オペレーショナル・レジリエンス活動の価値向上に役立つ3つのポイント

存在意義を問う　～社会や顧客にとって自社の金融サービスはどれだけ重要か

従来のBCP活動とオペレジ活動の違いには、いくつか論点がありますが、そのひとつとして、対象とする重要業務の考え方が挙げられます。従来のBCP活動は自然災害などの緊急時における重要業務は何かというシーンを想定した考え方に対して、オペレジ活動は自社の金融サービスが社会や顧客にとってどれだけ重要かを検討する考え方にシフトします。つまり、オペレジ活動の対象は自然災害などの緊急事態という前提を取り払い、純粋に社会や顧客にとっての自社の金融サービスの重要性に焦点を当てます。

そのため、従来のBCPで対象としていた金融サービスだけでなく、昨今のデジタル化の進展に伴う多種多様な金融サービスも検討の対象に含め、これらのサービス中断が社会や顧客に与える影響、レジリエンスに関するステークホルダーの期待、自社や金融サービスの戦略や優先度などを考慮した総合的な判断がオペレジ活動に必要になります。オペレジ活動において、経営トップダウンでの全社的な態勢が必要と言われるのは、このような背景も理由のひとつです。

また、オペレジ活動は、自社の金融サービスにおける社会的な役割・責任を考える活動であり、いわば自社の存在意義を問うことになります。この取り組みを通じて自社や金融サービスの在り方が従業員にとって具体的かつ理解できるものとなることで、効果的なレジリエンスの確保だけでなく、目指している企業文化の浸透や金融サービスの改善への相乗効果など、金融機関の長期的な成長の礎を築くことに寄与できます。
 

実効性を問う　～環境変化を踏まえたITシステムのレジリエンス対策は適切か

ITシステムに関するレジリエンス能力の確保は、オペレジ活動において重要なテーマのひとつです。最近、金融サービスの中断が頻繁に注目されており、これらの多くはITシステム障害に起因していることから、その重要性は誰もが認識しているところだと思います。このITシステムに関するレジリエンス対策のことを、本記事ではデジタル・オペレーショナル・レジリエンス（以下、デジオペ）と呼称します。

ITシステムの危機対応・復旧計画（以下、IT-BCP）では、障害内容に応じた対応策やバックアップシステムへの切り替え、バックアップデータからの復旧などITシステム単位に計画されています。従来は業務とITシステムが1対1の関係であることが多く、業務の継続計画は、対象システムのIT-BCPを想定して整備されていました。一方で、昨今の金融サービスにおけるITシステムは、利用者との多様なインタフェースやデジタル化の進展に伴い、複数のITシステムや外部サービスを活用して実現されています。そのため、業務の継続計画の実効性はITシステムごとの個別検討のみでは不十分となり、金融サービス・業務単位で、複数のITシステムを俯瞰して確認や検討をする必要があります。

このようなITシステム構成の変化は、デジオペを取り巻く環境変化のひとつと言えます。この他にも次のようなさまざまな変化により、デジオペの実効性確保は従来に比べ難易度は高いと考えられます。
 

ITを取り巻く環境変化の例

• サードパーティサービスの活用拡大
• サイバー攻撃の進化
• AIの活用
• ローコード/ノーコードアプリの増加
• 開発・運用態勢の多様化（DevOps、ユーザ部などのIT部門以外での開発・運用など）
• IT人材の世代交代（レガシーシステムの保守人材不足など）

したがって、自社における環境変化を把握し、オペレジが求める「重要な業務を最低限維持」できるレジリエンス能力を継続的に確認・検証する枠組みが必要になってきます。

例えば、ITサービスの中断に至るリスクシナリオに影響する環境変化を検知する仕組み、およびリスクシナリオの拡充と金融サービス・業務単位でのシステム障害対応計画の妥当性・整合性を定期的に確認する活動が考えられます。また、これらの取り組みをオペレジ活動の「適切性の検証」の一部として位置付け、全社的な活動とすることで、金融サービスの提供に関わる関係者の理解促進や有事対応の習熟度を高められ、より高い実効性を確保することが可能になります。
 

さらなる効果を問う　～顧客志向のデジタル・オペレーショナル・レジリエンス

デジタルテクノロジーの進化などにより、企業と顧客が密接に結びつく現在において、システム障害やサイバーインシデントによるサービス中断が直接的に顧客体験に影響を及ぼし、ビジネスへのダメージを深刻化させる懸念があります。

これまでのITレジリエンスの取り組みでは、目標復旧時間内でのシステム復旧の実現のみに焦点を当てていることが多く、顧客体験を意識しにくい状況がありました。これは、顧客体験をビジネス部門とシステム部門の共通のアジェンダとして認識されていないことや、システム障害やサイバーインシデントを発生させないことが大前提というゼロリスク志向によってもたらされていると考えられます。

