米国連邦金融監督機関が消費者保護法遵守等からみたソーシャル・メデイア管理の最終ガイダンスを公表

　昨年12月17日、OCC等連邦金融機関監督検査協議会(FFIEC)加盟の連邦金融監督機関は、最近時に見られる金融融機関におけるソーシャル・メディア利用面における各種顧客保護法遵守、リーガル・リスクならびに経営管理面等から見た潜在的リスク等にかかる最終的な監督ガイダンス「ソーシャル・メディア：消費者保護にかかる法令遵守やリーガルリスク管理にかかるガイダンス(Social Media:Consumer Compliance Risk Management Guidance)」を公表した(これに伴い、従来の外部委託ガイダンス(OCC Bulletin 2001-47およびOCC Advisory Letter 2000-9)は無効化された)。

　わが国では、金融機関が扱うソーシャル・メディアの普及に向けた取り組み課題の一般論が論じられているほか、海外の動向に関しては米国の証券業界の自主規制機関FINRAが2010年1月に証券会社がソーシャルメディアを活用する際の自主規制ガイドラインを発表した事実、米国の損害保険業界におけるソーシャル・メディアの現状とソルベンシー規制の動向等が簡単に紹介されている程度である。

　今回FFIECが策定した多様性を持つソーシャル・メディアの特性や各種リスクを踏まえた警告的内容を持つガイダンスに中身はいかなるもので、またわが国の金融監督機関にとっていかなる意義を持つことになろうか。

　それを論じるのが今回のブログの第一目的である。なお、FFIECの通達文は本ガイダンスは金融機関に新たな要求を課すものではないと明記しているが、果たして遵守すべき法体系がかなり異なるわが国の金融機関に適用するとするとなるとそううまくいくのであろうか。

　これに関連し、読者からは(注9)で述べるところの風評リスクを含む「Third-Party relationships」にかかるリスク問題の意図するところが正確に理解できないという指摘があろう。実は筆者もこの点については外部委託(アウトソーシング) (注1)のリスク管理問題が前提にあるという点は理解していたが、十分に自信がないのが本音であった。特に欧米の金融監督機関の場合、個別金融機関に内在する不祥事や経営破綻例にかんがみてバーゼルⅢの自己資本規制枠組みに追加された「オペレーショナル・リスク」(EUの資本要求(CRD)指令 (注2))や大規模テロやSARSといった人的・物的災害に関し、BCMやBCP等といったシステミック・リスク対策が具体化している中で、これらの金融システムの中核機能を担いつつあるサービス・プロバイダーにおけるアウトソーシングのリスク評価と規制強化問題である。

　ここまで来ると、2013年12月5日に米国中央銀行であるFRBが公布した「アウトソーシング・リスク管理にかかるガイダンス(Guidance on Managing Outsourcing Risk)」策定の意義、目的が理解できよう。この点を概観し、わが国の金融監督機関である金融庁の監督指針、検査用チェックリスト等と比較して、クラウド・コンピューテイング拡大等IT環境の変化を踏まえ、委託際先管理をめぐる今後の具体的取組み課題を提起するのが、第二の目的である。
　
１．FFIECのソーシャル・メデイア管理の最終ガイダンスの内容
(1)ガイダンス策定の目的
　IT技術進歩の急速な発展は、金融機関がマーケテイング、新たな口座・製品やサービスにかかるアプリケーションを容易にし、また既存顧客や潜在的な顧客との取り組みなど各種方法を通じたソーシャル・メディアの使用を許すことにつながった。
　この金融機関と顧客との相互作用を持ち運ぶ手段は、堅苦しくなくかつダイナミックな傾向を持ち、また取引の安全性において問題環境を引き起こすがゆえに、それ自身独自のリスクを金融機関に提示する。
　本ガイダンスは、金融機関が総合的なリスク管理プログラムの中でこれらの危険性を明らかにする責任を意識すべき点を明確化することを通じ、潜在的なリスクを特定する上での監督機関として支援すべき点を目指すものである。

