欧州の銀行が顧客管理型暗号鍵でEBAアウトソーシングガイドラインに対応する方法
欧州銀行監督機構(EBA)のアウトソーシングに関するガイドライン(EBA/GL/2019/02)は、金融機関に対し、アウトソーシングされた機能に対する効果的な管理、すなわちパフォーマンスの監視、セキュリティ基準の強制、データ保護が損なわれた場合の契約解除などを可能とすることを求めています。2025年1月以降、デジタル・オペレーショナル・レジリエンス法(DORA)が、ICTリスク管理、サードパーティ監督、オペレーショナルレジリエンスに関する強制力のある要件を追加し、EU加盟国全体に直接適用されます。これらのフレームワークにより、欧州の銀行はクラウドサービスプロバイダーによって処理される顧客データおよび業務データに対して、真に管理していることを証明する必要がある規制環境が構築されています。
BaFinの監督下にあるドイツの銀行にとって、この規制環境はさらに詳細です。BaFinの2024年クラウドアウトソーシング監督通知では、暗号化と鍵管理をコアなガバナンストピックとして取り上げることが明確に求められています。DORAへの移行期間中も2026年12月まで適用されるBAITフレームワーク(Bankaufsichtliche Anforderungen an die IT)は、ITセキュリティ管理策に対する明確な期待値を示しています。一方、ECBのクラウドサービスアウトソーシングに関するガイド案は、金融機関が自らのデータを所有し、クラウドプロバイダーがデータを保存する場所を制限する必要があることを強調しています。
これらすべての要件に共通するキーワードは「コントロール(管理)」です。契約上の管理保証ではなく、アーキテクチャ上で検証可能な技術的コントロールによるデータ主権の確立です。本ガイドでは、顧客管理型暗号鍵が規制当局が重視するアウトソーシングリスクの核心にどのように対応し、欧州の銀行がEBA、DORA、各国監督当局の期待を同時に満たすためにこのアプローチをどのように実装できるかを解説します。
エグゼクティブサマリー
主旨: EBAアウトソーシングガイドラインおよびDORAは、欧州の銀行に対し、クラウドプロバイダーによって処理されるデータを効果的に管理し、不正アクセスから保護できる体制を維持することを求めています。銀行が自ら暗号鍵を生成・保管し、ハードウェアセキュリティモジュール(HSM)内で独占的に管理する「顧客管理型暗号鍵」は、クラウドプロバイダーが法的強制下でも復号データにアクセスできないため、これらの要件を満たすアーキテクチャの基盤となります。
重要性: DORAの施行は2025年1月17日から始まり、重大な違反には年間売上高の最大10%の罰金が科されます。BaFinはドイツの銀行に対し、すでにコンプライアンスを示すことを求めており、初期調査結果は2025年末までに公表される予定です。もし貴行が暗号鍵へのアクセス権を保持する米国本社のクラウドプロバイダーに依存している場合、アウトソーシング契約と規制当局の期待との間に明確なギャップが存在します。顧客管理型暗号化は、そのギャップを埋める技術的対策です。
5つの重要ポイント
- EBAガイドラインは、契約上の約束ではなく実効的な管理を要求。 EBA/GL/2019/02のパラグラフ98は、重要機能のアウトソーシング契約において、データの保存場所の特定、機密性・完全性・可用性の確保、セキュリティ上の弱点がある場合の契約解除権を明記することを義務付けています。
- DORAは保存時・転送時・必要に応じて使用時の暗号化を義務化。 金融機関はDORAのICTリスク管理要件の下、包括的なデータ暗号化ポリシーを実装し、全ての状態で不正アクセスから情報を保護する必要があります。
- BaFinは暗号化と鍵管理をガバナンストピックとして明示。 2024年監督通知では、ドイツの銀行がクラウドガバナンス指針の中で鍵管理を明確に取り上げ、単なる暗号化にとどまらず、暗号鍵の管理権限を文書化することを求めています。
- プロバイダー管理型鍵は解決不能なアウトソーシングリスクを生む。 米国本社のクラウドプロバイダーが暗号鍵を保持している場合、CLOUD法やFISA 702によるリスクにより、銀行はデータの機密性を保証できず、EBAおよびDORA要件に同時に違反することになります。
