画像=ChatGPTで生成

金融監督院は24日、ビッグテック系電子金融業者の最高情報責任者(CIO)らとの懇談会を開き、事業拡大に見合うIT安定性と内部統制の強化を求めた。ビッグテックの金融サービスが日常インフラとして定着する中、システム障害が消費者被害や市場の信頼低下に直結しかねないと判断したためだ。

会合には、Naver Financial、Kakao、Kakao Pay、Kakao Mobility、Viva Republica、Toss Paymentsの6社のCIOと監査担当者らが出席した。

金融監督院は、今年発生したビッグテック系電子金融業者のシステム障害について、サービス拡大の過程で積み上がった管理負荷が表面化した事例とみている。決済、チャージ、送金といった中核サービスの停止に加え、オンライン・オフライン決済の障害や口座振替の二重引き落としも発生しており、フィンテック各社には従来の金融機関並みのIT内部統制と消費者対応が求められている。

背景には、ビッグテックの金融サービスがすでに生活インフラとして利用されている実態がある。決済や送金、チャージ機能が停止すれば、単なる接続トラブルにとどまらず、実際の取引停滞や消費者被害につながるおそれがある。

特に、同一プラットフォーム内で決済、チャージ、送金に加え、グループ金融会社のサービスまで提供している場合、特定機能の障害が全体のサービス停止に波及する可能性があるという。

また、単一アプリ上で複数の系列サービスを提供する構造や、外部連携の拡大も運用管理を難しくしている。クラウドや外部システムとの接続が増えることで、障害の影響が一企業の内部にとどまらなくなっているためだ。

このため金融監督院は、特定プラットフォームの障害がサービス全体や系列金融会社へ広がらないよう、システムの分離運用体制を整備するよう求めた。

当局は、主要事故の多くが基本的なIT内部統制の不備に起因している点も問題視している。アップデートプログラムの不具合でネットワークトラフィックが急増した事例や、大型イベント時のアクセス急増を見込み切れず、データベースサーバーに過負荷が生じた事例があったという。

さらに、プログラム変更時に第三者検証が行われなかったり、事前テストが不十分だったりしたことで、注文や決済処理の遅延が発生したケースも示した。

これを受け、業界では障害予防に向けた内部統制の見直しが進んでいる。各社は、自社のITリスクに応じたIT内部統制の枠組みを整え、自律的な統制活動を強化する方針だ。

新機能の導入やアップデート時には、事前の影響分析と十分なテストを実施する。大型イベントや新サービス開始前には想定流入量を分析し、システムの可用性を点検するほか、障害やエラーの早期検知に向けたリアルタイム監視も強化する。緊急時の計算資源増強に備えた非常対応策も整備する予定としている。

こうした中、主要フィンテック各社も、変更管理、外部連携時の障害波及防止、業務継続性の確保を軸に管理体制の整備を進めている。障害が特定機能にとどまらず全体へ広がる可能性があるため、中核サービスと外部連携区間の分離や点検を重視する動きが目立つ。

Naver Payは、システム変更時の妥当性検討や審議、承認を担う組織と専門人材を配置していると説明した。外部連携サービスと中核サービスを分離し、障害が内部システムに波及しないよう管理しているという。

また、災害や障害を想定した模擬訓練を通じて復旧手順の実効性を点検し、被害発生時の補償案も迅速に検討する方針だとしている。

Kakao Payも、ITリスク管理と障害拡散防止の体制を運用している。金融監督院のIT内部統制体制ガイドに沿って、専担の監査組織がITリスク評価計画を策定・実行しているほか、IT専担組織も独自のIT監査機能を担っているとした。

加えて、分散トレーシング、システム分散、サーキットブレーカーなどの仕組みを運用し、一部システムの障害が全体サービスに波及しないよう分離運用しているという。

Tossは、IT運用統制と業務継続性の確保に重点を置いている。内部監査チーム内のIT・セキュリティ専門監査機能を通じ、システム変更管理、障害・事故管理、外部連携サービス、業務継続計画(BCP)、災害復旧(DR)といった主要なIT運用統制を独立して点検していると説明した。

二重化したインフラを常時稼働させているほか、単一アプリ環境で複数の系列会社サービスが連動することを踏まえ、系列会社間の連携区間に対する共同対応プロセスも運用しているという。

各社は、障害や事故の発生時に被害状況の把握や顧客への案内、事後対応を迅速に進められるよう、消費者保護体制の高度化も進めているとしている。

金融監督院は、ビッグテックの金融サービスが国民生活と密接に結び付いているとして、システム事故の予防に向けた全社的な取り組みの重要性を強調した。事故が頻発する電子金融業者に対しては現場点検を実施し、基本的な内部統制の不備によって大規模なシステム事故が発生した場合には厳正に対応すると明らかにした。

イ・ジョンオ金融監督院デジタル・IT副院長補は「国民の日常生活と密接に結び付いているだけに、システム事故によって大規模な不便や経済的被害が生じないよう、徹底した予防が必要だ」と述べた。その上で「従来の金融機関以上のIT安定性を確保するため、全社的な努力が必要だ」と強調した。

業界内では、システム安定性強化の方向性にはおおむね同意しつつも、詳細な基準はフィンテック業界の特性を踏まえて設計すべきだとの声も出ている。

業界関係者は「ビッグテック系電子金融業者も、セキュリティとIT安定性の確保に向け、投資と多大な努力を続けている」とした上で、「内部統制基準を具体化する過程では、各サービスの構造や技術環境もあわせて見る必要がある」と話した。

キーワード

#金融監督院 #電子金融業者 #フィンテック #IT内部統制 #障害対策 #クラウド #業務継続計画 #DR
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.