「テクノロジーバンク」が挑むリスク管理の新しいかたち ──GMOあおぞらネット銀行のLens RM活用
お話を伺った方々
GMOあおぞらネット銀行株式会社 IT統括グループ 副グループ長 兼 ITサービス・マネジメントチーム長 兼 システム品質管理チーム 荻原 丈裕さん
GMOあおぞらネット銀行株式会社 IT統括グループ システムリスクチーム長 関根 かほるさん
GMOあおぞらネット銀行株式会社 IT統括グループ ITサービス・マネジメントチーム 植村 麗美さん
あおぞら銀行とGMOインターネットグループの共同出資により、2018年に誕生したGMOあおぞらネット銀行。銀行として求められる役割はもちろん、「テクノロジーバンク」として、BaaS(Banking as a Service)をはじめとする、これまでの銀行の枠組みにとらわれない新しい取り組みを次々と展開しています。
特筆すべきは、多くの銀行がシステム開発を外部委託しているなか、GMOあおぞらネット銀行では行内にエンジニアを多数擁し、開発を内製化していることです。しかし、こうした取り組みのなかで、次のようなIT統制上の、課題も顕在化してきました。
- 新たな取り組みのためのSaaSやクラウドサービスの導入申請が増え、リソースが逼迫
- 経営陣とのIT統制にかかるリスク議論の機会を戦略的に増やした反面、業務量が増大
- IT・システム面での第2線人材の採用におけるハードル
これらの課題を解決するため、GMOあおぞらネット銀行では委託先・サードパーティ管理サービス「Lens RM」の導入を決めました。この記事では、同社のIT統括グループの荻原丈裕さんと関根かほるさん、植村麗美さんにお話を伺いました。
「テクノロジーバンク」として、あえて他の銀行がやらないことに挑むスタンス
歴史ある2社のジョイントベンチャーとして誕生したGMOあおぞらネット銀行ですが、同社は「すべてはお客さまのために。テクノロジーバンクを目指して」というVisionを事業開始から一環して掲げています。これは、お客さまの利便性向上をテクノロジーで解決するという明確なスタンスを表すものです。
荻原さん:GMOあおぞらネット銀行は事業開始から8年目の銀行ですが、スタートアップをはじめとする多くのお客さまにご利用いただいています。ですが、後発の我々が同業他社さんと同じことをしていてはビジネスパートナーとして選んでもらえません。そこでGMOあおぞらネット銀行は、彼らを後追いするのではなく、「IT企業が銀行サービスを提供するという姿勢」で革新的なサービスを提供してきました。例えば、法人向けサービスである「BaaS byGMOあおぞら」は、うれしいことに多くのお客さまに利用いただいています。
また、一般的な銀行では、システム開発の多くを外部ベンダーに委託することが通例です。GMOあおぞらネット銀行では、この常識を覆し、エンジニアを自社で多数擁し、スピーディかつ柔軟にお客さまに選ばれるサービスの企画・開発に努めています。
荻原さん:システム開発とは、サービスの根幹を支える大事なポイントです。お客さま情報を多く取り扱う部分もあるからこそ、基本的には我々がすべて対応できる体制にしました。これによって、従来型の銀行では委託先が1,000社を超えることもめずらしくありませんでしたが、GMOあおぞらネット銀行では数十社程度に抑えることができています。
「従来の銀行と同じじゃない」からこそ、浮かび上がってきた課題
「社内にシステム開発体制を持っているからといって、リスク管理の負荷が軽くなるわけではありません」と荻原さん。革新的な銀行として、新たな挑戦を続けるがゆえの課題を抱えていました。
GMOあおぞらネット銀行では、システム開発の側面において、テクノロジーエンジニアリンググループを第1線、IT統括グループを第2線として位置づけています。荻原さんたちが所属するIT統括グループの役割は「それは本当に大丈夫なのか」を見極めることでした。お客さまの大事な資産を取り扱う銀行だからこそ、堅牢性が高いリスク管理を行う必要があります。しかしながら、従来の銀行と同じルールを適用すると、新しい挑戦・取り組みのほとんどを却下せざるを得なくなります。そのため、GMOあおぞらネット銀行では、従来のルールに即座に当てはめるのではなく、経営陣と議論しながらリスクを見極めています。
荻原さん:「これはリスクです」と言うだけでは、誰も建設的な議論ができません。我々IT統括グループでは、データや実例をもとに事実を整理し、具体的なケースを示したうえで「リスクがゼロではないが、リスク受容可能かを見極めた上で、実施判断をしたほうがいい」などの提案につなげています。そうして経営陣と日々議論しています。
これらの業務を行うには、人員が必要です。しかし、IT統括グループに所属する社員数は30名弱。前提としてシステム開発の第2線の人材確保は難易度が高く、経験者にリーチしてもGMOあおぞらネット銀行の企業文化に合わないケースもありました。