　その主要な項目・内容は次のとおりである。
Ａ．消費者保護、遵守すべき関係法(注4)(注4-2) (注5) (注6) (注7) (注8)・規則の遵守およびソーシャル・メディアを介した活動にかかるポリシー適用性の確保
Ｂ．消費者への適合性、リーガル・リスクおよびソーシャル・メディアの使用に伴い悪い評判が立つリスク(風評リスク)(注9)、オペレーショナル・リスク等関連するリスク等潜在的なリスクの特定
Ｃ．金融機関が取り組むべきリスクの特定、査定、モニターできるよう遵守リスク管理への期待値の概説
Ｄ．有効なリスク管理プログラムには次の内容を含む。
・明確な役割と責任の明確化を伴う企業統治構造、および上級管理者や取締役会への適宜な報告。
・ソーシャルメディアの使用とモニタリングに関するポリシーと手続およびすべての適用法および規則への遵守性。
・第三者との関係の選択および管理手順ならびに独占的ソーシャル・メディア・サイトに投稿された情報のモニタリング手順。
・従業員教育

(2)ガイダンス全文
本文(全19頁:pdf)

(3)策定経緯、施行日
Ａ．本ガイダンスの適用対象金融機関
　銀行(bank)、貯蓄組合(saving association)、信用組合(credit union)および連邦消費者金融保護局(CFPB)監督下のノンバンク

Ｂ．意見の公募
　2013年1月に3月25日を期限とするガイダンス案を金融機関等に提示し、広くパブリックコメントを求めた。その結果、81のコメントが寄せられ、それらを勘案の上、最終ガイダンスを取りまとめた。

Ｃ．施行日
　2013年12月11日

２．金融機関業務の外部委託の拡大とリスク管理強化に関するガイダンス策定の動向　
　わが国の金融機関業務の外部委託(アウトソーシング)について、一般論としては、例えば金融庁の「主要行等向けの総合的な監督指針」Ⅲ-3-3-4 外部委託が明記しているし、また2001年4月17日に日本銀行(調査論文)がまとめた「金融機関業務のアウトソーシングに際してのリスク管理」が要点を整理している。しかし、欧米金融機関では金融サービスの中心的担い手となっている「サービス・プロバイダー」にかかるシステミック・リスクの高まりを背景として金融監督機関の取組みは急速に強化されつつある。

　本ブログは、米国の外部委託に関するリスク管理ガイダンスである連邦財務省・通貨監督庁OCCが2013年10月30日に公表した「第三者委託関係にかかるリスク管理ガイダンス」およびFRBが2013年12月5日に公表した「アウトソーシング・リスク管理にかかるガイダンス」の内容について解説する。

(1)OCCの「第三者委託関係にかかるリスク管理ガイダンス(Third-Party Relationships：Risk Management Guidance)」公示(Bulletin 2013-29)の概要

Ａ．要旨
　OCCは銀行(OCCが監督する国法銀行等をさす)が行うリスク管理について、銀行が自身で業務を行おう場合と外部委託(third- party relationships)による場合にかかわらず有効な管理を行うことを求める。銀行の第三者の使用は取締役会や上級管理者が安全かつ健全な方法によりまた適用法を遵守した活動を保証するうえで負う責任をなんら減ずるものではない。
　特記すべき点は次のとおりである。
①銀行は、リスクと第三者委託の複雑性に等しいレベルのリスク管理手順を採用すべきである。
②銀行は、を通じライフサイクル全体にわたり次のような有効なリスク管理を行うべきである。
・銀行の戦略、諸活動における固有のリスクおよび銀行がどのように委託先を選別、調査し監督するかについてまとめた計画
・委託先を選別する上での適切なかつ相当な配慮
・委託・受託関係機関すべての権利および義務について記した書面契約書
・委託先の業務活動と実績の継続的モニタリング
・効果的に委託関係を終了するのための危機管理計画(contingency plan)
・委託関係の管理とリスク管理手順の監視および管理に関する明確な役割と責任
・監督、説明責任(accountability)、モニタリングとリスク管理についての文書化と報告
・銀行の戦略や効果的なリスク管理を決定すべき内容を銀行に認める独立性を持ったレビュー

