地域金融機関におけるシステム外部委託先管理に関するアンケート(2013年11月)調査結果
2014年3月31日
日本銀行金融機構局
要旨
日本銀行では、2013年11月に、地域銀行のシステム運用・開発業務に関する委託先(以下、委託先)の管理状況を把握するために、「委託先管理に関するアンケート」(以下、アンケート)を実施した。本稿は、アンケート結果の主要な部分を取り纏めるとともに、前回のアンケート調査(「金融機関におけるシステム外部委託の現状について(2008年8月)」。以下、前回)および2009年のアンケート調査(「金融機関におけるシステム共同化の現状と課題(2009年6月)」。以下、09年)からの変化等、若干の考察を行ったものである。
アンケートの概要
調査対象金融機関:106行。うち、地方銀行64、第二地方銀行等42。
アンケート回答期間:2013年10月〜11月。
基幹勘定系システムの運用・開発にかかる委託先の管理状況等について調査。
今回のアンケート調査結果をみると、地域銀行(以下、銀行)では、勘定系システムの共同化が進展し(1.(1))、システム運用・開発業務の委託先依存度が高まっている中(1.(3))、多くの先で委託先管理に関する取り組みを強化していることが確認された(2.)。もっとも、以下の点については、改善の余地が認められた。今後は、今回のアンケート結果も活用しつつ、経営陣の関与のもとで、勘定系システムの安定稼働や情報セキュリティ確保の観点から、各金融機関における委託先管理体制の現状と課題を適切に評価し、必要な改善を図っていくことや実効性向上に取り組むことが期待される。
委託先の管理手段
委託先の管理手段として「サービス仕様書」や「SLA」がある割合は、前回より増加している(2.(1))ほか、「定期報告(書面)受領や定例打ち合わせ」や「委託先への立入監査」、「委託先が実施した監査の結果の入手」についても、実施する割合が前回より増加している(2.(2))。もっとも、SLAの管理項目をみると、「バッチ処理時間」、「サービス提供時間帯」、「障害発生件数」を規定していない先が約1割ある(2.(1))。これらの項目は、システムの安定稼働のために重要であるため、委託先との間で内容を十分に共有するとともに、業務や環境の変化に応じて定期的に見直すことが重要である。
開発プロジェクト管理面では、銀行が主体的に要件定義を行うことが重要であるが、委託先が主担当としている割合が、前回とほぼ変わらず約1割ある(1.(3))。また、テスト工程等における「品質・性能評価」についての、委託先から銀行への報告は、「書面の受領のみ」または「報告なし」とする先が約1割〜約2割あるが(2.(4))、委託先と打ち合わせを開催するといった緊密な連携のもとで、銀行がその内容を十分に確認し、適切に開発作業を進めていくことが重要である。
障害管理面では、システム障害等トラブル発生時の委託先との役割分担について、「障害復旧にかかる作業内容の決定・指示・命令」、「再発防止策の承認・指示・命令」を「委託先が主で担当し、自行職員が協力する」または「委託先に全面委託」しているとする割合が約2割〜約3割ある(2.(5))。障害発生時には、銀行が、業務への影響等を見極めながら、「障害復旧にかかる作業内容の決定・指示・命令」、「再発防止策の承認・指示・命令」を主体的に実施することが重要である。また、障害の未然防止に向けた「システム性能・容量のモニタリング」について、委託先との役割分担をみると、「稼働開始後は、委託先のモニタリングに委ねている」とする割合が約1割あるが(2.(5))、日々のシステム性能・容量の監視等を委託先に委ねる場合でも、業務内容や外部環境の変化に対し、十分なシステム性能・容量が確保されているか、銀行として評価し、遅滞なく必要なシステム対応を図っていくことが重要である。
再委託先管理
「再委託を認めるか」については、運用・開発とも、再委託を認める割合が約9割まで上昇し、「不明・定めなし」とする割合が皆無となった(3.)。また、運用・開発とも、再委託を認める先のうち、「事前承認を要する」、「再々委託に制限がある」とする割合が増加している(3.)。一方、運用・開発とも、「事前承認を要していない」、「再々委託に制限がない」とする割合がそれぞれ約4割となっている(3.)。再委託については、情報セキュリティなど、再委託によって生じるリスクを適切に洗い出したうえで、銀行として再委託の適否や再委託を認める場合の必要な対応を検討することが重要である。
