ポーランド金融監督庁 (KNF)

KNF について

ポーランド金融監督庁(Kmisja Nadzoru Finansowego、KNF）は、ポーランドの金融規制当局であり、銀行、資本市場、保険、年金制度、電子マネー機関の監督を含む金融市場の監督を担当しています。

KNFは 、欧州銀行当局 (EBA)と協調して行動し、「独立したEU機関であり、ヨーロッパの銀行部門全体で効果的かつ一貫した慎重な規制と監督を確保するために働く」。 そのため、EBA は、EU 圏内の金融機関によるクラウド コンピューティングの使用に対する包括的なアプローチ、クラウド サービス プロバイダーへのアウトソーシングに関する推奨事項の概要を示しています。

ポーランドの金融機関には、次のようなビジネス機能やデータをクラウドに移行するときに通知する必要があるいくつかの要件およびガイドラインがあります。

• 1997年の銀行法は、クラウド サービスを直接規制するのではなく、個人情報の処理方法を含む銀行業務をアウトソーシングするための法的要件を定めています。 クラウド サービスは、外部委託されたサービスが銀行にとって重要である場合、またはアウトソーシングが銀行の機密要件の対象となる機密データへのアクセスをサービス プロバイダーに提供する場合、銀行法の規定の対象となります。
• 2017 年に KNF Office によって発行された、このアナウンスメントでは、ビジネス機能をクラウドに移行しようとする規制機関向けの詳細なチェックリストとアクションプランを提供しています。
• 推奨事項 D: 銀行の情報技術および ICT 環境セキュリティの管理では、銀行による慎重な IT セキュリティ管理に対する KNF の期待、特にリスクの管理方法について定義しています。 KNF は、最高のセキュリティ慣行について 22 の勧告を行い、保険会社、投資会社、および 一般年金企業向けのガイドラインを発行しています。

さらに、金融機関は、個人データの処理の基本である 1997 年のポーランドの個人データ保護法に準拠して、クラウド サービスを使用する必要があります。 GDPR に合わせて、2018 年後半にビジネス アクティビティのパフォーマンスの円滑化に関する法律によって改正され、2019 年 1 月 1 日に施行されました。

Microsoft と KNF

ビジネス機能をクラウドにアウトソーシングすることを検討しているポーランドの金融機関の決定を支援するために、Microsoft では、「クラウド導入への手引き: ポーランドの金融機関向けコンプライアンスのチェックリスト」を発行しました。 チェックリストを確認して完了することで、金融機関は、適用される規制要件に準拠していることを確信して、Microsoft ビジネス クラウド サービスを採用できます。

ポーランドの金融機関が事業活動をクラウドにアウトソーシングする場合、欧州銀行当局の広範な政策の枠組みに含まれている、1997 年に施行された銀行法およびクラウドでのデータ処理サービスの使用に関する 2017 年の KNF アナウンスメントの要件を満たす必要があります。 さらに、クラウド サービスを使用する金融企業は、GDPR に合わせて更新された 1997 年の個人データ保護法の GDPR に準拠した 2018 年の改正に準拠する必要があります。

Microsoft チェックリストでは、ポーランドの金融機関による Microsoft 法人向けクラウド サービスのデューデリジェンス評価および以下の実施を支援します。

• 条件に応じた規制状況の概要。
• チェックリストでは、対処すべき問題を定め、それらの規制義務を背景にして Microsoft Azure、Microsoft Dynamics 365、および Microsoft 365 サービスを対応づけています。 チェックリストは、規制の枠組みを背景にしてコンプライアンスを測定したり、コンプライアンスを文書化するための内部構造を提供したり、顧客が Microsoft 法人向けクラウド サービスに対する独自のリスク評価を実施したりするのを支援するツールとして使用されます。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure
• Dynamics 365
• Microsoft 365

実装方法

• コンプライアンス チェックリスト: ポーランド: 金融機関は、Microsoft 法人向けクラウド サービスのリスク評価を実施するヘルプを取得できます。
• 金融ユース ケース: 金融サービス向けの Azure ソリューションを構築するためのユース ケースの概要、チュートリアル、およびその他のリソース。
• Microsoft クラウドのプライバシー: Microsoft のプライバシーの原則と基準、およびポーランドに特化したプライバシー法に関する詳細を入手します。

よく寄せられる質問

規制当局の承認が必要ですか?

いいえ。 ただし、1997 年の銀行法に基づき、サービス プロバイダーが欧州経済地域 (EEA) 外に拠点を置く場合、または外部委託業務を EEA の外部で実施する場合、銀行は契約を締結する前に KNF の承認を取得する必要があります。

クラウド サービス プロバイダーについて、契約に含める必要がある必須条項はありますか?

はい。 Microsoft チェックリスト (ページ 77) には、クラウド サービス プロバイダーとの契約に含める必要がある要件の包括的な一覧が含まれています。

リソース

• Microsoft 金融サービス コンプライアンス プログラム
• Microsoft 法人向けクラウド サービスおよび金融サービス
• Azure における金融サービス コンプライアンス
• Microsoft Trust Center のコンプライアンス