Ｂ．本ガイダンス策定の背景
　銀行では、次のような点からみて外国または国内の双方において第三者たる委託先数の増加と複雑さが増している。
・税務、法務、監査、情報技術(IT)の運用等銀行業務全体にわたるアウトソーシングの拡がり
・ビジネスや製品開発の業務ライン自体のアウトソーシング化
・銀行としてマルチの業務活動を単一の委託先に依存すること、しばしばそれは委託先が銀行の諸活動にとって必要不可欠な程度にいたる場合がある。
・銀行が委託先とともに直接顧客とかかわり合う。
・委託先と他の外国および国内のプロバイダーの活動に関する下請け契約を結ぶ。
・従業員、施設に関し契約を締結し、また下請け契約者が地理的に集約される。
・銀行業務の運用の不備や法律や規則などの遵守のために委託先と協働作業する。

　OCCは銀行の取り組み上の問題点につき次の例を特定した。
・これらリスクに関する適切な調査と理解、また直接・間接的に見た外部委託に伴うコスト分析の欠如
・委託先の関係の伴う適切かつ相当な注意と継続的モニタリングの欠如
・委託先のリスク管理慣行の的確性を評価せずに契約を結ぶ
・委託先の収入を最大化するために銀行や顧客にとって有害なリスクをとるため委託先を奨励する契約を結ぶ。
・所定の契約なしに非公式なままで委託先との関係を実行する。

以下、ガイダンスの項目のみあげる。
「外部委託におけるリスク管理のライフサイクル」
・計画
・相当な注意と委託先の選別
・契約交渉
・時業務遂行中のモニタリング
・委託契約の終了
・監督と説明責任の割り当て
・適時の文書化と報告
・独立したリスクに関するレビュー

〔リスク管理のライフサイクル図〕



「計画」
　上級経営者は託先との関係開発に先立ち、委託先との関係を構築する上で経営計画を立案すべきである。
「適切な注意と委託先の選択」
　銀行は、適切な注意とは具体的に次の項目の検討がなされるべきである。
・戦略と目標法律や規則などにかかる遵守面(運用にかかる必要なライセンス、専門的判断、銀行が国内および国際的に見て法律や規則の不遵守を理由に訴えら
　れないか等)のチェック
「委託先の財務内容」
「委託先の業務についての経験と評判」
「委託先の料金体系とやる気」
「委託先の経営幹部の資質、経歴および評判」
「委託先のリスク管理プログラム」可能であるならば、業務を外部に委託している場合、米国公認会計士協会の委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書（18号/SSAE16、以下「18号/SSAE16報告書」)の準備。また、国内および国際的な内部統制規格の遵守にかかる独立第三者機関(連邦商務省・国立標準技術研究所(NIST)やISO(国際標準化機構)の証明なども考慮すべきである。
「情報セキュリティ」
「情報システムの管理」
「自然災害、人的ミス、国際的な破壊行為やサイバー攻撃的等によるサービスの途絶、劣化に対応する耐性」
「事故発生にかかる報告と管理プログラム」
「人材の管理」委託先の従業員等の教育、銀行が定めるポリシーや手続き遵守へ
　の責任強化プログラム
「下請け契約者にかかる信頼性確保」
「具体的な損害補償の範囲」
「下請け者や委託先以外に対する契約上の紛争の法的調整」
「契約内容の交渉」契約時には、具体的には次の項目を記載すべきである。
・合意の本質部と範囲
・委託受託者双方の期待と責任を踏まえた履行手段と評価基準(benchmarks)

(以下、省略する)

