三分の二ぐらい書いたところで、Mozillaが落ちたので書き直した（T_T)。それはともかく。

金融情報システムNo267(2003秋)に、「BCP(業務継続計画)に関する米国金融業界の取組み」という調査レポートが掲載されている。日米の違いがあるとはいえ、興味深かったので、幾つかコメントを書いておきたい。なお、BCPとは、Business Coninuity Planの略である。

まず、この調査レポートが主に取り扱っているテーマであるが、 FRB、 OCC、 SECが2003年4月に出した、 " Regulators Issue Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System"（以下、サウンドプラクティス）についてだ。これは、9.11を受けて、金融機関におけるBCPの整備を進めるためのものである。なお、調査レポートに拠れば、サウンドプラクティスとは、「ベストプラクティスとガイドラインの中間レベルに位置付けられており、より多くの機関が達成できるレベルを狙ったものである。」と説明されている。日本で、これに相当するものとしては、FISCが出している"金融機関等におけるコンティンジェンシープラン策定のための手引書"（以下、手引書）が相当すると考えられる。コンティンジェンシープランはContingency Planと綴るが、以下ではCPと略す。基本的にはBCPと同じものと思って問題ない。計画の主眼にするものが、広い意味での危機に対してであるか、業務継続が困難になる場合であるかという、ニュアンスの違い程度でしかない。

ここで、サウンドプラクティスと手引書を比較した個人的な印象を書くと、サウンドプラクティスの方は何を記述すべきかが具体的に示されているのに対して、手引書はCPの作成手順が示されているだけでありメタレベルに留まっており、具体性に欠けるというところだ。例を挙げるならば、サウンドプラクティスでは、Critical Financial Marketsとして、具体的に、

・Federal funds, foreign exchange, and commercial paper
・U.S. Government and agency securities
・Corporate dept and equity securities

を挙げている。対して、手引書は幾つか例示はするものの、「あくまで参考例」というスタンスを崩さない。リスク対象は、各金融機関が判断するものであり、それを縛ることはしないという立場だ。優先すべき業務についても、アンケート結果を示しているだけだ。ちなみに、

最優先で再開すべき業務
・小口現金支払
・小口現金預入
・代金取立手形業務
・手形貸付、証書貸付業務
・手形交換事務関連業務
・社債関連業務
・日銀との現金授受業務
比較的優先すべき業務
・商業手形割引業務
・住宅ローン業務
・東京外国為替市場取引業務
・金融庁向け報告業務

が挙げられている。

横道にそれるが、手引書のようにメタレベルで示されるだけでは、実際にCPを作成することは困難といえるだろう。逆に、金融機関以外でも参考に出来るのかもしれないが。ところで、邦銀におけるCPの成立過程を、ざっと書いておく。当初は、様々なトラブルに対処するために行内規程として、バラバラにあったものを、阪神淡路大震災、Y2K対策を契機に、CPとして整理したということのようだ。都銀は自力で整備したようであるが、地銀は親しい都銀等を参考にしたようである。また、Y2Kのときは金融監督庁（当時）からも強く指導が入っている。その後、銀行再編が進むわけであるが、その過程ではCPはあまり見直されていなかったようだ。その次の見直しの契機が、9.11であり、テロやセキュリティという観点からもCPを検討するようになったようである。最近のトピックとしては、政府系金融機関に金融庁の検査が入るようになったことから、政府系金融機関でもCPの整備が進められている。しかしながら、、CPの整備の中では、システム改訂や行内規程改定等も必要な場合があり、コスト、時間もかかるものである。加えて、市中銀行と異なり、Y2K対策の際にはあまり整備されていなかったこともあり、今後の継続的な見直しによる改善が重要と思われる。そもそも完全なCPなど存在せず、継続的な改善が必要であるのは、市中銀行も同じではあるが。

本題に戻る。サウンドプラクティスは9.11を背景としていることから、広域災害と金融機関の相互依存性に重点を置いている。

まず、広域災害の観点であるが、9.11では、バックアップサイトが近すぎたために、交通規制等により実質的に同時被災する例が見られた。これは、バックアップサイト構築の主目的が地震等の広域災害である日本では考えにくいことであるが、米国では地震が少ないこともあり、火災等の限定された地域での災害のみに絞って対策をとっていたということだろう。調査レポートに拠れば、9.11の教訓を受けてサウンドプラクティス草案ではバックアップサイトの距離を200～300マイルとしていたが、それに対して寄せられたパブリックコメントで、コスト面で現実的でないという意見が強く、最終案では距離が明記されなくなった。そのことからもわかるとおり、近距離にバックアップサイトを構築する大きな理由の一つは、距離とコストが反比例することにある。しかし、距離の明記を取りやめたとはいえ、サウンドプラクティス最終案でも、距離は技術が許す限り遠距離であることが望ましいとしている。

次に金融機関の相互依存性であるが、この観点は日本ではまだ弱いのではないかと個人的には思う。先の製鉄所やタイヤ工場のトラブルが自動車メーカーに与えた影響を他山の石とすれば、金融業界でも相互依存するものについては、対策を検討しておくべきだと考えている。それはともかく、この点について、サウンドプラクティスでは、先にあげたCritical Financial Marketの復旧を最優先としている。つまり、ホールセール市場を最優先としており、リテール業務は対象外としている。その点、邦銀のCPでは、通常最優先するのは、預金払い出しであり、大きく異なっているのだが。話を戻すが、この相互依存性の観点から、サウンドプラクティスでは対象機関として、core clearing and settlement organizations(Core機関）とfirms that play significant roles in critical financial markets（Significant機関)を挙げている。括弧内は、調査レポートの表記を借りた。サウンドプラクティス原文を斜め読みしただけでは見つけられなかったので、調査レポートに書かれていることを信用するが、Core機関には、Fedwire、CHIPS等の決済システムやDTCC、GSCC等の業界ユーティリティ、民間金融機関数行が含まれる。Significant機関は市場取引シェア5%以上を目安とし、約20行が対象との事である。そして、求められている対策としては、Core機関の方がSignificant機関よりハイレベルだ。そして、このように市場を特定し、その参加プレイヤーに対策水準を提示することで、対象市場の復旧見通しが立てやすくなるというのが大きなメリットだ。日本のように各行独自の判断に任せている限り、このメリットは享受できないだろう。

ただし、調査レポートでも指摘されているが、相互依存性のリスクを軽減するためには、複数機関が参加したテスト（訓練）が欠かせない。しかしながら、これについては米国でも、 SIAで進められているものの、今後の課題のようだ。また、 BITSでは、通信業界との相互依存について検討しているとのことだ。これらの相互依存性に関するリスクを軽減する取組は、日本でも参考にして取り入れていくべきだと思う。

(2003.10.1 21:09追記)日銀のサイトに掲載されている" 金融機関の拠点被災を想定した業務継続計画のあり方"や" 米国同時多発テロ直後の金融市場の動きと中央銀行の対応"も参考になる。

(2003.10.2 11:51追記)邦銀のCP成立過程の説明に、阪神淡路大震災を追記。ちなみに、旧さくら銀行（旧太陽神戸三井銀行）ではバックアップセンターを神戸に構築し、阪神淡路大震災直前の週末に切り替えテストを実施していたらしい。そのため、震災当日にはシステム部門の要員のかなりが神戸にいたらしい。その顛末はさくら銀行やさくら総研がレポートにまとめていたはずだ。