最近の顧客チャネルの多様化やシステム自動化によるシステムと顧客との距離が縮まっている状況は、ITシステムのレジリエンス対策内容がサービス中断時の顧客体験に直接影響し、結果として企業や金融サービスの信頼性を損なうリスクを高めています。このため、顧客体験を重視した顧客志向のデジタル・オペレーショナル・レジリエンスの確保が一段と重要になっています。

本記事の冒頭で紹介した金融庁のディスカッションペーパーでは、「利用者目線の金融サービス」として、「利用者目線で危機時の影響を極小化 （早期復旧や代替手段の確保、迅速な広報により、利用者目線で影響を限定的にする）。」とされています。これを受けて金融機関のオペレジ活動の多くは、利用者目線での「重要業務の特定」と「耐性度の設定」に取り組んでいる状況ですが、顧客体験を考慮に入れたレジリエンス対策はまだ途上にあると考えられます。こうした取り組みを進めることで、顧客の不安や期待に応えた適切な緊急時対応を実現し、信頼性の減少をできるだけ抑えるだけでなく、対応品質が評価され信頼性が向上することも期待されます。その結果、ITサービスのレジリエンスの強化は、自社の金融サービスの競争力を向上させる重要な手段になります。

有事の際に信頼性を損ねる顧客体験のイメージを次の図で紹介します。顧客が必要な情報を得られない問題は、広報ポリシーだけでなく、適切かつタイムリーな案内を実現するための事前の準備不足が原因です。顧客志向のデジタル・オペレーショナル・レジリエンスでは、このような原因を取り払い、段階的に強化していきます。

顧客志向のレジリエンスに取り組むための６つの要点を紹介します。これらは、ITサービスを顧客に直接提供する場合、システム部門も当事者意識を持って取り組むべき事項になり、これまで以上にビジネス部門とシステム部門が協調することが重要です。

「顧客体験の保証」は、対象の金融サービスで実現する顧客体験の方針を明確化し、それを実現するための有事対応の業務プロセスやシステム対策を計画します。また、それらが継続的に維持できるよう定期的に評価し改善するなどの活動を実施します。
「顧客視点での影響分析」は、システム障害やサイバーインシデントによるシステム影響を明確化し、それが顧客にどのような影響があるのか検討します。この際、顧客視点は、顧客という集団で捉えるのではなく、ペルソナに基づいた顧客個人の実際の影響まで検討することが望まれます。

「顧客関連情報の保護」は、システム障害によるデータ破損への対策やサイバー攻撃における改ざん・漏洩対策と、それらの説明可能性を確保します。また、複数システムの同時インシデントにおける復旧時のデータチェックの仕組みも準備します。
「顧客視点でのリスク評価」は、システム中断に至るリスクシナリオにおいて、顧客にどのような影響があるか検討し、重要度の判断やリスク対応策の評価に反映させます。
「顧客コミュニケーション」は、有事における情報発信の適時性や内容、手段を検討します。また、顧客からの問い合わせ窓口などの顧客接点の対応計画を検討します。
「顧客志向のカルチャー」は、顧客体験の重要性を踏まえた顧客志向の価値目線を浸透させ、誰もが当事者意識を持てるよう施策を講じます。

AIを使ったさらなる自動化などデジタルテクノロジーの発展により、今後もますます顧客志向のレジリエンスの重要性は高まることが想定されます。オペレジに取り組む機会が増えつつある今、顧客志向のITサービスのレジリエンスも意識して検討することで、より高い価値を生むことにつながります。

さいごに

今回の記事では、オペレジ活動の価値実現に注目して考察を紹介しました。レジリエンスの取り組みは形骸化しやすく、プロセスマッピング資料や復旧対応計画書などの成果物の作成に目的がすり替わりやすいため、改めて何のためにオペレジの活動をしているのか、それは自社にとって何の価値があるのかを意識することが望まれます。また、オペレジの実効性において、ITシステムやIT部門が果たすべき役割・責任が大きくなっています。そのため、ビジネス部門・IT部門が一体となってレジリエンスに取り組むという従前から言われてきた理想論が、いよいよ重要な課題として目の前に迫っており、真の全社的な推進態勢に基づくオペレジ活動の実現が期待されます。

1. 金融庁「オペレーショナル・レジリエンス確保に向けた基本的な考え方（令和5年4月）」にて定義されている「重要な業務の特定」、「耐性度の設定」、「相互連関性マッピング」、「適切性の検証」の４つの基本動作のこと