(2)FRBの「アウトソーシング・リスク管理にかかるガイダンス(Guidance on Managing Outsourcing Risk)」
　今回FRBが策定したガイダンスは公告通達(SR 13-19/CA 13-21)によると次の要旨のとおりである。
　ここでは、それだけでなく前述のOCCのガイダンスとの比較をプライスウォーターハウス・クーパ－(PWC)の速報解説記事(Financial Services Regulatory Brief)の概要を元に述べる。(注10)
Ａ.FRBの公告通達の概要
　本通達の適用金融機関は、銀行、貯蓄貸付組合持株会社(savings and loan holding companies)(およびそれらのノンバンク子会社(nonbank subsidiaries))、州法銀行、外国銀行の米国内で業務展開するものである。
　本ガイダンスは、アウトソーシングされた金融サービスに関する現在有効なIT検査ハンドブック「2004年　FFIEC:アウトソーシング・技術・サービス・ブック(Outsourcing Technology Services(june 2004))(全48頁)」に基づき策定されたものである。(注11)
　なお、主な記述事項は次の項目である。
・サービス・プロバイダーの利用にかかるリスク：サービス・プロバイダーのアウトソーシング契約に伴う潜在的リスクの議論
・金融機関の取締役および上級経営管理者の責任：サービスプロバイダーとの委託関係を背景とするリスクを管理するうえで金融機関の取締役および上級経営管理者の期待される内容を概観する。
・サービス・プロバイダーのリスク管理プログラム：効果的にサービス・プロバーダーとの委託関係に関連するリスクを管理するうえで幅広い枠組みと手順を記述する。
　添付　ガイダンス本文(全14頁　PDF)：

〔FRBの関連通達〕
・SR letter 13-1/CA letter 13-1(内部監査とアウトソーシングに関する補足的経営政策声明(2013年1月23日)　
・SR letter 11-7(モデルリスク管理ガイダンス)(2011年4月4日)
・SR letter 06-4(外部監査従事通達における責任制限による非安全かつ不健全性に関する監督機関共通諮問事項)(2006年3月1日)
・SR letter 03-5(内部監査機能とそのアウトソーシングの監督機関共通ガイダンスの改正)(2003年4月22日)

Ｂ．PWCの解析
　同ガイダンスは銀行等金融機関とアウトソーシング契約を締結するすべての事業体を含むべく「サービス・プロバイダー」を広く定義する。その意味で、OCCガイダンス告示(2013-29)と同一タイプのリスクにつき記述する。
　しかしながら、告示内容を読むとOCCの規定内容より詳細でなくまた規範的な記述が少ないアプローチをとるが、これにはFRBが監督下におく金融機関野の種類がより広い点があげられる。すなわち、被監督金融機関(FRB-regulated Institutions)にとってFRBガイダンスをいかように適用するか、より柔軟性のある対応を認めることを意味する。
　その一方で、金融機関はFRBとの対話・協議等を通じFRBが求める有効性基準に合致すべく委託先リスク管理プログラムのどのように開発および維持するというより大きな責務(burden)を負う。
　もっともその点で成功する銀行は、監督機関の期待と自身のニーズに合致するリスク管理手順を開発と維持につき柔軟性を発揮することになろう。

******************************************************************************************

(注1) 金融機関業務の外部委託(アウトソーシング)について、一般論としては、例えば金融庁の「主要行等向けの総合的な監督指針」Ⅲ-3-3-4外部委託の監督チェックリストが明記しているし、また2001年4月17日に日本銀行(調査論文)がまとめた「金融機関業務のアウトソーシングに際してのリスク管理」が要点をまとめているといえる。しかし、欧米金融機関では金融サービスの中心的担い手となっている「サービス・プロバイダー」にかかるシステミック・リスクの高まりに対処するため、委託金融機関としてのアウトソーシングの際に遵守すべき責務強化だけでなく、サービス・プロバイダー側の責任強化、プロバイダーに対する監督当局の権限強化の問題が指摘されよう。

(注2) 2007年のEUの資本要求(CRD)指令については、筆者ブログ(2008年3月2日)で詳しく解説している。また、2013年7月16日、バーゼルⅢに適合するため改正された要求指令、付随規則のパッケージは2014年1月1日から施行された。