- 顧客管理型鍵は複数の規制要件を同時に満たす。 銀行が自らのHSMで暗号鍵を保持するという単一のアーキテクチャ上の決定により、EBAのアウトソーシング管理、DORAの暗号化義務、GDPRの移転保護、BaFinの監督要件をすべてカバーできます。
EBAアウトソーシングガイドラインが契約管理以上を求める理由
EBAによるクラウドアウトソーシングのリスクベースアプローチ
2019年9月30日から有効なEBAアウトソーシングガイドラインは、信用機関、投資会社、決済機関、電子マネー機関に適用されます。これらのガイドラインはリスクベースアプローチを採用しており、金融機関にすべてのアウトソーシング契約におけるリスクの特定・評価・軽減を求め、重要または重要性の高い機能については強化された要件が課されます。
クラウドベースのファイル共有、メール、コラボレーションプラットフォーム、マネージドファイル転送システムなど、機密データ交換に用いられるサービスは、通常「重要または重要性の高い機能」に該当します。これらのプラットフォームは顧客の金融データ、内部コミュニケーション、規制当局とのやり取り、取引記録などを処理します。EBAパラグラフ75の下、金融機関はアウトソーシング契約締結前に徹底したリスク評価を実施し、プロバイダーのセキュリティ体制を継続的に監視する必要があります。
特に重要なのは、EBAガイドラインがISO 27001などの認証だけに依存したリスク評価や監視を不適切と明記している点です。銀行はプロバイダーの保証を超えて、実際の技術アーキテクチャ、すなわち誰がデータにアクセスできるかを評価しなければなりません。
データセキュリティに関するガイドラインの要求事項
重要または重要性の高いアウトソーシングについて、EBA/GL/2019/02パラグラフ98は、データの保存・処理場所を明記し、プロバイダーが場所を変更する場合は通知することを契約書に記載することを求めています。契約には、データのアクセス性・可用性・完全性・プライバシー・安全性の確保が盛り込まれなければなりません。プロバイダーが破産した場合でも、金融機関が自らのデータにアクセスできることを保証し、データセキュリティに弱点がある場合の契約解除権も含める必要があります。
パラグラフ100は、金融機関がプロバイダーのパフォーマンスを定期的に監視し、特にデータの可用性・セキュリティ・完全性に注目することを求めています。EBAのICTおよびセキュリティリスク管理ガイドラインは、契約に最低限のサイバーセキュリティ要件、データライフサイクルに関する仕様、データ暗号化要件、ネットワークセキュリティ、データセンターの場所に関する要件を含めるべきだとしています。
これらは単なる指針ではなく、BaFinのような各国規制当局が検査や是正命令、DORA下での財務的制裁を通じて強制する拘束力のある監督上の期待値です。
どのデータコンプライアンス基準が重要か?
Read Now
DORAによるICTサードパーティリスクの高まり
DORAにおける暗号化要件
DORA(規則 EU 2022/2554)は2025年1月17日から施行され、EU域内の約22,000の金融機関にICTセキュリティの統一要件を課しています。DORAのICTリスク管理フレームワークの下、金融機関は保存時・転送時・必要に応じて使用時のデータ暗号化をカバーする包括的なポリシーを実装しなければなりません。技術的に暗号化が不可能な場合は、同等の機密性・完全性を維持できる分離された安全な環境でデータを取り扱う必要があります。
DORAのサードパーティリスク管理の柱では、すべてのICTサービス契約にサービスレベル合意、監査権、契約解除権、退出戦略、インシデント通知手順を含めることが求められます。欧州監督当局は2025年11月にAWS、Microsoft Azure、Google Cloudなど19のICTサービスプロバイダーを「重要」と指定し、これらに直接的なEU監督を課しました。つまり、欧州の銀行はこれらのプロバイダーとの関係を単なる契約問題として扱うことはできません。今や規制当局はプロバイダー自体も審査対象としています。
ドイツ銀行に対するBaFinの具体的期待
BaFinの2024年2月クラウドアウトソーシング監督通知は、EBAの基準を超える内容です。監督対象企業に対し、暗号化と鍵管理をコンプライアンス、ID管理、下請け管理と並ぶコアトピックとしてカバーするクラウド利用指針の策定を義務付けています。BaFinは、各アウトソーシング機能が十分に監視可能か、必要に応じて再内製化可能かの戦略的分析を銀行に求めています。
