シンガポール金融庁（MAS）およびシンガポール銀行協会（ABS）

[アーティクル]
02/15/2024

MAS および ABS の概要

シンガポール金融庁（MAS）

シンガポールの唯一の銀行監督機関であるシンガポール通貨当局(MAS)は、テクノロジリスク管理ガイドラインを発行しました。 MAS はこのガイドラインで、シンガポールの金融機関 (銀行、保険会社、信託会社など) によるクラウドサービスのアウトソーシングに対する要望を設けました。これは、2014 年 10 月から始まった業界規模の協議の結果です。Microsoft もこれに参加しました。

MAS ガイドラインは、テクノロジ導入プロセスを大幅に合理化し、規制機関の要求を明確にし、それまで金融機関のクラウドソリューションの導入を遅らせた多数の誤解に対応します。

さらに、ガイドラインは、金融機関によるクラウドサービス (パブリッククラウドを含む) の使用をサポートする上で、その恩恵を受ける立場にあることを明言しています。彼らは、金融機関が重要な重要なアウトソーシングコミットメントの前にMASに通知するという期待を排除しました。代わりに、MAS の規制対象となる機関に対して、重要なアウトソーシングを評価する際のリスクベースのアプローチを見直し、すべてのアウトソーシング契約をこれらのガイドラインに照らして自己評価することを要求しています。 (現時点では、これらのガイドラインは法的拘束力はありませんが、MAS は将来、法的通知を発行することを示しています。

シンガポール銀行協会（ABS）

『MAS Guidelines on Outsourcing Risk Management』が発行されてまもなく、シンガポールでビジネスを行う地方銀行および外国の銀行 (他の金融機関は対象ではない) の利害を代表する非営利組織 ABS は、法的拘束力のない実務ガイド「クラウドコンピューティングの実装』を発表しました。これは、銀行が MAS ガイドラインに従ってアウトソーシングの取り決めを実施するのを支援するように設計されています。

Microsoft と MAS および ABS

シンガポール通貨局 (MAS) によるパブリッククラウドの使用を含むクラウドコンピューティングの承認とシンガポール銀行協会 (ABS) からのサポートにより、Microsoft は MAS アウトソーシングガイドラインと ABS ガイダンスへの Microsoft の対応とシンガポールの金融機関向けのコンプライアンスチェックリストを発表しました。金融会社が MAS ガイドラインに準拠していることを確信してデータとワークロードを Microsoft Cloud に移行し、新しいガイドラインに対するアウトソーシングの取り決めを自己評価する方法を一緒に示します。

『The Microsoft response to MAS guidelines and ABS guidance』は、金融機関がクラウドサービスに MAS ガイドラインおよび ABS ガイドを適用する際に生じる重要な問題の概要、それらの各問題に関する Microsoft の解釈と対応、MAS ガイドラインへの準拠を容易にするための Microsoft による支援の詳細について説明しています。 MAS のガイダンスと ABS のガイダンスに分けて説明しています。

『The Microsoft response to the MAS Guidelines』では、アウトソーシングのリスクを慎重に管理するための手法に関する MAS の推奨事項に重点が置かれています。ここでは、Microsoft には適切なポリシー、プロセス、ツールがあり、それがリスクの評価にどのように役立つかをポイントごとに説明します。また、ビジネスクラウドサービスの評価に役立つチェックリストも提供し、ガバナンスと内部統制のためのプロセスについても説明します。

『The Microsoft response to the ABS Guide』では、ABS ガイドラインのセクション 3 および 4 を中心に説明しています。

セクション 3 は、MAS ガイドラインのデューデリジェンス要件およびベンダー管理要件に関するもので、契約上の検討事項などの問題を詳細に取り上げています。 Microsoft は、Microsoft のベンダー管理ツールと、デューデリジェンス評価時に Microsoft が提供可能な支援について詳細な情報を提供しています。
セクション 4 では、暗号化から侵入、脆弱性管理まで、クラウドサービスプロバイダーが銀行と連携するときに必要な主要なベースライン制御のセットを推奨します。 Microsoft では、Microsoft の制御が、指定された各制御のセキュリティに関する懸念に対してどのように対処するかについて説明しています。

MAS ガイドラインに準拠してデータおよびワークロードを Microsoft Cloud に移行するための実用的なサポートを入手するには、次のドキュメントをご覧ください。

『Navigating your way to the cloud: Microsoft's response to MAS outsourcing guidelines and ABS guidance』をダウンロードする

シンガポールの金融機関向けのコンプライアンスチェックリスト

このドキュメントには、規制状況の概要 (シンガポールの関連要件の紹介) と、コンプライアンスチェックリストが含まれています。チェックリストでは、解決する必要がある規制問題をリストし、Microsoft クラウドサービスとこれらの問題の対応関係を定義しています。チェックリストポイントをポイントごとに確認して完了することで、金融機関はシンガポールの関連要件に準拠していることを確信して Microsoft クラウドサービスを採用できます。

クラウドでのリスク保証に対する包括的なアプローチを利用することで、シンガポールの金融機関は MAS ガイドラインと ABS ガイドと一致する方法で Microsoft Cloud に移行できる一方で、多くのオンプレミスソリューションよりも高度なセキュリティリスク管理プロファイルを提供できると確信しています。

シンガポールの金融機関向けのコンプライアンスチェックリストをダウンロードする

対象となる Microsoft のクラウドプラットフォームとサービス

Azure
Dynamics 365
Intune
Power BI クラウドサービス (スタンドアロンサービス、または Office 365 ブランドプランあるいはスイートに搭載されているサービス)
Office 365

よく寄せられる質問

規制当局の承認が必要ですか?

いいえ。事前の通知、相談、またはアウトソーシングの手配の承認の要件はありません。しかし、MASは、金融機関が準拠方法を示す準備ができていることを期待し、金融機関のアウトソーシングの取り決め(データ侵害インシデントなど)に起因する悪影響をできるだけ早く MAS に通知することを期待しています。

"重要な" アウトソーシングの取り決めとは何を意味し、その定義が重要である理由は何ですか?

サービスの失敗または違反が金融会社の事業運営に重大な影響を与える可能性がある場合、またはリスクを管理し、適用される法律や規制を遵守する能力を有する場合、アウトソーシングの取り決めは「重要」です。または、顧客情報が関与し、顧客情報に対する不正なアクセスや開示、損失、盗難が発生した場合、会社の顧客に重大な影響を与えます。 "顧客情報" の定義では、セキュリティで保護され、暗号化された情報は明示的に除外されることに注意してください。

MASアウトソーシングガイドラインの特定の規定は「マテリアルアウトソーシングの取り決め」にのみ適用されるため、この定義は重要です。これには、年次レビューを実行する義務、監査権に対処する必須の契約条項、シンガポール国外でのアウトソーシングが MAS 監督作業に影響を与えないことを保証する義務が含まれます。

シンガポール金融庁（MAS）およびシンガポール銀行協会（ABS）

MAS および ABS の概要