(注3) この部分の記述は、野村総合研究所金融ITイノベーション研究部 大宮由香「サービス・プロバイダに求められるシステミック・リスク管理」によった。同氏の更なる研究の成果を期待したい。

(注4) 本ガイダンスの中核をなす遵守関係法およびレギュレーション等を具体的に列記しておく。
(1)預金商品に関しては 「貯蓄真実法(Truth in Savings Act」、「Regulation DD:12 CFR 230(Truth in Saving Actが根拠法)」および「 Part 707.(212 U.S.C. 4301 et seq., 12 C.F.R. pts. 230 and 1030 and 12 C.F.R. pt. 707 (NCUA))」、
(2)貸付商品に関しては「消費者信用機会均等法(Equal Credit Opportunity Act)」、 「Regulation B」、 「 不動産機会均等法(Fair Housing Act)」、 1968年貸付条件真実開示法(Truth in Lending Act) (注4-2)、 「Regulation Z」)、 「Real Estate Settlement Procedures Act」、 「公正債権回収法(Fair Debt Collection Practices Act)」、「連邦取引委員会法第5条に定める不公正な(Unfair),欺瞞的行為(Deceptive,or Abusive)Actsまたは慣行(Practices)、連邦預金保険公社(FDIC)の預金保険や信用組合の預金保証保険付保であると偽る。

(3)資金決済・送金サービスに関しては、 「電子資金移動法(Electronic Fund Transfer Act)」、 「Regulation E」、小切手取引に関する諸規定(「NACHAの運用規則(Operating Rules of the National Automated Clearing House Association (NACHA)」">>、「電子手形交換所規則(Rules of the Electronic Check Clearinghouse Organization)」、 「金融機関の優先ファンド有効化法(Expedited Funds Availability Act)」とその関係規則「Regulation CC」
(4)銀行秘密報告義務法(Bank Secrecy Act)、反マネーローンリング・プログラム
(5)地域再投資法(Community Reinvestment Act)
プライバシー保護関連法：
・グラム・リーチ・ブライリー法のプライバシー規則およびデータセキュリティガイドライン(Gramm-Leach-Bliley Act Privacy Rules and Data Security Guidelines)
・2003年スパム規制法(CAN-SPAM Act)
・「1991年電話利用者の保護に関する法律(Telephone Consumer Protection Act of 1991：TCPA)」
・「1998年児童のオンライン・プライバシー保護法(Children's Online Privacy Protection Act of 1998)」

(注4-2) わが国では「Truth in Lending Act 1968」は、ほぼ100%「貸付真実法」と訳されている。しかし、この訳では一般の読者は何を目的とする法律かが理解できないであろう。したがって、筆者は本ブログで「貸付条件真実開示法」と意訳したのは次のような解説文を読んだことが背景にある。

「1968年貸付条件真実開示法（Truth in Lending Act 1968：TILA）」は、消費者が貸出市場における企業によって公正に扱われ、信用の実際のコストについて通知されることを確実にするために、1968年に制定された連邦法である。”TILA” は、貸し手に与信条件を簡単に理解しうる形で開示し、借り手である消費者が店頭金利と条件を自信を持って比較できるようにすることを要求している。貸し手は、融資額、年間利率（APR）、財務費用（申請手数料、延滞損害金、早期返済ペナルテイを含む）、支払スケジュールおよび合計金額に関する情報を含む貸出実績開示書（TIL） ローンの生涯にわたる返済額等を提供しなければならない。

TILAは、自宅または自動車ローンなどのクローズドエンド口座、およびクレジットカードなどのオープンエンド口座に適用されるルールを概説している。 銀行にどれくらいの金利を課すか、または融資を受けなければならないかどうかについては、銀行に制限を課すものではない。 貸し手には、貸付に関連するすべての費用、手数料に関する情報を開示する必要がある。」