BaFinは2025年にアウトソーシング監督を強化し、年末までにDORAコンプライアンスの初期調査結果を公表する予定です。顧客管理型暗号化を導入していない米国ハイパースケールプロバイダーに依存するドイツの銀行は、現行アーキテクチャがBaFinの十分なデータ保護管理策の解釈を満たさない可能性があり、直接的な監督リスクに直面します。
欧州銀行が解決すべき暗号鍵の課題
プロバイダー管理型鍵が規制要件を満たせない理由
欧州の銀行が米国本社のクラウドプロバイダーを使ってセキュアなファイル共有やメール、コラボレーションを行う場合、プロバイダーが暗号鍵の管理権を保持しているのが一般的です。たとえEU内データセンターを選択しても、サービスを運営する法人はCLOUD法の適用を受け、米国当局は保存場所に関係なくデータ提出を強制できます。FISA第702条は、米国外の個人に対する令状なしの監視を認めています。
この状況は、EBAおよびDORAの要件とアーキテクチャ上で衝突します。銀行のアウトソーシング契約でデータの機密性を求めていても、プロバイダーは法的強制で復号データを提出でき、銀行に通知する義務もありません。EBAがデータセキュリティの弱点に対する契約解除権を要求しても、その弱点が構造的(プロバイダーが鍵を持ち、外国政府アクセス法の適用を受ける)である場合、解除権は意味を持ちません。
EDPB勧告01/2020は、プロバイダーが暗号鍵を保持し、政府アクセスを許す法制度下で運用されている場合、効果的な補完措置は存在しないと明言しています。銀行が移転影響評価(Transfer Impact Assessment)を行う際、プロバイダー管理型暗号鍵は軽減不可能なリスク要因となります。
顧客管理型鍵がこの矛盾をどう解決するか
顧客管理型暗号鍵はリスクアーキテクチャを根本的に変えます。このモデルでは、銀行が自ら暗号鍵を生成し、オンプレミスまたは銀行管理下の欧州データセンターに設置したハードウェアセキュリティモジュール(HSM)で保管します。クラウドプラットフォームは暗号化データを処理しますが、復号鍵を一切保持しません。外国政府がプロバイダーにデータ提出を強制しても、銀行の鍵なしでは解読不能な暗号文しか提出できません。
このアプローチは、銀行が鍵を生成してプロバイダーの鍵管理サービスにアップロードする「BYOK(Bring Your Own Key)」とは異なります。BYOKではプロバイダーが鍵素材にアクセスでき、強制的に使用させられる可能性があります。顧客管理型暗号化は、鍵が銀行のインフラから一切出ないことを意味します。
顧客管理型鍵で対応できる規制要件
| 規制要件 | プロバイダー管理型鍵 | 顧客管理型鍵 |
|---|---|---|
| EBA:データ機密性の確保(パラグラフ98) | 保証不可。プロバイダーが外国アクセス法の適用を受ける | 保証可能。プロバイダーはデータを復号できない |
| EBA:データセキュリティの継続的監視(パラグラフ100) | 可視性が限定的。プロバイダーの報告に依存 | 銀行管理下での完全な監査証跡 |
| DORA:保存時・転送時の暗号化 | 暗号化されているが、プロバイダーが鍵を保持 | 銀行独占の鍵管理による暗号化 |
| DORA:サードパーティICTリスク管理 | 外国アクセス法による残存リスク | アーキテクチャレベルでリスク排除 |
| BaFin:暗号化・鍵管理ガバナンス | 鍵管理をプロバイダーに委任 | 銀行ガバナンス下での鍵管理 |
| GDPR:第32条 技術的措置 | プロバイダー管理の措置。移転リスク残存 | 銀行管理の措置。移転リスク軽減 |
| CLOUD法 / FISA 702リスク | 全面的なリスク。プロバイダーが要求に応じる可能性 | リスクなし。プロバイダーは可読データを提出不可 |
暗号鍵以外に求められるアーキテクチャ要件
顧客管理型暗号化は必要条件ですが、それだけでは十分ではありません。欧州の銀行は、検証可能なデータ主権を実現するために、以下の3つの補完的要件でクラウドプラットフォームを評価すべきです。
シングルテナント欧州展開
マルチテナント型クラウド環境では、複数顧客でインフラを共有し、プロバイダーの担当者が世界中から保守作業を行います。専用の欧州インフラ上でのシングルテナント展開により、銀行データは欧州法の管理下でアクセス制御された分離システム上にのみ存在します。顧客管理型暗号化と組み合わせることで、不正アクセスの論理的・物理的経路を排除できます。
