銀行業界におけるデジタル主権

10 年前には、国家も金融機関もデジタル主権を最優先事項とは考えていませんでしたし、ほとんどの場合、コーヒーを飲みながらの雑談の話題にすらなり得ないほど、その重要性は低いと見なされていました。サプライチェーンのグローバル化は、ほとんどの調達分野において主流となっており、どこで何を外部委託するかは、単に可能な限り最良の製品やサービスを可能な限り最良の価格で調達するという問題に過ぎませんでした。その判断は、既存の制裁措置や規制、および重要物資の供給に備えて代替ベンダーを確保しておくといったその他の業務上のリスクによってのみ左右されていました。 

しかし、COVID-19 のパンデミック時のサプライチェーンの混乱や地政学的な舞台における新たなダイナミクスにより、世界はその後変化しています。現在で、多くの銀行や保険会社、および金融機関は、自社のテクノロジーや業務について、より自律的な管理体制 (完全ではないにしても) を構築したいと考えています。これは、組織の戦略に基づく場合もあれば、銀行が経済や社会において果たす役割が、単なる個々の業績の枠を超えて重要性を増しているため、規制当局によって義務付けられる場合もあります。

その結果、業界の考え方は「デフォルトでのグローバル化」から「可能な限り地域化またはローカライズ」へと変化しています。これは銀行業界にとって変革的な転換点であり、その実行には数年を要する見込みです。なぜなら、テクノロジーベンダーは銀行のバリューチェーンの至る所に存在し、金融エコシステム全体に広がっており、ベンダー、パートナー、顧客の間で技術的な連携と相互依存関係が確立されているからです。

デジタル主権とは

世界経済フォーラムによると、各国の「デジタル主権」とは、自国が依存し、生み出すデータ、ハードウェア、ソフトウェアといった、自らのデジタルの未来をコントロールする能力を指します。逆に言えば、その国の統治体制の外にいる者は、その国のデータ、ハードウェア、ソフトウェアを管理することはできず、同意なしにその技術にアクセスしたりシステムを停止させたりすることはできず、またその規制を回避することもできない、ということを意味します。つまり、ある国の技術、業務、データの重要な部分を第三者が乗っ取る (あるいは停止させる) ことは技術的に不可能なため、同国は第三者が自国のルールに従うかどうかに依存する必要がないということを意味します。 

これを銀行組織のレベルに当てはめると、主権とは単にデータレジデンシー (これは長年議論されてきた問題である) だけにとどまらない点に注目できます。それは、銀行が依存しているハードウェア、ソフトウェア、運用、さらには銀行の業務に不可欠なベンダーのガバナンスまでも包含するものです。最終的な目的は、他者の決定 (たとえば、異なる規制を持つ国に本社を置く、あるいは事業を展開するベンダーによるもの) や、他国に起因する体系的な障害や繰り返される障害によって引き起こされる可能性のあるリスクを軽減すること、あるいは少なくともそれらをより深く理解することにあります。たとえば、コアバンキングシステムを運用するオフショアのアウトソーシング企業や、外国企業の国内子会社が提供するインフラは、主権の観点から注意を要する対象として指摘される可能性があります。

デジタル主権には 4 つのレベルがあります。

• データ主権：国または地域にあるデータセンター (例：EU)
• テクノロジー主権：オープンスタンダードとオープンソースの使用
• 運用主権：(EUのお客様およびこの選択肢を希望するすべての人を対象にした、欧州連合 (EU) 向けの) Red Hat Confirmed Sovereign Support
• 保証主権：検証可能なオープンソースソフトウェア、ソフトウェア部品表 (SBOM）、および再現可能なビルド

デジタル主権を支えるオープンソースの役割 

プロプライエタリーなソフトウェアは、それを開発し、配布する企業によって管理されており、顧客の自らが使用するソフトウェア製品に対する制御は非常に限られています。たとえば、プロプライエタリーなソフトウェアのユーザーは、設定オプションを通じてソフトウェアの動作に影響を与えることはできるかもしれませんが、コードを修正してソフトウェアの機能を変更することはできません。また、ソースコードを読んでも、ソフトウェアの機能 (および潜在的なバグやその他の問題) を理解することはできません。

多くのプロプライエタリー・ソフトウェア企業は、子会社を通じて国際的に事業を展開し、現地の規制に完全に準拠していますが、その内部ガバナンスにより、親会社の規制やガバナンスに従わざるを得ない場合が少なくありません。この構造がもたらす影響の代表例として、2018 年に成立した米国の Cloud Act (Clarifying Lawful Overseas Use of Data Act) があり、これは銀行のデータレジデンシーやデータ転送に重大な影響を及ぼしています。この米国連邦法により、米国の法執行機関は、データが米国外に保存されている場合でも、米国に拠点を置くテクノロジー企業に対して電子データの開示を強制することができます。その結果、多くの銀行は、EU の一般データ保護規則 (GDPR) やインドのデジタル個人データ保護法 (DPDP法) など、それぞれのデータ保護規制に準拠するため、顧客データの保存および転送戦略を見直す必要に迫られました。

対照的に、オープンソースソフトウェアは世界中のコミュニティによって生み出され、世界中のどこにいても個人や企業が開発に携わることができます。 

ソースコードはいつでも誰でも検証できるため、いかなる政府や規制も、これらのコミュニティに対して、ユーザーの制御を迂回したり、コードの使用に何らかの影響を与えたり制限したりするバックドア、キルスイッチ、ジオフェンス、その他の望ましくない仕組みを組み込むよう強制することはできません。 

