欧州委員会(EU)は、金融システム全体のレジリエンシーを高めるべく、2023年1月にデジタル・オペレーション・レジリエンス法(Digital Operatonal Resilience Act:DORA)を制定し、2025年1月の発効をめざしています。同法は欧州で営業する金融機関と金融関連のICTサービス・プロバイダーが対象ですが、同様な規制が他国で制定される可能性もあり注目が集まっています。
■ DORA制定の背景
金融機関は、金融機関同士の相互接続や外部ICTサービス・プロバイダーを活用して業務を遂行しており、リアルタイム・ペイメントが普及する中、外部連携の緊密度はこれまで以上に高くなっている。一方、サイバー攻撃は高度化し、複数の金融機関が同時に攻撃を受けたり、ある金融機関への攻撃が他行へ影響を与えるケースも生じていることから、金融システム全体がシステミック・リスクに晒されているとの認識が広まっている。
アイテ・ノバリカ・グループでは、金融機関や小売事業者のサイバーセキュリティ対策を把握するため、2022年第四四半期に8か国221社のCISO(最高情報セキュリティ責任者)に対するアンケート調査を実施しレポート「Cybersecurity 2023: InfoSec Leaders Pursue the Future of Financial Services」にまとめました。ここでは、その概要をご紹介いたします。
市場取引が活発な株式や為替(FX)では電子取引が広く普及していますが、流動性が高くない社債の場合、機関投資家は証券会社を通じて取引相手を探す必要があります。特に発行から時間が経過していたり売買単位が大きい場合、取引相手を見つけるには時間を要し、価格がかけ離れてしまう可能性があります。人工知能を使ってこの課題に取り組むLTX社の話題です。
■ 米国市場における証券トレーディング電子化状況
米国の金融市場では、株式や先物、為替、米国財務省証券などの取引の80-90%が電子化されている。一方、社債取引は証券会社を通じた相対取引が中心で、電子取引の割合は40%前後に留まっている。この背景には、大部分の社債は機関投資家保有で流動性が低く「取引相手を見つけにくい」、また見つかっても「売買価格が折り合わない」という根本的な問題がある。
加えて、証券会社が機関投資家から社債を買取って一旦「自社在庫」とし、のちに売り先を探す方策もあるが、金融規制の強化によりこの手法によるビジネスは縮小している。
送金詐欺(オレオレ詐欺など)による被害は、現在、自己責任と考えられていますが、イギリスの金融当局はこのような被害に対して金融機関に補償義務を負わせる制度の創設を進めており、米国当局もこの動きを注視しています。これを受け、金融機関や不正対策ソリューション・ベンダーは、詐欺による送金を検知し水際で阻止する仕組み作りを開始しています。
■ APP不正の急増
欧米では、金融不正(クレジット・カードの不正利用や銀行口座からの不正送金(パスワードの不正入手))対策が強化されてきたことから、犯罪者は、消費者本人を騙して送金させる金融詐欺へと犯罪パターンをシフトさせている。日本では「オレオレ詐欺」が代名詞となっているが、欧米の場合、SNS等を使ったロマンス詐欺が最も多く、その他「架空の請求書詐欺 - Invoice Scam」や「孫の保釈金詐欺 - "Your grandson is in jail, send money now" Scam」など様々なパターンがある。