LSEG の最新調査では、世界中のほとんどの金融関連企業が、データ・プライバシー、セキュリティ、データ主権規制への対応を一因として、自社のクラウド戦略の変更や更新を実施してきたことが明らかになりました。コンプライアンスへの対応は地域により異なり、各地域の規制枠組みに左右されますが、その中で際立つテーマが 1 つあります。それは、オペレーショナル・レジリエンスが企業と規制当局の双方にとって共通の優先課題であるということです。
- 変化を続けるクラウド戦略: LSEG の最新調査では、世界中のほとんどの金融関連企業が、データ・プライバシー、セキュリティ、データ主権規制への対応を一因として、自社クラウド戦略の変更や更新を実施してきたことが明らかになりました。
- 地域で異なるコンプライアンスへの対応: 企業がクラウドに関するコンプライアンス義務を果たすために採用するアプローチはさまざまです。これは司法管轄区域によりクラウド関連規則の制定段階が異なるためです。
- しかし、企業と規制当局はいずれも、事業の中断を減らし、自らの戦略を強化させる手段として、オペレーショナル・レジリエンスの重要性を理解しているようです。
LSEG の最新調査では、84% の回答者が、データ・プライバシー、セキュリティ、データ主権規制に対応するために、クラウド戦略の変更や更新を実施してきたと回答しています。さらに、4 分の 1 以上 (28%) が、広範な変更を実施したと回答しています。こうした変化の中で、オペレーショナル・レジリエンスは、企業と規制当局の双方が共有する優先課題として浮上しています。これはクラウドの安定性を強化し、混乱を減らすという共通の目標を反映しています。
本調査は、2024 年 11 月から 2025 年 3 月にかけて、LSEG が独立したマーケティング・リサーチ・コンサルティング会社に委託し、Phase 5 がオンラインで実施したリサーチに基づいています。世界中の計 453 名の金融関連企業の幹部が調査に回答しました。調査回答者の約 3 分の 2 (63%) は、自社における金融市場データおよび IT ソリューションに関する主要な意思決定者です。調査は 12 か国で実施されました。
オペレーショナル・レジリエンス: 共通の優先課題
クラウドのオペレーショナル・レジリエンスは、金融機関と規制当局にとって共通する優先分野の一つです。世界中で 30% の回答者が、過去 12 か月間に、クラウド・サービスを原因とした業務中断の経験があると回答しています。そのため、レジリエンスとセキュリティは、企業が自社のクラウド戦略の価値を評価するうえでの中心となりつつあり、47% の回答者がこれらを主要パフォーマンス指標に挙げています。
欧州・中東・アフリカ (EMEA) 地域では、クラウド・プロバイダーを選択する際にオペレーショナル・レジリエンスを最も重視しており、回答者の 95% が「非常に重要」(61%) または「極めて重要」(34%) と評価しています。また、過去 12 か月間にクラウド・サービスを原因とした事業中断の経験があると回答した回答者は 約 29% でした。これは世界平均をわずかに下回っています。
アジア太平洋 (APAC) 地域の状況はより複雑です。この地域は事業中断の割合が 38% と最も高く、APAC の企業はオペレーショナル・レジリエンスに重きを置いています。回答者の 51% が、自社のクラウド戦略の投資収益率 (ROI) を評価する指標として、オペレーショナル・レジリエンスを使用していると回答しています。この割合は三つの地域の中で最も高い割合となっています。しかし、この目標を支える姿勢にはギャップがあり、クラウド・プロバイダーを選択するうえでオペレーショナル・レジリエンスが「極めて重要」と述べた回答者の割合はわずか 21% で、3つの地域の中で最も低い結果となっています。
APAC の規制当局は、企業に対してオペレーショナル・レジリエンスへの一層の注力を促し始めています。例えば 2024 年 11 月、APAC の一部の規制当局 (オーストラリア健全性規制庁、香港金融管理局、インドネシア金融サービス庁、日本銀行、マレーシア国立銀行、フィリピン中央銀行、タイ銀行、シンガポール金融管理局 (MAS) など) と世界的なクラウド・サービス・プロバイダーが、同地域では初となる危機管理の机上演習を実施しました。
