英国の金融行為規制機構(FCA)が、サイバーインシデントとサードパーティ障害の報告義務を大幅に強化する新規則を3月18日に公表した。規制対象企業には12ヶ月の準備期間が与えられ、2027年3月18日に施行される。
なぜ今、規制強化なのか
直接的な引き金は、2025年に報告されたサイバーインシデントの40%超がサードパーティのサービスに起因していたという事実だ。CloudflareやAWSの大規模障害が金融サービスに連鎖的な影響を及ぼし、規制当局の危機感を高めた。
| 項目 | 内容 |
|---|---|
| 規制機関 | 英国FCA(金融行為規制機構) |
| 発表日 | 2026年3月18日 |
| 施行日 | 2027年3月18日 |
| 準備期間 | 12ヶ月 |
| 背景 | 2025年のサイバーインシデントの40%超がサードパーティ起因 |
新規則のポイント
FCAは健全性規制機構(PRA)およびイングランド銀行と連携し、統一的な報告ポータルを構築する。単独規制企業や信用組合向けには、必須項目10問のみの簡易フォームを用意し、報告負担を軽減する方針だ。
重要なのは、規制の焦点が「自社システムの防御」から「サプライチェーン全体のレジリエンス」にシフトしている点だ。AWS、Azure、Cloudflareといったクラウドプロバイダーの障害が金融サービスを停止させた場合、金融機関側に報告義務が生じる。
SaaSスタートアップへの影響
この規制は、金融機関にSaaSを提供するスタートアップにも間接的に影響する。金融機関がサードパーティリスク管理を強化すれば、SaaS導入時の審査が厳格化し、セキュリティ認証(SOC 2、ISO 27001など)の取得がますます「テーブルステークス」になる。
グローバルトレンド
英国の動きは孤立したものではない。EUのDORA(デジタル・オペレーショナル・レジリエンス法)は2025年1月に施行済みで、米国でもSECがサイバーインシデント報告義務を強化している。「サードパーティリスク規制」はグローバルな潮流だ。
日本の金融規制との比較
英国FCAの動きは、日本の金融庁にも影響を与える可能性がある。金融庁は2024年に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を公表し、金融機関のサイバーレジリエンス強化を推進している。しかしサードパーティリスクに特化した報告義務は現時点では導入されていない。
日本の金融機関は、メガバンクから地方銀行まで、クラウドサービスへの依存度を急速に高めている。AWS、Azure、Google Cloudを利用する金融機関の割合は2025年に70%を超えたとされ、クラウド障害が金融サービスに与える影響は拡大の一途だ。英国のDORA・FCA規制の動向は、日本の金融庁が同様の規制を検討する際のベンチマークになるだろう。
コンプライアンスコストの現実
中小金融機関にとって、新しい報告義務への対応コストは無視できない負担だ。FCAは簡易フォーム(10問)を用意して負担軽減を図るが、サードパーティリスクの継続的な監視・評価・報告の体制構築には、専門人材の確保やツールの導入が必要となる。Deloitteの推計では、中規模金融機関がDORA/FCA規則に準拠するための初期コストは年間50万〜200万ポンドに達するとされている。
このコスト負担は、RegTech(規制テクノロジー)市場の成長を加速させる。サードパーティリスクの自動監視、インシデント報告の自動化、コンプライアンスダッシュボードの提供——こうしたソリューションへの需要は、規制が厳格化するほど高まる。英国のRegTech市場は2026年に約30億ポンド規模に達し、年率25%以上で成長している。
サードパーティリスク管理の実務
FCAの新規則が求めるサードパーティリスク管理の実務は、単なる「報告義務」を超えた組織的な変革を要求する。金融機関は、利用するすべてのサードパーティサービス(クラウド、SaaS、決済処理、データ分析など)について、リスク評価、契約上のSLA(サービスレベル合意)の見直し、定期的な監査、そしてインシデント発生時の報告体制を構築しなければならない。
この要件は、「サプライチェーンの可視化」という本質的な課題に行き着く。多くの金融機関は、自社が依存するサードパーティの全リストすら把握していない。あるSaaSプロバイダーが別のクラウドサービスに依存し、そのクラウドが特定のCDNに依存するという「多層的な依存関係」を可視化することが、まずは最初のステップだ。
保険とサードパーティリスク
サードパーティリスクの増大は、サイバー保険市場にも影響を与えている。従来のサイバー保険は「自社システムへの直接的な攻撃」を主な補償対象としていたが、サードパーティの障害による間接的な被害(ビジネス中断、データ損失)もカバーする拡張型のポリシーへの需要が急増している。
Lloyd's of Londonの推計では、グローバルなサードパーティ起因のサイバーインシデントによる経済損失は年間約500億ドルに達する。2023年のMOVEit脆弱性事件(単一のファイル転送ソフトウェアの脆弱性が2,700以上の組織に影響)は、サードパーティリスクの連鎖的な破壊力を世界に示した。FCAの新規則は、こうした「システミックリスク」への対応を金融業界に義務化するものだ。
金融テクノロジーの進化と規制の厳格化は、常にセットで進む。FintechスタートアップがSaaSモデルで金融機関にサービスを提供する構図が広がるほど、サードパーティリスクの管理は複雑化する。規制への準拠をコスト負担ではなく競争優位として捉えられるかどうかが、金融向けB2Bスタートアップの成長を左右するだろう。
日本の金融機関への実務的影響
日本の金融機関にとって、FCAの新規則は「対岸の火事」ではない。英国に拠点を持つ日本のメガバンク(三菱UFJ、みずほ、三井住友)は、FCA規制の直接的な対象となる。また、英国で先行する規制は日本の金融庁の政策に影響を与える傾向があり、数年以内に日本でも同様のサードパーティリスク報告義務が導入される可能性がある。先行して対応体制を構築する金融機関が、将来の規制変更にも柔軟に対応できる競争優位を持つことになるだろう。
FCAの統一報告ポータルは、複数の規制当局(FCA、PRA、イングランド銀行)への重複報告を排除する設計となっている。これは報告側の負担軽減だけでなく、規制当局間の情報共有を促進し、金融システム全体のサイバーレジリエンスを高める狙いがある。
起業家への示唆
金融業界向けB2B SaaSを手がけるスタートアップは、セキュリティとコンプライアンスを「機能」ではなく「前提条件」として設計する必要がある。逆に言えば、RegTech(規制テクノロジー)やサードパーティリスク管理ツールの市場は拡大の一途だ。
出典: FCA公式発表、FinTech Global、The Currency Analytics
