デジタル・オペレーショナル・レジリエンス・アクト(DORA)について

デジタル・オペレーショナル・レジリエンス・アクト(DORA)について

執筆：CISO事業部　平野 裕太
監修：CISO事業部　吉田 卓史

デジタル・オペレーショナル・レジリエンス・アクト (DORA：英語では略してドラと読みます)は、EUにおける金融セクターのデジタル・オペレーショナル・レジリエンスを強化するための規制です。サイバーセキュリティ、ICTリスク管理、データ保護などの分野で包括的な基準やガイドラインを提供し、金融システムの安定性と利用者の信頼性向上を図ります。本文ではDORAの制定背景、目的、詳細、およびその影響について解説します。　

背景と目的

金融セクターは、金融サービスの提供においてますますテクノロジーに依存しています。この依存が増すにつれ、金融セクターはサイバー攻撃などの技術的な問題に対して脆弱になっています。これらのサイバーリスクはEU域内企業において部分的に対処されていますが、一般規則が金融分野に部分的にしか適用されておらず、一貫性のない実施が見られます。また、金融サービス規則も断片的で不整合が生じています。DORA制定の目的は、金融機関がこれらのリスクに対処し、ICTインフラのオペレーショナル・レジリエンスを強化することです。具体的には、ICTリスク管理の強化、インシデント対応の迅速化、オペレーショナル・レジリエンスの確保、情報共有の促進、そしてサードパーティーリスクの管理を通じて、全体的な金融エコシステムの安全性を向上させることを目指しています。

発効と適用

DORAは2023年1月16日に発効され、金融機関および関連サービスプロバイダーは2025年1月17日までに準備を整える必要があります。この期間中に欧州監督機関（ESAs）は、具体的な基準とガイドラインを策定し、金融機関はこれらの新しい要件に対応する必要があります。

適用範囲

DORAの対象は金融セクター広範にわたり、銀行・信用機関、決済サービス機関、投資ファンド、保険会社、暗号資産サービスなど様々な金融機関が含まれています。例外として、零細企業に対しては一部の要件が除外されるなど、プロポーショナリティの原則が適用されます。

主要な要素

DORAは以下５つの主要な要素を含んでいます

1.ICTリスク管理：

・企業戦略および目標に基づくICTリスク管理フレームワークの策定
・脅威検知から対応、復旧、コミュニケーションに至るまでの防衛線強化
・デジタル・オペレーショナル・レジリエンス・テストの実施方法に関する詳細な説明
・ビジネス機能、プロセス、サードパーティー依存関係の包括的なビジネスインパクト分析の実施

2.ICT関連のインシデントの管理、分類及び報告：

・重大なICTインシデントに関する初報、続報、最終報告書を当局へ提出
・重要なビジネス機能およびサードパーティプロバイダーを考慮したインシデント対応計画のテスト
・ICTインシデントの根本原因分析の迅速な実施およびステークホルダーへの報告

3.デジタル・オペレーショナル・レジリエンス・テスト：

・全ての重要なICT機能に対する年次脆弱性評価およびシナリオベースのテストの実施
・重要と判断された金融機関に対する３年ごとの脅威ベースペネトレーションテストの実施
・脆弱性に対応するための効果的な修復およびフォローアッププロセスの確立

4.サードパーティーのリスク管理：

・ICTサードパーティー・サービスプロバイダーのコンプライアンス検証のための効果的なプロセスの確立
・ICTサードパーティー・サービスプロバイダーの依存関係のマッピングと集中リスク評価の実施
・ICTサードパーティー戦略の定期的な見直し

5.情報共有：

・サイバー脅威のインテリジェンス及びインサイトを共有し、デジタル・オペレーショナル・レジリエンスを向上
・当局が提供する情報を検証し、適切な対策を講じる仕組みを導入 

DORAの影響

DORAは、EUにおける金融機関に対して大きな影響を及ぼします。金融機関は、これまで以上に厳格なリスク管理体制を構築し、定期的な監査と報告を実施する必要があります。また、DORAの遵守は、技術的な投資と人材の育成を必要とし、多くのリソースを投入することが求められます。

日本企業に求められる対応

DORAの施行により、EU市場で事業を行う日本の金融機関や関連企業も同様のICTリスク管理基準に準拠する必要があります。これにより、日本企業はセキュリティ対策の強化と国際規格の遵守が求められます。特に、DORAの主要要素について金融機関の経営陣がAs isとTo beを認識することは重要です。経営陣は、主要な要素の分野でのギャップを理解し、改善策を講じることが求められます。これにより、金融機関はサイバー攻撃やその他の技術的な問題に対して強固な防御態勢を築くことができます。
また、個人情報保護においてGDPR（EU一般データ保護規則）を準拠するケースが多かったように、EUの規則は他国の規制やガイドラインの参照先として広く採用されています。DORAも同様に、多くの国や地域が参照する規則となる可能性が高いと思われます。日本の金融機関は DORAに準拠することで、国際的な競争力を維持し、グローバルな市場での信頼性を高め、ビジネスの継続性と成長を支える基盤を強化することができます。

【プロフィール】

平野 裕太（ひらの ゆうだい）

ベンチャーコンサルティングファーム、外資総合コンサルティングファームを経て、2022年にデジタルアーツコンサルティング株式会社（現アイディールートコンサルティング株式会社）に中途で入社。セキュリティコンサルタントとして、様々なグローバル案件に携わる。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

 【参考文献】

*1：REGULATION (EU) 2022/2554 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL December 14, 2022.
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R2554#d1e2941-1-1

*2：Digital Operational Resilience Act (DORA)
https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

*3：Joint ESAs public event on DORA - Technical discussion February 6, 2023.
https://www.eiopa.europa.eu/media/events/joint-esas-public-event-dora-technical-discussion-2023-02-06_en 

*4： EU（外国制度）GDPR（General Data Protection Regulation：一般データ保護規則）https://www.ppc.go.jp/enforcement/infoprovision/EU/