英国財務省(HM Treasury)は2026年7月10日、Microsoft Azureの運営法人であるMicrosoft Ireland Operations、AWS EMEA SARL、Google Cloud EMEA、Oracle Corporation UKの4社を、英国金融システムを下支えする「Critical Third Party(CTP、重要な第三者事業者)」として初めて正式指定したと発表した。これを受けてイングランド銀行(BoE)、健全性規制機構(PRA)、金融行為規制機構(FCA)の3当局は現地時間7月13日、共同でこれら4社への直接監督を開始した。英国の金融機関が利用するクラウドサービスの約7割強を、この4社が占めているとされる。

「集中リスク」への対応としてのCTP監督

CTP制度は2023年の金融サービス市場法に基づき新設された枠組みで、個別の金融機関ではなく「多くの金融機関が同じ事業者に依存している」こと自体が生むシステミックリスクへの対応が狙いだ。イングランド銀行のSarah Breeden副総裁は「重要な第三者事業者が金融機関の業務に組み込まれるほど、新たな種類のシステミックリスクが生じうる」と述べ、FCAのNikhil Rathi長官も「同一の事業者が数千社にサービスを提供する以上、単一の障害が金融システム全体に波及しうる」とコメントしている。

CTPに指定された事業者は、提供する重要サービスのリスクを自ら特定・管理する義務を負い、特に大規模インシデント発生時には規制当局および利用金融機関との迅速な情報共有が求められる。指定・解除の権限はHMTが持ち、3当局は指定基準を満たし続けているかを定期的にレビューする。

既存の外部委託規制を置き換えるものではない

重要なのは、このCTP制度が金融機関自身に課される既存の外部委託・オペレーショナルレジリエンス規制を「置き換えるものではない」と明記されている点だ。各金融機関は引き続き、デューデリジェンスやコンティンジェンシープランなど自らのサードパーティ管理責任を負う。CTP監督は、規制当局がハイパースケーラー側に直接働きかける「もう一段上のレイヤー」として追加された仕組みという位置づけになる。なお同様の発想は、EUの「DORA」(Digital Operational Resilience Act)がすでに2025年1月から施行しており、Microsoft・AWS・Google等をEU域内で「重要ICTサードパーティ」として直接監督する枠組みを持つ。英国の今回の制度はBrexit後の独自規制として、これに追随する形となる。

実務への影響

日本ではこのニュースはまだほとんど報じられていないが、他人事ではない。金融庁も従来から「システムリスク管理態勢」やFISC安全対策基準を通じてクラウド集中リスクへの注意喚起を行ってきたが、ハイパースケーラーを直接監督する枠組みには踏み込んでいない。EU・英国という主要金融市場が相次いでクラウド事業者への直接監督に踏み出したことは、Microsoft・AWS・Google・Oracle側のガバナンスやインシデント対応プロセスが底上げされることを意味し、その恩恵はグローバル契約を通じて日本の金融機関にも波及する可能性が高い。

日本のIT管理者にとっての実務ポイントは2つある。ひとつは、CTP指定があっても「自社の第三者リスク管理責任がなくなるわけではない」という原則の確認だ。クラウド事業者が監督下に入ったからと安心せず、自組織のBCP・DR設計や単一リージョン依存の洗い出しは引き続き自分たちの仕事だと再認識したい。もうひとつは、各社が今後公表するレジリエンス関連の情報やSLA変更に注意を払うことだ。英国・EUの規制対応で強化されたインシデント通知プロセスや可用性基準は、グローバル契約を通じて日本の顧客にも展開されるケースが多い。

筆者の見解

今回の指定で興味深いのは、Azureが「最先端のAI機能」ではなく「金融システムを支えるインフラとしての信頼性」という文脈で規制当局から名指しされた点だ。AI機能の派手な競争ばかりが話題になりがちだが、実際に金融機関が数十年単位で預けるのは、こうした地味な可用性・ガバナンス対応の積み重ねである。この領域でMicrosoftが持つエンタープライズとの長年の関係と実績は、AI単体の性能競争とは別の軸で効いてくる強みだと考えている。

一方でCTP指定は「お墨付き」ではなく「踏み絵」でもある。直接監督下に入るということは、インシデント発生時の説明責任のハードルが今まで以上に上がるということだ。ここで真摯に対応し切れるかどうかが、AIエージェントが金融機関の業務にまで入り込んでくるこれからの時代に「安心して基盤を預けられる会社」としての評価を左右する。Azure・Entra IDを中心とした統合プラットフォームを長年推してきた身としては、今回の規制対応を単なるコンプライアンス業務として片付けず、信頼を積み増す機会として活かしてほしいと素直に思う。


出典: この記事は UK financial regulators to begin overseeing Critical Third Parties announced by HMT の内容をもとに、筆者の見解を加えて独自に執筆したものです。