オーストラリアプルデンシャル規制当局 (APRA)

  • [アーティクル]

APRA の概要

オーストラリアプルデンシャル規制当局(APRA)は、オーストラリアの銀行、信用組合、保険会社、その他の金融機関を監督しています。 APRA は、クラウド コンピューティングに対する勢いを認識し、規制対象のエンティティに対して、効果的なガバナンス、徹底的なリスク評価、定期的な保証プロセスを備えた思慮深いクラウド導入戦略を実装するよう求めていました。 規制機関は、金融機関の事業運営に大きな影響を与えたり、リスクを効果的に管理する能力に大きな影響を与える可能性のある活動である重要な事業活動をアウトソーシングする場合は、APRA Prudential Standard CPS 231 アウトソーシング に準拠する必要があります。 APRA に提出されたクラウド コンピューティング サービスに関するアウトソーシングの取り決めのレビューに基づいて、APRA は、規制対象のエンティティがクラウド プロバイダーとサービスをより効果的に評価し、クラウドへのアウトソーシングの規制上の問題を導くのを支援するために、クラウド コンピューティング サービスに関 する具体的で詳細なガイダンスを情報ペーパーに公開しました。 クラウド サービスを含むアウトソーシングを行う場合、規制を受けた機関は、APRA Prudential Standard CPS 234 Information Security に対する継続的なコンプライアンスを確認し、検討する必要があります。

Microsoft と APRA

クラウド プロバイダーとそのサービスを評価しているオーストラリアの金融機関の場合、Microsoft は以下を公開しています。

金融会社がオーストラリアのプルデンシャル規制機関 (APRA) の規制とガイダンスに準拠していることを確信して、データとワークロードを Microsoft Azure に移行する方法を一緒に示します。

Azure での APRA 準拠の金融サービスの利点については、「 Regtech meets Fintech: Perpetual and Microsoft transform the finance sector(Fintech: 永続的および Microsoft による金融セクターの変革)」 の記事を参照してください。

クラウド上の APRA Information Paper に対する Microsoft の応答

この Microsoft ペーパーでは、 クラウド コンピューティング サービスに関する APRA Information Paper アウトソーシングで発生した各問題に対する詳細な対応を、金融サービスに関する詳細なガイダンスを提供します。 APRA ガイドラインでは、クラウドの使用状況が通常低下するリスク カテゴリ (低、高、極端な固有のリスク) を 3 つ特定し、規制対象のエンティティがリスク評価の一部として考慮する必要がある重要な問題を強調しています。

Microsoft の対応では、リスクが最も高い 2 つのカテゴリに焦点を当てています。 クラウド サービスはどのリスク カテゴリでも禁止されていませんが、APRA では、相応に高いレベルの勤勉性を引き受け、リスク カテゴリを上げるにつれて、APRA の調査のレベルが高くなることを期待しています。 APRA には、通常、クラウド アウトソーシングに対する高いリスクまたは極端な固有のリスクを示すさまざまな要因が一覧表示されます。 Microsoft では、これらの各要因に詳しく取り組み、データとワークロードを Azure に移動するリスクを評価および管理するのに役立つ情報とツールを提供します。

また、Microsoft は、戦略、ガバナンス、ソリューションの選択プロセス、APRA アクセスと行動能力、移行アプローチ、リスク評価とセキュリティ、継続的な監督、ビジネスの中断、監査と保証などの各 APRA リスク管理の考慮事項にも取り組んでいます。 ポイントバイポイントでは、Azure のデプロイ時に各問題に対応するのに役立つアドバイスとツールを提供しています。

APRA 規制に準拠してデータとワークロードを Azure に移行するための実用的なサポートを受ける: クラウド 上の APRA Information Paper に対する Microsoft の応答をダウンロードします。

情報セキュリティに関する APRA CPS 234 に対する Microsoft の対応

APRA Prudential Standard CPS 234 Information Security では、規制を受けた機関が以下を行う必要があります。

  • 情報セキュリティ関連の役割と責任を明確に定義する。
  • 情報資産に対する脅威の規模と範囲に見合った情報セキュリティ機能を維持する。
  • 情報資産を保護するためのコントロールを実装し、コントロールの有効性の定期的なテストと保証を行います。そして
  • 重要な情報セキュリティ インシデントを迅速に APRA に通知します。

CPS 234 は、Microsoft のコア セキュリティ フレームワーク (保護、検出、応答) を密接に反映しています。

Microsoft クラウド サービス: APRA Prudential Standard CPS 234 Information Security に準拠 すると、関連する CPS 234 規制義務のそれぞれが設定され、それに対して Microsoft クラウド サービスの制御、機能、機能、契約コミットメント、およびサポート情報がマップされ、APRA 規制対象のエンティティが CPS 234 の規制義務に準拠するのに役立ちます。

この Microsoft チェックリストでは、金融会社がクラウドに移行するときに対処する必要がある APRA 規制要件について説明します。 Azure は、Prudential Standard CPS 231 アウトソーシングだけでなく、ビジネス継続性やリスク管理など、その他の関連する APRA 標準に対してマップされます。 このチェックリストを完了すると、金融サービス機関は、関連する APRA 要件を満たしているという確信を持って Azure を採用するのに役立ちます。

クラウドでのリスク保証に対する包括的なアプローチに依存することで、オーストラリアの金融サービス組織は、APRA ガイダンスと一致するだけでなく、オンプレミスやその他のホストされているソリューションよりも高度なセキュリティ リスク管理プロファイルを顧客に提供できる方法で Microsoft クラウド サービスに移行できると確信しています。

APRA 規制に準拠してデータとワークロードを Azure に移行するための実用的なサポートを受ける: Microsoft クラウド サービスのダウンロード: オーストラリアの金融機関向けのコンプライアンス チェックリスト

対象となる Microsoft のクラウド プラットフォームとサービス

Office 365と APRA

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Exchange Online Protection、Exchange Online、Office 365 Customer Portal、Office Online、Office Services Infrastructure、OneDrive for Business、SharePoint Online、Skype for Business

よく寄せられる質問

金融機関は、マテリアルビジネス活動をアウトソーシングする前にAPRAの承認が必要ですか?

いいえ。 ただし、規制対象のほとんどの金融機関は、オーストラリア内で重要な事業活動をアウトソーシングする契約を締結した後に APRA に通知するか、オーストラリア国外でそれらの活動をアウトソーシングする前に APRA と相談する必要があります。

さらに、クラウド サービスが「 クラウドに関する APRA Information Paper」で説明されているように「高められたり、極端な固有のリスク」を伴うと見なされる場合は、オーストラリアの内外でサービスが提供されているかどうかに関係なく、金融機関は APRA と相談することをお勧めします (ただし、必要ありません)。

オーストラリア以外でのデータ転送は許可されていますか?

はい。 一般的なプライバシー法(金融機関だけでなく、すべてのセクターに適用)は、一定の条件下でオーストラリア国外への移転を許可します。 Microsoft は、Microsoft クラウド サービスを使用するときにオーストラリア以外のデータの転送が許可されるように、オーストラリアのプライバシー原則に沿った契約条件に同意します。 ただし、オーストラリアの金融サービスのお客様の多くは、オーストラリアのデータセンターから利用できるクラウド サービスを利用しています。このクラウド サービスでは、保存データのカテゴリをオーストラリアの地域に保存するという特定の契約上のコミットメントを行っています。 これらのコミットメントについては、 コンプライアンス チェックリストに詳しく説明されています。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース