英国の金融行為規制機構(FCA)が、サイバーインシデントとサードパーティ障害の報告義務を大幅に強化する新規則を3月18日に公表した。規制対象企業には12ヶ月の準備期間が与えられ、2027年3月18日に施行される。
なぜ今、規制強化なのか
直接的な引き金は、2025年に報告されたサイバーインシデントの40%超がサードパーティのサービスに起因していたという事実だ。CloudflareやAWSの大規模障害が金融サービスに連鎖的な影響を及ぼし、規制当局の危機感を高めた。
| 項目 | 内容 |
|---|---|
| 規制機関 | 英国FCA(金融行為規制機構) |
| 発表日 | 2026年3月18日 |
| 施行日 | 2027年3月18日 |
| 準備期間 | 12ヶ月 |
| 背景 | 2025年のサイバーインシデントの40%超がサードパーティ起因 |
新規則のポイント
FCAは健全性規制機構(PRA)およびイングランド銀行と連携し、統一的な報告ポータルを構築する。単独規制企業や信用組合向けには、必須項目10問のみの簡易フォームを用意し、報告負担を軽減する方針だ。
重要なのは、規制の焦点が「自社システムの防御」から「サプライチェーン全体のレジリエンス」にシフトしている点だ。AWS、Azure、Cloudflareといったクラウドプロバイダーの障害が金融サービスを停止させた場合、金融機関側に報告義務が生じる。
SaaSスタートアップへの影響
この規制は、金融機関にSaaSを提供するスタートアップにも間接的に影響する。金融機関がサードパーティリスク管理を強化すれば、SaaS導入時の審査が厳格化し、セキュリティ認証(SOC 2、ISO 27001など)の取得がますます「テーブルステークス」になる。
グローバルトレンド
英国の動きは孤立したものではない。EUのDORA(デジタル・オペレーショナル・レジリエンス法)は2025年1月に施行済みで、米国でもSECがサイバーインシデント報告義務を強化している。「サードパーティリスク規制」はグローバルな潮流だ。
起業家への示唆
金融業界向けB2B SaaSを手がけるスタートアップは、セキュリティとコンプライアンスを「機能」ではなく「前提条件」として設計する必要がある。逆に言えば、RegTech(規制テクノロジー)やサードパーティリスク管理ツールの市場は拡大の一途だ。
出典: FCA公式発表、FinTech Global、The Currency Analytics