変化する規制状況への適合
金融機関の 3 分の 1 (33%) が、規制の変更が、クラウド移行、人工知能、分析などのクラウド戦略に影響を与えていると回答しています。調査によると、自社クラウド戦略の ROI 評価に最もよく使われる指標としては、柔軟なキャパシティ (51%)、収益増 (47%)、セキュリティやレジリエンスの向上 (47%) などとなっています。
本調査では、企業がコンプライアンスの期待に応えるためにクラウド戦略をどのように進化させているかについても浮き彫りになっています。自社のクラウド戦略がデータ・プライバシー、セキュリティ、データ主権規制[1]の影響を受けていると回答した回答者のうち、59% がハイブリッド戦略を採用しており、56% がマルチクラウド戦略を導入し規制要件への対応を図っています。さらに、金融関連企業の 37% がクラウドに保存するデータの種類を制限しており、35% は地域または国内資本のベンダーと提携しています。
本調査では、マルチクラウド戦略は、ワークロード、アプリケーション、データが複数のパブリック・クラウド・プロバイダーに分散させるものと定義されています。また、ハイブリッド・クラウド戦略は、ワークロード、アプリケーション、データが、パブリックおよびプライベート・クラウド、またはオンプレミス環境の組み合わせに分散させるものとされています。
こうした変化は、コンプライアンスとイノベーションやオペレーショナル・レジリエンスとのバランスをとる、規制に対する戦略的かつ機動的なアプローチを反映しています。
規制と ROI の関係
規制枠組みは地域によって異なります。例えば、APAC の回答者の 3 分の 1 (33%) は、データ・プライバシー、セキュリティ、データ主権規制への対応として、クラウド戦略を大幅に変更または更新する必要があったと回答しています。一方、EMEA では、同じ回答した割合は 4 分の 1 を下回っています (24%)。APAC 地域の司法管轄区におけるクラウド法規は進化を続けています。 例えば、回答者は、インドのデジタル個人データ保護法 (2023 年) や最近改正されたオーストラリアのプライバシー法の遵守を義務付けられており、また日本のデータ関連規則も今後1年以内には改正が行われる見込みです。
米州の回答者の 3 分の 1 (33%) は、クラウド戦略から期待する ROI を達成する上で、規制の変更が最大の障壁となっていると回答しています。この結果はカナダの回答者により主に牽引されており、カナダでは 96% が、データ・プライバシー、セキュリティ、データ主権規制が原因で、クラウド戦略を中程度または大幅に変更したと回答しています。カナダの銀行は、サードパーティ・リスク管理ガイドライン (2023 年 4 月)、インテグリティおよびセキュリティ・ガイドライン (2024 年 1 月)、オペレーショナル・リスク管理およびレジリエンス・ガイドライン (2024 年 8 月) を導入しています。米国では、新政権が今後クラウド規制の方向性に影響を与えると予想されます。さらに、二国間の貿易協定も、企業のクラウド戦略に影響を及ぼす可能性があります。
規制の変更は EMEA の回答者にとっても重要な問題ですが、米州とは状況が若干異なります。「データの喪失と漏洩のリスク」が、クラウド戦略から期待される ROI を達成するうえでの最大の障壁として、31% の回答者が挙げ、トップとなっており、規制の変更 (31%) とコンプライアンス関連の懸念 (31%) がこれに並んでいます。EU と英国は長年、金融サービス企業のクラウド関連規則を定めており、EU のデジタル・オペレーショナル・レジリエンス法 (DORA) はクラウド戦略に大きな影響を及ぼしています。
全体として、クラウド規制は、金融機関がクラウド投資によって達成しようとしている ROI に、全ての地域で影響を与えています。しかし一部の地域では、金融機関がオペレーショナル・レジリエンスの向上を目指していることから、こうした規制要件が ROI を牽引する好機となる可能性があると認識されています。
