カナダの金融機関監督官局 (OSFI)
OSFI について
「金融機関監督官局」 (OSFI) は、プルーデンス規制およびカナダの連邦制によって規制された金融機関と年金制度の監督に対して責任を負うカナダ政府の独立機関です。
その監督の役割において、OSFI では、「ビジネスのアクティビティ、機能、およびプロセスのアウトソーシング」に適した B-10 ガイドラインを発行しました。 彼らは、ビジネスをサービス プロバイダーにアウトソーシングすることに関連するリスクを評価したり管理したりするために、連邦制で規制された金融機関向けの “プルーデンスの実践、手続き、または基準” を構築しました。 その後の OSFI 覚書である 新しい技術を基盤としたアウトソーシング要件では、B-10 ガイドラインが依然として現在通用するものであり、重大なアウトソーシングに関する取り決めに対する OSFI の要請に応える必要があることをそれらの機関に思い出させています。
さらに、金融機関によるクラウド サービスの使用では、個人情報保護および電子文書に関する法律、および場合によっては州のデータ プライバシー法に準拠する必要があります。
Microsoft および OSFI
ビジネス機能をクラウドにアウトソーシングすることを検討しているカナダの金融機関の決定を支援するために、Microsoft では、「クラウド導入への手引き: カナダの金融機関向けコンプライアンスのチェックリスト」を発行しました。 チェックリストを確認して完了することで、金融機関は、適用される規制要件に準拠していることを確信して、Microsoft ビジネス クラウド サービスを採用できます。
カナダの金融機関がビジネス事業をアウトソーシングする場合は、個人情報保護および電子文書に関する法律 (PIPEDA) を含む、カナダのプライバシー法および金融機関監督官局 (OSFI) によって発行された「ビジネスのアクティビティ、機能、およびプロセスのアウトソーシング」の B-10 ガイドラインに準拠する必要があります。
Microsoft チェックリストでは、カナダの金融機関による Microsoft 法人向けクラウド サービスのデューデリジェンス評価および以下の実施を支援します。
- 条件に応じた規制状況の概要。
- チェックリストでは、対処すべき問題を定め、それらの規制義務を背景にして Microsoft Azure、Microsoft Dynamics 365、および Microsoft 365 サービスを対応づけています。 チェックリストは、規制の枠組みを背景にしてコンプライアンスを測定したり、コンプライアンスを文書化するための内部構造を提供したり、顧客が Microsoft 法人向けクラウド サービスに対する独自のリスク評価を実施したりするのを支援するツールとして使用されます。
対象となる Microsoft のクラウド プラットフォームとサービス
実装方法
- コンプライアンス チェックリスト: カナダ: 金融機関は、Microsoft 法人向けクラウド サービスのリスク評価を実施するヘルプを取得できます。
- Microsoft クラウドのプライバシー: Microsoft のプライバシーの原則と基準、およびカナダに特化したプライバシー法に関する詳細を入手します。
- Azure の業界ユース ケース: 金融サービス向けの Azure ソリューションを構築するためのユース ケースの概要、チュートリアル、およびその他のリソース。
よく寄せられる質問
規制当局の承認が必要ですか?
いいえ。 事前の通知、相談、または承認の要件はありません。 パブリック クラウド コンピューティングの使用は許可されておりますが、常に OSFI の要件に準拠する必要があります。
OSFI B-10 ガイドライン では、関連するリスクに見合ったリスク緩和を使用して、アウトソーシングに関する取り決めのすべてに適用されるリスク管理プログラムを策定するよう、OSFI が金融機関に対して要請していることを示しています。 ただし、重大なアウトソーシングに関する取り決めのみ、ガイドラインに示されている保護条項に対応する書面の契約書を用いて文書化される必要があります。 Microsoft チェックリスト のパート 2 (53 ページ) は、これらの項目を、対処先の Microsoft 契約ドキュメントのセクションに照らしてマップします。
クラウド サービス プロバイダーについて、契約に含める必要がある必須条項はありますか?
はい。しかし、アウトソーシングに関する取り決めが、重大なアウトソーシングに関する取り決めであるか、それにクラウド サービス プロバイダーに対する何かしらの個人情報の転送が含まれる場合のみです。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。