DORAのICTベンダー義務
EUデジタル運用レジリエンス法(DORA)は、2025年1月に施行され、金融機関—銀行、保険会社、投資会社、決済サービスプロバイダー—に対して厳格なICTサードパーティリスク管理プログラムを実施することを要求します。主な要件:
必須契約条項(第30条): DORAは、ICTサードパーティサービスプロバイダーとの契約に対して必須の条項を指定しており、完全なアクセス、検査、監査権、インシデント通知のタイムライン、出口戦略、パフォーマンス基準に関する条項が含まれます。
年次評価(第28条): 金融機関は、すべての重要なICTサードパーティサービスプロバイダーに対して少なくとも年に1回デューデリジェンスを実施する必要があります。「重要な」は広く定義されており、業務に重大な影響を与える可能性のあるICTプロバイダー、特にコンプライアンスワークフローで使用される匿名化ツールを含みます。
ICTサードパーティレジスター(第28条第3項): 金融機関は、すべての重要なICTサードパーティ契約のレジスターを維持し、更新する必要があります。
数十のICTベンダーの年次再評価を管理することは運用コストが高いです。非構造的なカスタム評価の一般的な見積もりは:ベンダーごとに年間40〜80時間です。50の重要なICTベンダーを持つオランダの銀行の場合、年次評価はコンプライアンスチームの時間で2,000〜4,000時間を占めます—これは、ベンダー評価に専念する1〜2人のフルタイムスタッフに相当します。
ISO 27001年次評価のショートカット
DORAコンプライアンスにおけるISO 27001認証の価値は、その年次監視構造にあります。認証機関は年次監視監査を実施し、3年ごとに再認証監査を行います。監視監査が継続的なコンプライアンスを確認する限り、認証は有効です。証明書自体には有効期限があります。
DORAの年次評価要件に対して、金融機関はベンダーの現在のISO 27001証明書を毎年取得し、その有効性を確認することで「デューデリジェンスを実施した」基準を満たすことができます。この証明書は、独立した監査機関が過去1年以内にベンダーの93のセキュリティコントロールを評価したことを示しています。この証拠はICTサードパーティレジスターに文書化されています。
DORAの対象となるオランダの銀行は、証明書の有効性を確認することでISO 27001認証を受けた匿名化ベンダーを評価できます—数週間ではなく数時間で。銀行は、ベンダーごとに年間60時間の評価時間を節約します。レジスター内の20のISO 27001認証ベンダー全体で、年間の節約は1,200時間に相当し、重要なコンプライアンスリソースを再配分するのに十分です。
DORAのプライバシーツールへの関連性
プライバシーおよび匿名化ツールは、クライアントデータを処理し、GDPRに準拠し、規制提出書類を準備し、KYC文書を扱うために使用する金融機関のICTプロバイダーの範囲に含まれます。クライアントデータを処理する匿名化ツールは、その中断が機関がGDPRのデータ最小化要件に準拠したり、GDPR準拠の規制提出書類を作成したりすることを妨げる場合、重要なICTプロバイダーとなります。
出典: