでのシステム障害の事例等を踏まえ、システム統合において対顧客障害を起こさないという観点から、上記 III −3−9−1を踏まえ、事務・システム両面にわたる徹底したリスクの洗出しと軽減策を講じた上で、システム統合計画を策定しているか。
事務・システム両面にわたり十分かつ保守的な移行判定項目・基準を策定しているか。
あらかじめ決められた統合の期限を優先するあまり、リスク管理を軽視した計画等となっていないか、第三者機関の評価等も活用して、計画の妥当性につき客観的・合理的に検証しているか。
また、移行判定項目・基準等においては、全ての役職員がいつまでに何をすべきかを明確に定めたものとなっているか。
(4)銀行における十分なテスト・リハーサル体制の構築
これまでの障害事例の反省として、ほとんどのケースにおいて「十分なテスト・リハーサルを行わなかったこと」が挙げられていることを踏まえ、
特に、ファイル移行等に関する最終的な品質は、全店・全量データによる機能確認を行わないと判定できないことを踏まえたテスト計画となっているか。さらに、テスト期間中に判明する想定外の不整合データについてのデータクレンジング等の追加的な事務負担を織り込んで、スケジュール管理が行われているか。
(5)対顧客説明、接続テスト実施体制の構築
特に、これまでの障害事例の反省として「十分な接続テストを行わなかったこと」が挙げられていることから、顧客との接続テストは、可能な限り全て実施することを基本として計画を組んでいるか。
接続テストを行わないケース又は行う必要がないと考えられるケースについても、可能な限り実データ等により問題が起きないことを確認することとしているか。
(6)プロジェクトマネジメントのための基本的な体制整備
(7)設計・開発段階からのプロジェクトマネジメント
商品の整理・統合等に係る設計・開発段階から、事務(ユーザー)部門とシステム部門の間で認識の相違や、業務要件の洗出しの漏れ・仕様調整漏れが生じ、これが統合時の障害のひとつの原因となっていることから、設計・開発の各段階毎に品質管理が重要である。
こうしたことを踏まえ、各工程の検証及び承認ルールを明確にする等、適切な管理が行われているか。特に、納期を優先するあまり、品質を犠牲にし、各工程の完了基準を満たさずに次工程に進むことがないか。
(8)外部委託先の管理態勢
統合に係るシステム開発等の業務が外部委託される場合、当該委託先と統括部門との間の意思疎通が十分に図られる体制を整備しているか。
外部委託先の作業の問題点の早期発見・早期是正がなされないと、追加テスト等を行うことによる遅延が発生することを踏まえ、外部委託業務の内容及びその進捗状況を的確に把握しているか。
特に、対象銀行と複数の外部委託先が関与する場合、管理態勢の複雑化に伴うリスクを十分認識した上で、対象銀行が協調して、主体的に関与する体制となっているか。
(9)計画の進捗管理・遅延・妥当性の検証に係るプロジェクトマネジメント
対象銀行の取締役会並びに統括役員及び部門は、システム統合計画の進捗管理に際し、協調して残存課題、未決定事項等の問題点の把握、解消予定の見定めが十分なされる体制となっているか。
こうしたプロジェクトの進捗管理をしていく際には、常に計画の妥当性まで遡って検証しながら進めることとしているか。
万一、何らかの理由によりシステム統合が遅延する等、不測の事態が生じた場合に協調して適切に対応できる体制を整備しているか。具体的には、システム統合が計画に比して遅延した場合にスケジュールを見直す基準が策定された上で取締役会の承認を得ており、それに基づいて適切な対応が図られる体制が整備されているか。
また、協調して遅延の根本原因を究明し、対処する体制が整備されているか。
(10)資源配分及び計画の変更等に係るプロジェクトマネジメント
(11)厳正な移行判定の実施
移行判定時までに、必要なテスト、リハーサル、研修及び訓練等(コンティンジェンシープランの訓練及びその結果を踏まえたプランの見直しまで含む。)が終了し、経営陣の判断するに当たっての不可欠な材料が全て揃うスケジュール・計画となっているか。
移行判定の時期は、対外接続や顧客への対応も含めて、フォールバックが円滑に行われるよう、統合予定日から十分な余裕をもって遡って設定されているか。
(12)フォールバックの態勢整備
移行判定時において統合不可(戻し、延期等)の判断がなされた場合、システム、内部事務、顧客対応等が円滑に行われる体制が整備されているか。
システム統合日前後における不測の事態への対応プラン(システム統合の中止を含む。)が連携して策定され、取締役会の承認を得ているか。
(13)コンティンジェンシープランの確立
既存のコンティンジェンシープランについて、システム統合後のシステムの構成や組織体制に基づいた見直しを行った上で、取締役会の承認を受けているか。
また、システム統合に係るコンティンジェンシープランが、同様に策定されているか。特にこれまでの事例を踏まえ、対象銀行は連携して、
また、統合後の事務処理に不慣れな営業店の店頭の混乱等による顧客サービスの低下を防止するための体制が整備されているか。
システムが完全復旧するまでの間、手作業に頼らざるを得ない場合に備え、軽微な障害であっても短期間に同時多発する可能性も考慮して、事務量を適切に把握し、必要な人員の確保が迅速にできる体制が整備されているか。
(14)実効性のある内部監査、第三者評価
(15)銀行持株会社による統括機能