ポリシー強制によるデータレジデンシー
EBAパラグラフ98は、契約でデータ保存場所の明示と変更時の通知を求めています。DORAもデータレジデンシーの期待を強調しています。契約上の約束に頼るのではなく、ドイツやEUデータセンターへの保存を技術的ジオフェンシングで強制し、非EUへの複製を防止し、すべてのアクセス試行を監査証跡として記録するプラットフォームを導入すべきです。
包括的な監査・モニタリング機能
EBAおよびDORAは、アウトソーシングサービスの継続的監視を要求しています。銀行は、すべてのファイルアクセス、ユーザー操作、管理変更、データ移動を完全に可視化できるプラットフォームを必要とします。このデータガバナンス機能は、DORA第28条3項のアウトソーシング登録要件をサポートし、BaFinの検査やECBの監督審査時にコンプライアンスを証明する根拠となります。
実装:欧州銀行のためのリスクベースアプローチ
フェーズ1:現行アウトソーシング契約の評価
顧客データ、業務データ、従業員データを処理するすべてのクラウドサービスを棚卸しします。各サービスについて、プロバイダーの法域、暗号化モデル、鍵管理アーキテクチャ、サードパーティリスク分類を文書化します。DORAの情報登録要件と照合し、ギャップを特定します。
フェーズ2:暗号鍵エクスポージャーの評価
重要または重要性の高い機能を担うクラウドサービスごとに、「外国政府の強制でプロバイダーが復号データにアクセスできるか?」という鍵テストを適用します。その結果をEBAおよびDORA要件と照合します。特に機密性の高いデータ(顧客金融記録、規制当局とのやり取り、内部監査資料、越境取引データ)を扱うサービスを優先します。
フェーズ3:顧客管理型アーキテクチャの実装
重要なデータ交換プラットフォームを、銀行が独占的に暗号鍵を管理できるアーキテクチャへ移行します。通常は、鍵保管用の強化された仮想アプライアンスやオンプレミスHSMの導入、シングルテナント欧州展開、ジオフェンシングポリシーの設定が含まれます。プロバイダーがいかなる状況でも復号データにアクセスできないことを独立したテストで検証します。
フェーズ4:継続的コンプライアンス監視体制の構築
EBAパラグラフ100およびDORAのオペレーショナルレジリエンス要件に沿った継続的な監視を実装します。監督審査に備え、定期的なレビューと文書化された証拠を整備します。インシデント対応計画には、外国政府からのデータアクセス要求やプロバイダーのセキュリティ弱点に関するシナリオも含めます。
顧客管理型暗号化は規制準拠アウトソーシングの基盤
EBAアウトソーシングガイドライン、DORA、BaFinの監督要件は、「欧州の銀行はクラウドプロバイダーによって処理されるデータを効果的かつ検証可能に管理しなければならない」という一点に集約されます。プロバイダーが暗号鍵を保持し、外国政府アクセス法の適用下で運用されている場合、その管理はアーキテクチャ上の虚構です。顧客管理型暗号鍵は、銀行の明示的な関与なしに第三者が復号データにアクセスできないことを保証し、真の管理を取り戻します。
顧客管理型鍵、シングルテナント欧州展開、ポリシー強制型データレジデンシーを組み合わせて実装する銀行は、単なる規制対応にとどまらず、DORAが描くレジリエントな欧州金融システムのためのゼロトラストインフラを構築しているのです。
Kiteworksは顧客管理型暗号化で欧州銀行のEBAアウトソーシングガイドライン対応を支援
Kiteworksのプライベートデータネットワークは、欧州銀行がEBA、DORA、BaFinの要件を同時に満たすために必要なアーキテクチャ上のコントロールを提供します。Kiteworksは顧客管理型暗号化モデルを採用しており、銀行が自らHSMで暗号鍵を生成・保持します。Kiteworksは復号コンテンツにアクセスできず、鍵を保持しないため、外国政府から可読データの提出を求められても応じることができません。
Kiteworksは、オンプレミス、プライベートクラウド、強化された仮想アプライアンスなど、専用欧州インフラ上のシングルテナントインスタンスとして展開されます。プラットフォームレベルでデータレジデンシーを強制するジオフェンシングを内蔵。包括的な監査ログがすべてのファイルアクセス、ユーザー操作、管理変更を記録し、EBAパラグラフ100やDORAが求める継続的監視の証拠を提供します。Kiteworksは、すべての機密コンテンツチャネルにわたるICTリスク管理を統合的に実現することで、DORAコンプライアンスをサポートします。
