7月に起きたクラウドストライクのシステム障害は、総額100億ドルを超える経済損失を与えたと言われている。システム依存度が高くなると、そのリスクへの対応が重要になってくる。DMMビットコインが不正引出しの影響で廃業に追い込まれたのもそうだが、サイバーセキュリティなどの対策も併せて重要になってきている。こうしたシステム投資をケチると会社の屋台骨を揺るがすような大事故に繋がってしまう。

10月にはBloombergのチャットが30分程度ダウしただけで、市場機能が一部麻痺した。Bloombergと言えば2015年に起きたシステム障害で、英国債の買入償却が延期されたこともあったが、ここまでくると、当局がバックアッププランを求めたとしても不思議ではない。当然電話やメールで対応するというプランはあるのだろうが、これは現実的には結構難しいというのは現場にいる人ならよくわかるだろう。

同じように取引所やCCPのシステムがダウンした場合のバックアップも海外では話題になるが、そのために複数のCCPと接続しておく必要がありコストは嵩む。あるCCPがサイバーアタックなどでクラッシュしても、当局が精算集中規制を一時的に解除して、相対取引を認めるとは考えられない。なぜそのために他のCCPを使うといったバックアッププランを準備していなかったのかということになる。

過去には様々なBCPプランについて議論してきたが、例えば地震リスクを例にとると、電話が使えるか、オフィスに入れるか、電車が動いているか、メールが送れるかによって対応が全く異なってくる。議論していると誰かが、こんな時はどうするんだ、もしこれが起きたらどうなるんだと言い出し永遠と議論が続くことになる。コロナショック時はこれに近い危機ではあったが、WhasAppや個人携帯とかで何とかしのぐくらいは問題ないかと思いきや、海外当局の対応は極めて厳格なものだった。

日本で地震が起きて電話回線が繋がらなくLINEだけが使えた場合、どうしてもヘッジしなければならない取引をLINE電話機能で顧客から受けてしまったらどうなるのだろう。外資系の人であれば、散々厳しく言われているのでおそらく規制違反はできないので断るという結論になる可能性が高い。

システム障害時にマニュアルで取引のブッキングを行うと、リアルタイムレポーティンクに繋がっていなかったり、自動リミットチェックを通らなかったりと、様々なミスが発生してしまう。当局からの罰金もかなり大きいので、結局何かバックアップ手段を試すよりは、そのまま大本の障害が回復するのを待った方が得策ということになる。

そうすると色々なベンダーに対するライセンス要件や規制を厳しくするという方向になり、新規参入によるイノベーションが起きにくくなる。BCP対応にも多大なコストがかかり、普段は必要のない施設やシステム、人員などを常に確保しておかなければならない。

原発リスクのように人の命に関わるリスクや、クラウドストライクのように企業の存続に関わるようなリスクは何としてでも避けるべきなのだが、金融の信用リスクや市場リスクのようにある程度のリスクを取るからリターンもあるというビジネスの場合はどこまでリスクを削減すべきなのだろうか。

現状はかなり極端なリスクに備えて資本を積む、リスクを絞るという傾向がかなり強くなってきた。どこまでやるかは非常に難しい問題であるが、現状は若干厳しすぎる方にバランスが偏りつつあるのではないだろうか、またその偏り具合が国によってもかなり異なってきているようにも感じる。トランプ大統領になってこの流れに変化が起きるのかについて注目が集まる。