銀行持株会社の下で子銀行等のシステム統合が行われる場合には、銀行持株会社の経営管理機能の一環として、システム統合リスク管理機能(プロジェクト管理機能を含む。)が適切に発揮されているか。( IV −4参照)
III −3−9−3 監督手法・対応
(1)銀行が、システム統合等を行う場合にあっては、基本合意等の公表を受けて、法第24条に基づき、システム統合の計画(スケジュールを含む。)及びその進捗状況、並びに、システム統合リスク管理及びプロジェクトマネジメントの態勢について、定期的に報告を求めて実態を把握し、重大な問題がないか検証する。
(2)システム統合リスク管理態勢等に関する検査結果通知が行われた場合には、法第24条に基づき、指摘事項について、事実確認、発生原因分析、改善対応策、その他を取りまとめた報告、及び、リスクを適正に制御する方策(計画を的確に履行するための方策、内部監査を含む内部管理態勢等)についても報告を求め、システム統合リスク管理態勢(プロジェクトマネジメントの態勢を含む。以下同じ。)に問題がないか検証する。
さらに、定期的にフォローアップ報告を求めて、検査結果を受けた改善・対応策の進捗状況、プロジェクト管理態勢の実効性等の確認を行う。
(3)システム統合に係る移行判定が行われたときは、その判断の根拠等につき、法第24条に基づく報告を求める。
店別に統合システムに移行する「店群移行方式」が採用される場合には、各回の移行判定の都度、同様の報告を求める。また、各回の移行後、その評価に係る報告を次回の移行判定の前までに求める。
(4)上記(1)〜(3)のいずれかの検証等の結果、問題がある場合には法第24条に基づき報告を求め、重大な問題がある場合には、法第26条に基づき、システム統合リスク管理態勢に関する業務改善命令を発出するものとする。
(5)システム統合に係る経営統合が当局の認可を要する場合(例えば合併の場合)には、当該認可申請に対し、法令に基づく審査基準の範囲内で、システム統合計画を的確に履行するための方策、内部監査を含む内部管理態勢等その他 III −3−9−2を踏まえた資料の提出を求め、システム統合リスク管理態勢に問題がないか審査し、必要に応じ所要の調整を経て、又は法第54条に基づき必要な条件を付して認可することとする。
また、合併等の認可後から当該システム統合完了までの間、法第24条に基づく報告を定期的に求めるものとする。
(6)なお、システム障害発生時の着眼点と対応については、 III −3−7−1−2(10)、 III −3−7−1−3(1)等にも留意する。
(7)外部委託先の業務運営が特に懸念される場合
III −3−7−1−3(4)等にも留意する。
III −3−10 海外業務管理
III −3−10−1 意義
内外の金融機関の巨額損失事件等の発生に象徴されるように、銀行の業務や提供する金融サービスがクロスボーダーに展開され、様々なリスクを伴う今日、当該業務を所管する銀行本部(国内)の経営管理・業務統括管理部署等は、海外の営業拠点(支店、現地法人等)の業務運営の状況を統括的に監督・管理する態勢を整備し、堅持することが、より一層重要になっている。また、FATF勧告等に基づく国際的なテロ資金供与及びマネー・ローンダリング対策を実効性あるものとするためには、国内のみならず、海外営業拠点における業務についても、これらの対策につき適切な対応を行うための態勢を整備することが求められている。
III −3−10−2 主な着眼点
(1)本店及び海外営業拠点経営陣等による拠点経営・業務運営の適正な管理
(2)海外営業拠点のリスク管理・内部管理態勢の点検・改善・充実
(3)海外営業拠点の報告・モニタリング体制の整備・強化
イ.海外監督当局が通常実施する検査・監督に、迅速かつ適切に対応できる人的構成・体制の整備及び維持が図られているか。
ロ.海外監督当局との直接対話や円滑なコミュニケーションを確保する観点から、問題等が発生した場合にも迅速かつ適切な説明を実施することができる報告体制が整備されているか。
ハ.海外監督当局に報告された事柄、事故、不祥事件等について、銀行本部(国内)の経営陣及び経営管理・業務統括管理部署等の適時・適切な関与・判断を可能にする責任分掌体制の整備・明確化が図られているか。
(4)海外営業拠点のテロ資金供与及びマネー・ローンダリング対策の態勢の整備
(注)特に、FATF勧告を適用していない又は適用が不十分である国・地域に所在する海外営業拠点においても、国内におけるのと同水準の態勢の整備が求められることに留意する必要がある。
- 当該国・地域
- テロ資金供与及びマネー・ローンダリング対策を講じることができない具体的な理由
- テロ資金供与及びマネー・ローンダリングに利用されることを防止するための代替措置を取っている場合には、その内容
III −3−10−3 監督手法・対応
(1)海外監督当局による検査結果、海外監督当局に届け出られた不祥事件等届出書などの報告を求め、これにより、海外営業拠点の監督・管理態勢に問題があると認められる場合には、業務運営の国際化や金融コングロマリット化の進展に伴い、海外監督当局との連携強化の必要性が増すとともに、規制・基準の収斂の動きが加速している状況を踏まえ、関係する海外監督当局との連携を検討する。
(2)その際、関係する海外監督当局との情報交換等を通じて、海外営業拠点の業務運営状況を確認するとともに、問題認識の共有を図り、必要に応じて、法第24条に基づき報告を求め、重大な問題があると認められる場合には、法第26条に基づく業務改善命令を発出する等の対応を行うものとする。