オープンソースソフトウェアには、デジタル主権に特に適した 2 つの本質的な特徴があります。

• 自律性：オープンソースソフトウェアは、世界中のどこにいても、共同のコミュニティプロジェクトに貢献できる開発者によって構築されます。また、オープンソースの知的財産権やガバナンスを主張する権利を持つ国や組織は存在せず、オープンソースソフトウェアを使用しているアプリケーションを停止させることもできません。
• 透明性：オープンソースは、プロプライエタリー・ソリューションにはない透明性を提供します。オープンソース・コードのすべての行は、ソフトウェアを使用する組織だけでなく、開発者コミュニティによっても検査および監査できます。Git (および GitHub、GitLab) など、オープンソース・プロジェクトで最も一般的に使用されている分散型ソースコード管理システムは、変更ログを提供し、すべての変更はデジタル署名されています。このように透明性が内在しているため、堅固なセキュリティ・プラクティスが育成され、法令順守の促進、信頼の構築、監査プロセスの効率化が実現します。 

柔軟性と回復力を実現するハイブリッド・マルチクラウド 

主権に関する主要な懸念事項の一つは、ごく少数のインフラベンダーへの依存であり、その多くは単一の国に本社を置いています。これはとくにクラウドサービスプロバイダーの分野で顕著であり、3 社のベンダーが世界の市場シェアの約 65% を占めています。デジタル主権が注目される以前から、このリスクの集中は、EU のデジタル・オペレーショナル・レジリエンス法 (DORA) や英国の健全性規制機構 (PRA) のオペレーショナル・レジリエンス・ポリシー SS1/21 など、一部の規制ですでに注目されていました。

多くの銀行は、柔軟かつオープンなアプローチにより制御と選択肢を確保できるハイブリッド・マルチクラウド・プラットフォームを採用しています。これにより、利用するクラウドサービスの選択肢を広げておくことができるだけでなく、クラウドネイティブサービスが提供するイノベーション、スピード、柔軟性を活用することが可能になります。 

Red Hat：お客様のクラウド、お客様のルール

Red Hat のエンタープライズ向けオープンソース技術を使用すると、Red Hat との法的および商業的関係が終了した場合でも、お客様はソフトウェアの使用を継続できます。Red Hat は、主権性のある選択肢を求める銀行へのサポートを強化しており、リスクの軽減やベンダー切り替えに伴う負担の解消を支援しています。Red Hat は、ソブリン・クラウドに関するコミットメント原則を公開し、Red Hat Confirmed Sovereign Support for the European Union を導入しました。これに伴い、EU の規制の下で業務を行う EU スタッフが、現地のエコシステムを拡大しています。

また Red Hat は、信頼性が高く、明確に文書化されたソフトウェアサプライチェーンを提供し、セキュアな開発手法を採用するとともに、強固なビルドプロセス、堅牢なパッケージング、透明性の高い配布体制を備えています。継続的な監視と検証によって補完されるこれらすべての取り組みは、非主権的なコンポーネントが導入され、サービスに支障をきたす可能性を防ぐのに役立ちます。

Red Hat のプラットフォームは、マルチクラウド・デプロイメント向けにも設計されており、重要な運用およびデータレジデンシーの要件に対応します。当社のオープン・ハイブリッドクラウド・プラットフォームは、ワークロードの移植性を提供するため、組織はワークロードをさまざまなクラウド・プロバイダー間で移行したり、独自のオンプレミス環境に移行したりできます。これにより、進化するソブリン要件に迅速に対応できるようになり、運用上の回復力を向上させることが可能になります。

ソブリン AI で未来を切り拓く

AI の分野にはすでに多くのモデルが存在しています。長年使われてきた予測モデルから、近年登場した動的な生成 AI の大規模言語モデル (LLM) まで多岐にわたり、ほぼ毎週のように新たなイノベーションや改良が発表されています。 

生成 AI モデルには、規模、ホスティング・オプション、オープン性の度合いなど様々な要素があり、ユースケースに応じてそれぞれ長所と短所があります。これは銀行業界においてとくに重要です。顧客データを保護する必要があり、規制によって利用可能な技術の活用が左右されるからです。AI が目的に適合しているかどうかを判断する上で 3 つの側面が重要になります。 

• 透明性：推論時に意思決定を行ったり顧客とやり取りしたりする銀行のユースケースにおいては、モデルがどのように機能し、どのようなデータがトレーニングに使用されたかを理解することが不可欠です。AI ハルシネーションは、規制、ビジネス、および評判に重大な影響を与える可能性があるため、これは非常に重要です。
• テクノロジー主権と運用主権：銀行またはその監督機関のガバナンスの外部にいる者は、推論時に重要なサービスを停止させてはなりません。この要件は、モデルが銀行の技術的管理の外部でホストされてはならないことを意味します。
• 顧客データ：規制により、銀行は顧客データの機密保持について全責任を負うことになっているため、顧客データが保護され、プライバシーが守られていることを保証できなければなりません。一部の AI モデルは契約上、顧客データを使用したり、閲覧したりしないと明記しているものの、情報漏洩の可能性があることを踏まえると、用途によっては、顧客データに近い場所で動作するモデルを採用する方が望ましい場合があります。  

Red Hat では、銀行各社がユースケースに応じて、さまざまな AI モデル、インフラストラクチャ、ハードウェア・アクセラレータを活用していくと考えています。また、この AI プラットフォームは、銀行のアプリケーション・プラットフォームと緊密に連携し、ハイブリッドクラウド上で稼働し、プロセスやツールを共有することで、銀行のテクノロジーサービスや業務をより効率的に運営できるものと考えています。この統合されたハイブリッド・クラウド・アーキテクチャは、銀行が選択肢をオープンに保ち、デジタル主権の要件が拡大および進化するにつれて、将来に備え続けるのに役立ちます。

Red Hat が金融サービス業界に提供するものについて詳しくはこちらをご覧ください。