金融会社の宿願事業の一つだったクラウド基盤の業務用ソフトウエア(SaaS・Software as a Service)規制の緩和が金融当局の規制審議を通過した。金融会社はSaaS審査の緩和や制度適用範囲の拡大など複数の意見を伝えたが、金融当局がすべてを受け入れないと結論づけたことで「片手落ちの規制緩和」という不満も出ている。
17日金融圏によると、金融当局は最近規制審査委員会を開き、金融会社が内部業務網でSaaSを活用する場合に網分離規制の例外を認める内容の「電子金融監督規定施行細則」改正案を通過させた。
SaaSは文書作成、コラボレーションツール、ビデオ会議、人事・業績管理のようにクラウドサーバーで提供されるアプリケーションソフトウエアである。SaaSサービスは外部ソフトウエア企業が運営するクラウドサーバーと金融会社の内部業務用サーバー間のデータ交換などが不可欠である。金融圏はハッキングなどのサイバー脅威を防ぐため、外部インターネット網と内部業務網を物理的に分離する網分離規制を受けているため、SaaS導入に制約があった。
金融当局は2023年から「革新金融サービス」制度を通じて限定的にSaaS活用を認めてきており、今回、常時許容へと緩和することにした。改正案が規制審査を通過したことから、早ければ今月中にも施行される見通しだ。
改正案の立法予告期間中、金融会社は20件余りの意見を金融当局に伝えたとされる。代表例はSaaSを通じた固有識別情報や個人信用情報の処理を認めてほしいというものだ。金融会社はSaaSを適切に活用するには未加工の個人信用情報が必要だと見ている。現在は暗号化した仮名情報のみ利用可能だ。
セキュリティ水準や報告義務に関する緩和意見もあった。改正案によれば、金融会社は金融保安院など侵害事故対応機関の評価を通過したSaaSのみ使用しなければならない。金融会社は過度な規制だとの意見を示したが受け入れられなかった。
SaaSを導入した金融会社は厳格な情報保護統制を整え、セキュリティ措置の履行状況を半期ごとに点検して内部情報保護委員会に報告しなければならない。金融会社は報告サイクルの延長も建議した。許容されたSaaSサービス以外の他の外部インターネット接続を厳しく遮断する規定についても、システム更新などを踏まえ緩和の必要があるとの意見があったが、ハッキング事故などを理由に不受容の決定が下された。
金融圏ではSaaS網分離規制の緩和を歓迎しつつも「片手落ち」との不満も出ている。個人情報の活用が必要な人事・業績管理など企業の中核業務ではSaaS利用に制約が生じるためだ。金融当局は今後、生成型人工知能(AI)に対する網分離規制も推進する計画だが、金融会社は個人情報の利用が必要だという立場だ。
金融圏関係者は「技術革新と堅固なセキュリティがバランスを取って進むべきなのは確かだが、規制緩和の体感度が低いのも事実だ」と述べた。