金融業界では、様々な業務をアウトソースするとともに、ベンダーのサービスを利用するのが一般的だった。しかし、昨年の米国当局のガイダンス公表から、徐々に金融機関の間で、ベンダーの審査を厳しくする傾向が見られ始めている。以前は、金融機関での勤務経験を持つ専門家がFintechを起業して成功する事例も多かったが、実績のないベンチャーがこの分野に割って入るのが難しくなりつつある。

そもそもこのガイダンス自体は2013年頃から存在しており、特に目新しいものではなかったのだが、2021年の市中協議や2020年のQ&A集によって、徐々に形になっていき、2023年の新たなガイダンスにつながっている。

細かく何をしなければならないということを示すというよりは、リスクベースアプローチをとっており、細かいところは個々の金融機関自ら考えるようになっている。昨今の傾向では、こうしたアプローチをとる場合は、細かくルールが決められる場合より、金融機関サイドでできるだけ保守的なルールが作られてしまうことが多い。90年代の日本などでは、ルールが細かく決められ、禁止されていないものはOKといった雰囲気があったかもしれない。しかし、ルールが細かく決まっていないと、あらゆる行動が認められるかどうかを自ら判断することになる。そうすると、不思議なものでより保守的な運営がなされることが多い。

確かに、厳しい規制監督下にある銀行がその業務の一部をアウトソースするのであれば、アウトソース先も同じレベルの管理が要求されるのはもっともなことである。しかし、新しく設立したベンチャーのような場合、株主構造、企業戦略、守秘義務にかかるようなサービス内容の開示のほか、障害が起きないような体制整備や報告体制を銀行並みに整えるのは、並大抵のことではない。

影響の大きい決済サービスのような場合は当然としても、単純な分析、レポート作成、人事評価、研修などのあらゆるベンダーに同じようなデューデリジェンスが要求されると、大人数のコンプライアンス担当を抱えているところでもなければ、途中でギブアップしてしまうところも多いだろう。とは言え、金融機関としても、業務はアウトソースできても責任をアウトソースすることはできないというのが大前提となっている以上、自ら行っているコンプライアンスプログラムに近いものを求めてしまう傾向がある。当然ガイダンスでもリスクの程度に応じて柔軟に対応すべきとしているのだが、どうしてもすべてが保守的な方向に流れてしまいがちである。

このガイダンスに対して各金融機関がどのように対応するかに注目が集まっていたが、TPRM（Third Party Risk Management）という言葉も生まれたように、懸念された通り保守的な方向に向かっているような気がする。金融機関内には、こうしたTPRMをカバーするリスクマネージャーを専属で置くところもある。

日本も米国に合わせる必要はないだろうが、グローバルでここまで各金融機関が力を入れ始めると、完全に無視することは危険になってきている気がする。少なくとも米国のガイダンスを理解したうえで、対応をしていると示せるところまではやっておいた方が良いだろう。