情報セキュリティ管理
委託先の業務に関する情報セキュリティ管理についてみると、「委託先の情報セキュリティ関連ルールを自行が確認」している先が85%となっている(4.(1))。「情報セキュリティ遵守状況に関する委託先からの定期報告」については、運用・開発ともに、約2割の先が、「書面の受領のみ」または「報告なし」としているが(2.(3))、委託業務の内容や取り扱う情報に応じて、銀行として、委託先による情報セキュリティ管理の十分性を確認し、必要な対策を講じることが重要である。
具体的な牽制・管理手段をみると、約8割以上の先が「IDカード等によるシステム的な入退室管理」や「監視カメラの設置」といった物理的な牽制・管理等を実施している一方で、「システムの特権IDは自行職員が管理する」等のセキュリティ管理作業における牽制を実施している先は、3割未満となっている(4.(2))。セキュリティ管理作業を委託先に委ねる場合でも、銀行による定期的な監査の実施等により、適切な牽制が機能する仕組みを構築することが重要である。
「再委託先の情報セキュリティ関連ルールを確認」している先は15%となっているが(4.(1))、銀行は、必要に応じて、委託先による再委託先の管理状況を確認することも重要である。
委託先管理における経営陣の関与状況
委託先の選定や、委託先の定期的な評価に経営陣が関与するケースは約8割〜約9割と高い(5.(1)、(2))。もっとも、委託先の評価や委託先との会合に経営陣が関与していない先が約2割〜約3割あるが(5.(2)〜(4))、委託している業務の重要度も踏まえて、経営陣が委託業務の状況を確認し、また、自ら委託先へ必要な働き掛けを行っていくことが重要である。
委託先管理面での課題と施策
近年の自行システム要員のスキル変化をみると、共同化先では、ほぼ全ての先で「委託先管理スキル」が「向上」または「不変」としており、09年よりも増加している一方、「システム設計スキル」や「システム資源・性能管理スキル」といった個別のスキルでは、「低下」または「担当外」とする先が約4割〜約6割あり、09年よりも増加している(6.(1))。システム開発やシステム運用に必要なスキルの低下を認識している先が増えており、銀行による十分な関与を確保するためのスキルの蓄積・維持・向上が重要である。
委託先管理面での課題についてみると、共同化先では、運用・開発ともに「委託先を管理する自行人材の不足」を挙げる先が、前回同様、約5割〜約6割と最も多い(6.(2))。自営先、共同化先の比較でみると、運用・開発ともにほぼ全項目で自営先よりも共同化先の方が課題があるとする割合が高い(6.(2))。
委託先管理向上のために実施している施策をみると、「システム要員に対する育成プログラムの実施」(自営先・共同化先)、「自行独自システムの開発・運用によるスキルの維持」(自営先)、「自行から委託先への出向」(共同化先)が6割以上と高い(6.(3))。
管理体制の評価・見直しの枠組みの有無をみると、75%の先で枠組みを有しており、そのうち約8割の先で年1回以上見直しが行われている(6.(4))。委託先管理を実施する上での自行の課題については、組織的に共有・評価し、必要な見直しを計画的に進めていくことが重要である。
次期システムに向けた体制整備状況
現行システムの更改時期について、現状想定していない先は、09年より減少しているものの、約4割ある(8.(1))。現行システムの更改時期を想定している先のうち、約8割の先では、システム更改に着手する際には「自行のシステム部門の体制強化が必要」としている(8.(2))。次期システムへの更改時期を見据えて、自行のシステム要員のスキルレベル等の現状を把握し、計画的に体制の強化を図っていくことが重要である。
日本銀行から
本稿の内容について、商用目的で転載・複製を行う場合は、予め日本銀行金融機構局までご相談ください。
転載・複製を行う場合は、出所を明記してください。
照会先
金融機構局考査企画課システム・業務継続グループ
星 仁志、下條 岳昭
E-mail : csrbcm@boj.or.jp