Financial Authority (AMF) および Prudential Authority (ACPR) フランス
AMF および ACPR について
Financial Authority (Autorité des Marchés Financiers, AMF) および Prudential Authority (Autorité de Contrôle Prudentiel et de Résolution, ACPR) はフランスの主要な金融機関です。 株式市場機関という立場から、AMF には金融市場と投資会社を監督する機能があります。 ACPR は、中央銀行の独立した管理機関であり、Banque de France が銀行部門および保険部門を監督しています。
AMF と ACPR は、欧州銀行機関 (EBA) と協力して行動します。これは、ヨーロッパの銀行部門全体で効果的かつ一貫した慎重な規制と監督を確保するために機能する独立した EU 機関です。 そのため、EBA は、EU 圏内の金融機関によるクラウド コンピューティングの使用に対する包括的なアプローチ、「クラウド サービス プロバイダーへのアウトソーシングに関する推奨事項」の概要を示しています。
フランスの金融機関には、運用機能をクラウドに移行するときに認識する必要があるいくつかの要件およびガイドラインがあります。
- AMF の一般規制 (フランス語 および 英語) には、金融の法制を強化するための規定と手順が定められています。 特に、記事 313-75 では、金融機関がクラウド サービス プロバイダーと結ぶ契約に反映される必要がある条件を設定しています。
- ACPR は、「クラウド コンピューティングに関連するリスクについて (フランス語 および 英語)」で公開し、ACPR の監視下にある組織がビジネス機能をクラウドにアウトソースするときに、リスクを管理するための適切な処置を取るよう奨励しています。 さらに、ACPR 監視下の「会社の内部統制に関する 2014 年 11 月 3 日の ACPR Order の記事 239 (フランス語)」でも、クラウド サービス プロバイダーとの契約に含める必須条項を指定しています。
- 特定の状況では、規制下にある機関は重要なアウトソーシング契約について、特に、業務に大きな影響を与える可能性がある場合には AMF および ACPR に通知する必要があります。
- フランスのデータ保護機関の役割において、「CNIL (Commission Nationale de l'Informatique et des Libertés) は、クラウド コンピューティング サービスの利用を計画する会社のための推奨事項を含む、多くのクラウド コンピューティング ガイドライン (フランス語および英語)」を発行しました。
Microsoft と AMF および ACPR
ビジネス機能をクラウドにアウトソーシングすることを検討しているフランスの金融機関を支援するために、Microsoft では、「クラウド導入への手引き: フランスの金融機関向けチェックリスト」を発行しました。 チェックリストを確認して完了することで、金融機関は、適用される規制要件に準拠していることを確信して、Microsoft ビジネス クラウド サービスを採用できます。
フランスの金融機関がビジネス活動をクラウドにアウトソーシングするときは、欧州銀行監督局 (EBA) の幅広いポリシー フレームワーク内でフランスの Financial Authority (AMF) および Prudential Authority (ACPR) の要件を満たす必要があります。 特に、AMF の一般規制の記事 313-75、クラウド コンピューティングのリスクに関する ACPR ガイドラインおよびクラウド サービス プロバイダーとの契約の必須要件について認識している必要があります。
Microsoft チェックリストでは、フランスの金融機関による Microsoft 法人向けクラウド サービスのデューデリジェンス評価および以下の実施を支援します。
- 条件に応じた規制状況の概要。
- チェックリストでは、対処すべき問題を定め、それらの規制義務を背景にして Microsoft Azure、Microsoft Dynamics 365、および Microsoft 365 サービスを対応づけています。 チェックリストは、規制の枠組みを背景にしてコンプライアンスを測定したり、コンプライアンスを文書化するための内部構造を提供したり、顧客が Microsoft 法人向けクラウド サービスに対する独自のリスク評価を実施したりするのを支援するツールとして使用されます。
対象となる Microsoft のクラウド プラットフォームとサービス
実装方法
- コンプライアンス チェックリスト: フランス: 金融機関は、Microsoft 法人向けクラウド サービスのリスク評価を実施するヘルプを使用できます。
- 金融ユース ケース: 金融サービス向けの Azure ソリューションを構築するためのユース ケースの概要、チュートリアル、およびその他のリソース。
よく寄せられる質問
規制当局の承認が必要ですか?
EBA の出版物[クラウド サービス プロバイダーへのアウトソーシングに関する推奨事項](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362)は、EU の金融機関による材料アウトソーシングに対する包括的なアプローチを概説しています。 また、特定の状況では、金融会社は チェックリスト の 8 ページ目と 9 ページ目に記載されているように、アウトソーシング契約について AMF または ACPR に通知する必要があります。 このような状況が Microsoft クラウド サービスの使用に適用される可能性は低いですが、金融サービスではチェックリストを確認して、その適用性を確認する必要があります。
クラウド サービス プロバイダーについて、契約に含める必要がある必須条項はありますか?
はい。 「2014 年 11 月 3 日の ACPR Order」の記事 239 および「AMF の一般規制」の記事 313-75 では、金融機関がクラウド サービス プロバイダーと結ぶ契約に反映される必要がある条件を設定しています。 Microsoft チェックリスト のパート 2 (62 ページ) は、これらの項目を、対処先の Microsoft 契約ドキュメントのセクションと照合します。