米国を拠点とする金融サービス企業が Google Cloud を使用する際に第三者のデュー デリジェンスの要件を管理できるよう支援

※この投稿は米国時間 2023 年 3 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

金融サービス機関では、クラウド コンピューティングをはじめとするさまざまな技術関連サービスに、外部サービス プロバイダを利用することが増えてきました。この傾向は、企業が自社のコア コンピテンシーに注力する一方で、第三者のソリューションを使用してビジネス、運用、セキュリティ、復元力、その他の効率性を高めることに価値を見出したことの表れといえるでしょう。金融サービスは最も規制が厳しい分野の一つであるため、企業は、どのような第三者と関与し、どのような種類のサービスに従事するかを慎重に検討する必要があります。これは、顧客と規制当局の両方の観点において、そうしたサービスのパフォーマンスに対して最終的な責任説明を負うことになるのが企業であるためです。

米国では、金融サービス機関は、多くの規制当局によって規制される場合があり、そのような規制当局の権限は管轄範囲（連邦または州の管轄区域など）、規制対象事業の種類（銀行、資本市場、コモディティ、デリバティブなど）、および提供するサービスによって広く定義されています。規制に関するガイダンスや要件は、Google Cloud などの第三者が提供するツールやサービスの選択および継続的な監視にあたって、金融サービス機関が合理的かつ適切なリスク管理プログラムを確実に実装することを求めるものです。

Google Cloud は、金融サービス機関が金融サービスのエコシステム内で活動するという特権に高い基準が設けられており、その特権を保持し続けるには、米国金融市場での信頼と信用を維持する基盤につながる規則と規制を遵守しなければならないことを理解しています。また、金融サービス企業が厳格なベンダー デュー デリジェンスを実施する際に対象となる審査について認識しており、関連する Google Cloud のポリシー、プロセス、技術実装の包括的な評価において、さまざまな方法でお客様をサポートしています。

Google による FSI の移行に関するホワイト ペーパーでは、米国を拠点とする金融機関が Google Cloud に移行する際に考慮すべきデュー デリジェンス規制について詳しく説明しています。これらの要件には、第三者のガバナンス、オンボーディング、および継続的な監視が含まれます。これらの概要について以下にご紹介します。

クラウド サービス プロバイダのガバナンス

米国の金融サービス規制当局は金融サービス機関に対し、クラウドが提供するツールやサービスの選択とそれらの継続的な監視にあたって、リスクに基づくプログラムの実装を要求しています。しかし、規制当局は、画一的なアプローチですべてに対応できるわけではないことを認識しているため、ガイダンス書類や規制に関する通知、公開された審査の観察を通じて、このメッセージを盛り込んでいます。

金融サービス企業は、自社のリスクを評価し、軽減するための合理的な措置を講じることが奨励されています。そのため、クラウド サービス プロバイダ（CSP）を含む第三者リスク管理プログラムを構築する必要があります。これは、たとえば、提供するサービスの重要性、実行可能な代替手段の有無、第三者が企業のシステムおよび施設に物理的あるいは論理的にどの程度アクセスできるかなどの考慮事項に基づいていなければなりません。これらの考慮事項は、一般的に、関連するガバナンス委員会によって、企業のリスク選好度および全体的なビジネス戦略に対して評価されます。

デュー デリジェンス ガバナンス プログラムの定義と確立において、金融サービス企業は通常、次のことを行う必要があります。

• 学際的なアプローチを提供するために、部門を超えて関係者と連携する

• 上級管理職の関与と取締役会に対する可視化を可能にする

• 効果的なクラウド プロバイダの監視に関連する規則、規制、ガイダンス、規制上の期待事項を特定し、必要な統制要件の決定を促す

• 第三者の財務状況、評判、運用・技術管理、契約上の義務を評価する定期的なレビューを実施する

• 第三者のパフォーマンスが合意された期待に確実に沿うようにする

• 潜在的な問題に対するエスカレーション プロセスと、必要に応じて関係を解消するための仕組みを確立する

Google サイバーセキュリティ対応チームは、頻繁にこのトピックに関与しており、より広範なクラウド ガバナンスやデジタル トランスフォーメーションの取り組みに沿ってリスク管理プログラムを合理化したいお客様に、戦略的アドバイザリ、信頼、コンプライアンスのサービスを提供しています。

クラウド プロバイダのオンボーディングと継続的な監視

クラウド プロバイダの選択とオンボーディングが完了した後、関係全体を通じて、FSI 規制当局は、以下のプロセスと管理の実装に焦点を当てた、継続的なリスク評価と監視を求めています。

• 顧客データのセキュリティと機密性を確保する

• 顧客情報の完全性を脅かす脅威から保護する

• 顧客記録への不正アクセスまたは不正操作を防止する

• ビジネス継続性と障害復旧のための計画を立てる

• 潜在的なサービス停止やインシデントに対処する

• 規制上の記録管理義務を果たす

Google Cloud は運命共有型モデルを採用し、お客様と共同でリスク管理に取り組んでいます。Google Cloud のトラスト センターには、Google の原則に基づくアプローチに加えて、Google のサービスを利用する際にお客様が期待できるセキュリティ、コンプライアンス、データ プライバシー、透明性、復元力への取り組みの概要が示されており、これらは定期的に独立機関による監査も受けています。Google のコンプライアンスと管理については、業界で広く認知されている、Google Cloud が取得した多くの認証と証明書のほか、定期的に更新され、お客様が直接アクセスできる独自の評価レポートで確認いただけます。

また、Google Cloud は第三者リスク管理プロバイダと提携して検証を強化し、お客様が独自に手動で実施するアンケートの代わりに、規制の要件や要望に対応する管理の包括的で標準化されたレポートを利用して効率化できるよう支援しています。さらに、Google Cloud には、お客様のリスク管理とデュー デリジェンス プログラムをサポートする専門チームがあるため、金融サービス機関は監査権を行使する際に、さらに透明性を高めることができます。

上記はすべてを網羅しているわけではありませんが、ベンダー デュー デリジェンス プログラムの観点から見た、お客様のセキュリティとデータ保護に対する Google Cloud の継続的な取り組みを明確にするものです。

関連情報

適用されるデュー デリジェンス要件を Google Cloud がどのように満たしているかについて理解するのに役立つさまざまなリソースが用意されています。詳細については、以下をご覧ください。

• FSI の Google Cloud への移行に関するホワイトペーパー

• FDIC、連邦準備制度、OCC、SEC、FFIEC アウトソーシング ガイドラインのそれぞれと Google Cloud および Google Workspace の対応付け

• Google Cloud の認証とコンプライアンス機能に関する追加情報を提供する、コンプライアンス サービス ページ