証券監督者国際機構（IOSCO）がアウトソーシング原則を更新

こんにちは、丸山満彦です。

証券監督者国際機構（International Organization of Securities Commissions: IOSCO）がアウトソーシング原則を更新していますね。。。

項目の中には情報セキュリティ、レジリエンスが含まれていますので、参考まで。。。

原則が7つ示されていますが、簡単にいうとアウトソーシング先に関係する

1. デューデリジェンス（契約開始、維持）
2. 契約
3. データとシステム保護と業務継続性、復旧計画
4. 機密情報保護
5. 集中リスク
6. 規制当局、監査人の検査の受け入れ
7. 契約終了

って感じですかね。。。

● International Organization of Securities Commissions: IOSCO

・2021.10.27 (press) [PDF] IOSCO updates its outsourcing principles to ensure operational resilience

・[PDF] Principles on Outsourcing Final Report

 

Chapter 1. Executive Summary	第1章 エグゼクティブ・サマリー
IOSCO has undertaken work to gain a better understanding of recent developments in outsourcing by market participants in the securities markets and to update the existing IOSCO Principles on Outsourcing to address these developments. Committee 2 on Secondary Markets (C2), Committee 3 on the Regulation of Financial Intermediaries (C3), Committee 6 on Credit Rating Agencies (C6), and Committee 7 on Derivatives (C7) participated in this joint project.	IOSCO は、証券市場の市場参加者によるアウトソーシングの最近の動向について理解を深め、既存の「アウトソーシングに関する IOSCO 原則」を更新してこれらの動向に対応するための作業を行いました。この共同プロジェクトには、流通市場に関する第2委員会（C2）、金融仲介機関の規制に関する第3委員会（C3）、信用格付機関に関する第6委員会（C6）、およびデリバティブに関する第7委員会（C7）が参加しました。
Based on this work, IOSCO has developed a common set of outsourcing principles. These principles are based on the earlier 2005 Outsourcing Principles for Market Intermediaries and the 2009 Outsourcing Principles for Markets, but their application is expanded to trading venues, market intermediaries, market participants acting on a proprietary basis, and credit rating agencies.  Their application may also be considered by financial market infrastructures.	この作業に基づき、IOSCOは、共通のアウトソーシング原則を策定しました。これらの原則は、先に公表された「市場仲介者のための2005年アウトソーシング原則」及び「市場のための2009年アウトソーシング原則」に基づいていますが、その適用対象は、取引所、市場仲介者、自己勘定で活動する市場参加者、及び信用格付業者にまで拡大されています。 また、金融市場インフラにも適用が検討されています。
The revised outsourcing principles comprise a set of fundamental precepts and seven principles (the “Principles on Outsourcing” or “these Principles”). The fundamental precepts cover issues such as the definition of outsourcing, the assessment of materiality and criticality, affiliates, sub-outsourcing and outsourcing on a cross-border basis. The seven principles (each a “Principle”) set out expectations for regulated entities that outsource tasks, along with guidance for implementation.	改訂されたアウトソーシング原則は、一連の基本的な教訓と7つの原則（「アウトソーシングに関する原則」または「本原則」）で構成されています。基本的な考え方は、アウトソーシングの定義、重要性・クリティカル性の評価、関連会社、サブアウトソース、クロスボーダーベースのアウトソーシングなどの問題をカバーしています。7つの原則（以下、各原則）は、規制対象となる企業が業務を外部に委託する際に期待されることと、その実施のためのガイダンスを示しています。
This report (“Report”) also contains sections on particular sectors and issues and Annex A provides a report on outsourcing among credit rating agencies, including the use of cloud computing.  The Report also briefly addresses the impact of COVID-19 on outsourcing and operational resilience.	本報告書（以下、「報告書」）には、特定のセクターや課題に関する項目も含まれており、付属書Aでは、クラウド・コンピューティングの利用を含む、信用格付機関のアウトソーシングについて報告しています。 また、本報告書では、COVID-19がアウトソーシングとオペレーショナル・レジリエンスに与える影響についても簡単に触れています。
The Principles on Outsourcing	アウトソーシングに関する原則
Principle 1: A regulated entity should conduct suitable due diligence processes in selecting an appropriate service provider and in monitoring its ongoing performance.	原則1：規制対象企業は、適切なサービスプロバイダーを選択し、その継続的なパフォーマンスを監視する際に、適切なデューデリジェンスプロセスを実施すべきである。
Principle 2: A regulated entity should enter into a legally binding written contract with each service provider, the nature and detail of which should be appropriate to the materiality or criticality of the outsourced task to the business of the regulated entity.	原則2：規制対象企業は、各サービスプロバイダーとの間で、法的拘束力のある書面による契約を締結すべきであり、その契約の性質及び詳細は、規制対象企業の事業に対するアウトソースされたタスクの重要性又は重要性に応じて適切なものでなければなりません。
Principle 3: A regulated entity should take appropriate steps to ensure both the regulated entity and any service provider establish procedures and controls to protect the regulated entity’s proprietary and client-related information and software and to ensure a continuity of service to the regulated entity, including a plan for disaster recovery with periodic testing of backup facilities.	原則3：規制対象企業は、規制対象企業とサービスプロバイダーの双方が、規制対象企業の専有情報および顧客関連情報とソフトウェアを保護するための手順とコントロールを確立し、規制対象企業へのサービスの継続性を確保するために、バックアップ設備の定期的なテストを伴う災害復旧計画を含む適切な手順をとるべきである。
Principle 4: A regulated entity should take appropriate steps to ensure that service providers protect confidential information and data related to the regulated entity and its clients, from intentional or inadvertent unauthorised disclosure to third parties.	原則4：規制対象企業は、サービスプロバイダーが、規制対象企業とその顧客に関連する機密情報とデータを、故意または不注意による第三者への無許可の開示から保護することを保証するために、適切な措置をとるべきである。
Principle 5: A regulated entity should be aware of the risks posed, and should manage them effectively, where it is dependent on a single service provider for material or critical outsourced tasks or where it is aware that one service provider provides material or critical outsourcing services to multiple regulated entities including itself.	原則5：規制対象事業体は、重要または重要なアウトソース業務を単一のサービスプロバイダーに依存している場合、あるいは、1つのサービスプロバイダーが自身を含む複数の規制対象事業体に重要または重要なアウトソースサービスを提供していることを認識している場合には、もたらされるリスクを認識し、それらを効果的に管理すべきである。
Principle 6: A regulated entity should take appropriate steps to ensure that its regulator, its auditors, and itself are able to obtain promptly, upon request, information concerning outsourced tasks that is relevant to contractual compliance and/or regulatory oversight including, as necessary, access to the data, IT systems, premises and personnel of service providers relating to the outsourced tasks.	原則6：規制対象企業は、その規制当局、その監査人、及び自身が、必要に応じて、外部委託業務に関連するサービスプロバイダーのデータ、ITシステム、施設及び人員へのアクセスを含む、契約上のコンプライアンス及び／又は規制上の監視に関連する外部委託業務に関する情報を、要求に応じて迅速に入手できるようにするための適切な措置を講じるべきである。
Principle 7: A regulated entity should include written provisions relating to the termination of outsourced tasks in its contract with service providers and ensure that it maintains appropriate exit strategies.	原則7：規制対象企業は、サービスプロバイダーとの契約に、アウトソース業務の終了に関する書面による規定を盛り込み、適切な出口戦略を維持することを確実にすべきである。