荻原さん:「以前の銀行ではこうしていました」という経験をそのまま持ってこられてしまう方は、柔軟性が求められる当社とは残念ながらご縁がないケースがあります。先ほどお話ししたとおり、我々はリスクに対して画一的なルールで向き合うだけではなく、その都度網羅的に議論を重ね、リスク判断を下していくのですが、そのやり方自体があわないとおっしゃる方もいました。
それに加えて、システム開発を行うテクノロジーエンジニアリンググループなどから新たなSaaSやクラウドサービスの導入申請が増え続けているという課題もありました。
関根さん:導入申請は、現在は月に約20件あります。ですが、管理しているのは実質2.5人程度。ほかの業務もあるため、クラウドリスク評価だけにかけられる時間としては、1ヶ月あたり0.5人/月もかけられないくらいです。申請している社員たちは「これを入れたら業務が効率化できる」という期待を持っているため、すぐに返したい気持ちは山々なのですが、銀行というお客さまの大切な資産をお預かりする銀行として、ここで手を抜くわけにはいきません。
Lens RMに最も期待しているのは、リスク管理の観点を身につけられる「学びの仕組み」づくり
これまで、GMOあおぞらネット銀行での外部委託先管理は、Excelでチェックシートを作成し、メールで送付して回答してもらい、手作業で確認するという運用でした。回答内容に不明点があれば追加で質問を送るなどして、やりとりを重ねていたと植村さんは振り返ります。
植村さん:私は昨年からIT統括グループに入りました。外部委託先管理は初めてだったので、まずは、これまでどのように作業をしてきたのかを整理するところから始めましたが、その量はとても膨大で。通常業務としてのリソース逼迫だけでなく、今後新しく入ってくる人たちへの申し送りが困難になることはあまりよくないと感じていました。
Lens RMの導入によって単純作業から脱却し、経営陣との議論などに集中できる環境づくりに期待を寄せてくださっています。
GMOあおぞらネット銀行がLens RMに期待するのは、単なる業務効率化だけではありません。荻原さんは「第1線がシステム開発やIT統制におけるリスク管理観点を自然と身につけられる『学びの仕組み』にも活用したい」と話します。
荻原さん:eラーニングはとても有用なものですが、なかには短時間で早く答えに辿り着こうと簡単に済ませてしまう人もいます(笑)。そうではなく、ヒントを得られたり、学びにつながったりする仕組みが理想的だと考えています。Lens RMのAIレビュー機能は、実際の委託先やサードパーティ管理を実施する実務のなかで、どのようなものがリスクなのかを第1線にも気付きを与えられる機能だと考えています。
「スタートアップとの取引が多い当社ならではの活用方法も見据えています」と荻原さん。取引先のなかには海外のスタートアップもあったり、技術は素晴らしいがセキュリティ体制がまだ整っていないフェーズの会社もあったりと、状況は様々です。それらをチェックする体制を作るためにLens RMを効果的に活用したいと話します。
荻原さん:利用したいサービスの運営元が初期フェーズのスタートアップだったり、海外のスタートアップだったりすると、セキュリティ体制そのものが整っていないこともよくあります。そうすると、我々の力だけでチェックを行うのは至難の業です。そこで「仮採用」「本採用」という段階に分けて整理することにしました。大まかに見て問題がなければ「仮採用」とし、その後、使い方を見ながらセキュリティ要件を確認して本格的に導入となったら「本採用」となる流れです。その過程を、Lens RMで効率化していきたいと考えています。
先回りのアクションで「宿題化」を防ぎ、スピードと堅実さを両立させていく
GMOあおぞらネット銀行は、規制対応においても「先回り」という独自の姿勢を貫いています。昨今ではランサムウェアによる攻撃や、委託先やサードパーティに起因するインシデントが相次いでいます。それらに対応するための新しい規制やガイドラインを策定されることも想定される中で、同社ではその内容が固まる前にリスク認識をし、実際にアクションを起こしています。
荻原さん:インシデントに関するニュースを見たら、当社でも同じことが起きる可能性はないのかをすぐに確認し、社内に向けて先回りして説明や、当社の場合に想定されることなどを回答するようにしています。一般的には、規制やガイドラインの内容が固まってから対応する方が自然かもしれません。でも、それでは「宿題化」となってしまい、変化の激しい金融業界の流れや監督官庁の最新の考えに追いつけなくなってしまいます。あえて先回りをして「我々はこうやっています」と説明できるようにしておくことで、スタートアップとしてのスピード感と、金融機関としての堅実さの両立を図っているのです。
そして、荻原さんは今後についてこのように話します。
荻原さん:「テクノロジーバンク」として常に新しいことに挑戦しながら、リスクを見える化し、経営と共有することで、規制の先を行く。GMOあおぞらネット銀行としてはスタートアップとしての勢いやスピードを引き続き強めていくためにも、独自のリスク管理体制をさらに進化させていきたいと思っています。