本プラットフォームは、セキュアなファイル共有、メール保護、マネージドファイル転送、ウェブフォームを単一のガバナンスフレームワークで統合し、すべてのデータ交換チャネルに対するアウトソーシング要件を、1つのアーキテクチャ、1つの管理策、1つの監督証拠パッケージで対応できるようにします。
顧客管理型暗号鍵によるEBAアウトソーシングガイドライン対応の詳細については、ぜひカスタムデモをご予約ください。
よくあるご質問
EBAガイドラインはすべてのアウトソーシング契約に適用され、重要または重要性の高い機能には強化された要件が課されます。顧客の金融データを処理し、規制報告を支援し、コアバンキング業務を可能にするクラウドサービスは、通常「重要」に該当します。ガイドラインは、すべてのアウトソーシングサービスに対してリスク評価、契約管理、継続的な監視を含むベンダーリスク管理を要求しています。各クラウドサービスを分類し、重要機能にはデータ保存場所や暗号化基準など最も厳格な管理策を適用し、それ以外にもGDPRコンプライアンス要件に基づくセキュリティ義務や契約解除条項を含む書面契約が必要です。
DORAは年間売上高の最大10%の罰金を伴う直接的な暗号化義務を創設しました。従来のEBAガイドラインが暗号化をセキュリティ管理策として推奨していたのに対し、DORAは保存時・転送時・必要に応じて使用時のデータ暗号化をカバーする包括的なポリシーを義務付けています。また、DORAはすべてのICTサードパーティ契約を記録する情報登録簿を維持し、暗号化構成も文書化することを求めています。ESAsは2025年11月に主要クラウドプロバイダー19社を「重要」と指定し、直接監督下に置きました。銀行は単に暗号化の存在を示すだけでなく、プロバイダーが外国政府アクセス法の適用を受ける場合でも、鍵管理権限が自社にあることをデータガバナンスフレームワークで証明しなければなりません。
BYOKでは銀行が鍵を生成しても、プロバイダーのインフラにアップロードします。一方、顧客管理型暗号化では鍵が銀行のHSMから一切外部に出ません。この違いは規制コンプライアンス上極めて重要です。BYOKではクラウドプロバイダーが鍵素材にアクセスでき、CLOUD法やFISA 702の下で復号を強制される可能性があります。顧客管理型暗号鍵では、プロバイダーは暗号文しか処理できず、法的要求があっても可読データを提出できません。BaFinの監督通知は鍵管理をコアガバナンストピックと位置付けており、クラウドアウトソーシングのDPIAではどちらが復号権限を持つか明確に文書化すべきです。
銀行は暗号化アーキテクチャの文書、鍵管理ポリシー、移転影響評価(Transfer Impact Assessment)、継続的監視の証拠を維持する必要があります。BaFinは、クラウドガバナンスフレームワークの一部として暗号化と鍵管理をカバーする内部指針の整備をドイツの銀行に求めています。文書には鍵生成プロセス、HSM設置場所、鍵素材へのアクセス制御、クラウドプロバイダーが復号鍵にアクセスできない証拠などを含めるべきです。DORAの情報登録簿にもこれらの取り決めを記録し、米国本社プロバイダーを含むサービスの移転影響評価で顧客管理型鍵がリスクをどう軽減するかも記載すべきです。
はい。プロバイダーが復号データにアクセスできないようアーキテクチャ上のコントロールを実装すれば可能です。EBAガイドラインは第三国プロバイダーへのアウトソーシングを禁止していませんが、強化されたリスク評価と追加的な保護策を要求しています。鍵となるのは、プロバイダーが外国法の下で可読な顧客データを提出できるかどうかです。銀行が自社HSMによる独占的な鍵管理、専用欧州インフラでの展開、技術的コントロールによるデータレジデンシーを徹底すれば、外国アクセスリスクがアーキテクチャレベルで無効化されるため、EBA、DORA、GDPR要件を満たすことができます。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権の落とし穴に注意 - ブログ記事
データ主権のベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】