（注5) 「消費者信用機会均等法（ECOA： Equal Credit Opportunity Act）」の概要は次のとおり。
米国の消費者信用保護法第7編(Consumer Credit Protection Act (CCPA title 7)として1976年制定、1977年3月施行。
この第7編がEqual Credit Opportunity Act とのショートタイトルで呼ばれる。同法では、クレジット利用につき、消費者は公平に取り扱われるべきことを定めている。すなわち、
①年齢、性別、人種、肌の色、婚姻状態、公的扶助の有無などによる差別の禁止。
②申込書の処理方法について提出後30日以内以内に承認か不承認かの通知を出し、拒絶の場合には書面で理由を告げるか、理由を求める方法を告げるかすること、信用情報に関係あるときは、情報機関の名称と所在地を知らせること
など定めている。(日本カードビジネス研究会の説明から一部抜粋、法律名の原文は筆者が追記)

(注6) 連邦取引法第5条の解釈上「不公正な」行為とは，「消費者自身によっては合理 的に回避できず，かつ，その行為又は慣行が消費者又は競争にもたらす利益を上回るような実質的損害を消費者に与え又は与えるおそれがある行為又は慣行」と 定義されている。(公正取引委員会の解説から一部抜粋)。

(注7) クレジットユニオンの預金保険制度については、連邦免許クレジットユニオン及び連邦保険の対象となる州免許クレジットユニオンの預金の保証を行う全米クレジットユニオン預金保険基金（National Credit Union Share Insurance Fund、以下「NCUSIF」）と民間預金保険会社であるアメリカン預金保険（American Share Insurance、以下「ASI」）がある(農林中金総合研究所 古江晋也「米国クレジットユニオンの現況と経営戦略－② 」から一部抜粋)。

(注8) 「公正債権回収法」とは、米国の消費者信用保護法の第8編として1977年制定、1978年施行された法律。回収業者が、消費者から債権を取り立てる際の業務規制を定めた法律。業として債権を回収する債務回収員（debt collector）を対象とし、本法では、自己の債権を取立てる金融機関、金融業者、小売業者の従業員を対象にしない。公務員、弁護士も対象外。例えば①督促は葉書でしてはいけない。また、封書であったとしても、本人が差出人からお金を借りていることが分かるようなものは禁止②本人以外に督促してはいけない③暴言、脅迫的言動など、ハラスメントを禁止。④消費者が弁護士を代理人とした時は弁護士以外に連絡を取ることを禁止⑤勤務先での取立ての連絡を禁止していると言われたら、回収者は勤務先に2度と連絡してはいけない⑥債務者の同意なく午後9時以降、午前8時前に連絡をとってはいけない、などが定められている。(日本カードビジネス研究会の説明から抜粋)

(注9) 「悪い評判が立つリスク(風評リスク)」とは次のもの等をいう。
・詐欺的あるいは偽ブランド・ビジネスを行っている（Fraud and Brand
　Identity）
・金融機関業務のアウトソーシング(Third -Party relationship:第三者との関係)にかかるリスク等発生の懸念(Third Party Concerns)

(注10) いうまでもなく、PWCは世界的規模のコンサルテイング会社である。今回、このようなガイダンスの解析作業を通じて米国で展開する海外の金融機関の経営、業務サポートを手がけている点は理解できよう。

(注11) 「2004年　FFIEC:アウトソーシング・技術・サービス・ブック(Outsourcing Technology Services(june 2004)」の構成項目のうち「リスク管理」の部分を参考までにあげておく。なお、読者はこの項目を読んでその有意性に気がつくであろう。時期を見て改めて同ハンドブックの解析を行ってみたい。

RISK MANAGEMENT
・Risk Aessment and Requirements
・Quantity of Risk Considerations
・Requirements Definition
・Service Provider Selection
・Request for Proposal
・Due Diligence
・Contract
・Issues
・Service Level Agreements (SLAs)
・Pricing Methods
・Bundling
・Contract Inducement Concerns
・Ongoing
・Monitoring
・Key Service Level Agreements and Contract Provisions
・Financial Condition of Service Providers
・General Control Environment of the Service Provider
・Potential Changes due to the External Environment


**************************************************************************
Copyright © 2006-2014 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．