APRA CPS 230/234がオーストラリアにおけるサードパーティエンジニアリングベンダー選定を変える

オーストラリアの金融サービス企業にとって、APRA CPS 230サードパーティエンジニアリングベンダー選定はもはや調達業務ではなく、規制されたオペレーショナルリスク機能です。2025年7月1日施行のCPS 230（オペレーショナルリスク管理）と2019年以降施行のCPS 234（情報セキュリティ）は、APRA規制対象事業者がエンジニアリングパートナーを評価、オンボーディング、監督する方法を一変させました。CTOや調達責任者への示唆は明確です：ベンダー選定の決定は健全性審査に耐えなければならず、文書化のトレイルは契約締結のずっと前から始まります。

本稿は、重要または重大なビジネス業務のエンジニアリングパートナーを評価しているオーストラリアの銀行、保険会社、スーパーアニュエーション受託者、その他のAPRA規制対象企業のテクノロジーリーダー向けに書かれています。ガイダンスは、一般的な調達ベストプラクティスではなく、検証、文書化、執行が必要な事項に焦点を当てています。

CPS 230とCPS 234がベンダー選定にもたらす6つの主要な変化とは？

• 重要サービスプロバイダーが規制対象カテゴリーに： CPS 230はCPS 231を置き換え、アウトソーシングを超えたカバレッジに拡大します。重要業務をサポートしたり、事業者に重大なオペレーショナルリスクをもたらすアレンジメントはすべてスコープ内となります。組み込みエンジニアリングパートナーとSaaSプロバイダーも含まれます。
• エンゲージメント前に許容範囲を定義する必要があります： 取締役会は重要業務の中断に対する許容レベルを承認する必要があります。それらの許容範囲内で運営するベンダーの能力は、契約後の議論ではなく、選定基準となります。
• 情報セキュリティ義務は契約を通じて流れます： CPS 234は規制対象事業者が、サードパーティが保有する資産の機密性と重要性に見合った情報セキュリティを管理することを確保することを要求します。契約上の保証と独立した検証の両方が期待されます。
• 集中リスクと地理的リスクを評価する必要があります： CPS 230はサービスプロバイダーと管轄区域にまたがる集中リスクを明示的に指摘しています。オフショアおよびマルチリージョンのデリバリーモデルは文書化されたリスク分析を必要とします。
• 取締役会レベルの説明責任は明確です： 規制対象事業者の取締役会は、デリバリーモデルにかかわらずオペレーショナルリスクの結果に対して説明責任を持ち続けます。ベンダー選定は取締役会が把握する決定です。
• 通知義務は厳格です： CPS 234はサードパーティでのインシデントを含む重大な情報セキュリティインシデントから72時間以内にAPRAへの通知を要求します。ベンダーのインシデント対応能力は必須基準です。

APRA CPS 230が従来のアウトソーシングを超えて拡大するのはなぜですか？

従来のアウトソーシング基準CPS 231は、ITデリバリーがホスト型メインフレームとパッケージソフトウェアを意味していた時代に起草されました。その枠組みは、オーストラリアの金融サービス企業が実際にテクノロジーを構築する方法にもはや適合しません。コアバンキングのモダナイゼーション、組み込み決済、データプラットフォーム、AI支援アンダーライティングには今や、クラウドプロバイダー、SaaSベンダー、エンジニアリングサービス会社、専門実装チームというパートナーのメッシュが関与しています。CPS 230は「アウトソーシングアレンジメント」から「サービスプロバイダーアレンジメント」へと移行し、重要サービスプロバイダーの概念を導入することでこの現実を反映しています。

実際の結果はスコープの拡大です。規制報告パイプラインをデリバリーするエンジニアリングサービス会社、ID基盤を構築する専門チーム、リテールバンキングアプリケーションの継続的なフィーチャーデリバリーを提供するパートナーはすべて重要サービスプロバイダーになり得ます。人材補強アレンジメント向けに書かれた選定プロセス（レートカード、面接ループ、時間・費用精算契約）は、CPS 230が今や期待する証拠基準を満たしません。

重要なことは、CPS 230はオフショアデリバリーや組み込みエンジニアリングチームを禁止しないということです。規制対象事業者がリスクを理解し、パートナーを適切に選定し、関係全体を通じて監督を維持していることを実証できることを要求しています。文書化されたプロセスを持つ適切に管理された戦略的エンジニアリングパートナーは、説明責任が分散している個別に契約したコントラクターの集合より対応しやすいです。

オーストラリアのFSI企業はAPRAの下でどのようなリスクにさらされますか？

CPS 230とCPS 234に関する執行姿勢はAPRA自身のコーポレートプランと監督優先事項を通じて公開されています。APRAはオペレーショナルレジリエンスとサイバーレジリエンスを戦略的優先事項として繰り返し特定しています（APRAコーポレートプラン2024-25）。サードパーティエンジニアリングガバナンスが弱い規制対象事業者のリスクエクスポージャーは4つのカテゴリーに分類されます。

第一に、健全性措置。APRAは指示、ライセンス条件、深刻な場合にはFAR（金融説明責任制度）の下での責任者の資格剥奪を含む権限を持っています。CPS 230の監督審査で重大な所見が出ると、固定スケジュールと取締役会報告義務を伴う改善プログラムに直接つながる可能性があります。

第二に、インシデントコスト。2023年7月〜12月のOAIC通知データ侵害レポートは483件の通知を記録し、金融セクターは上位5つの報告セクターの一つでした。サードパーティエンジニアリングベンダーで発生した侵害は、CPS 234、プライバシー法1988、適用される場合はSOCI法の重要インフラルールの下で重複する義務を生じさせます。

第三に、集中リスクと継続性リスク。CPS 230は規制対象事業者が中断を通じて重要業務を継続する能力を維持することを要求します。定義された許容範囲内に終了できないパートナーへのロックインは、オペレーショナルな失敗とは独立して、それ自体が所見となります。

第四に、評判リスク。サードパーティデリバリーの失敗を伴うオーストラリアのFSIインシデントは歴史的に大きな公衆と議会の注目を集めてきました。選定プロセスを議会調査や王立委員会で弁護できないCTOや調達責任者は、企業リスクだけでなく個人的なリスクも抱えています。

CPS 230の下でエンジニアリングベンダー選定はどのように構造化すべきですか？

CPS 230アラインの選定プロセスには5つのステージがあり、それぞれが関係の存続期間中持続する文書化要件を持っています。

ステージ1 - 重要性評価。 ベンダーが候補リストに上がる前に、規制対象事業者はアレンジメントが重要業務をサポートしているか、CPS 230の下で重要であるか、またはCPS 234のスコープ内の情報資産を含むかを評価する必要があります。この分類がその後のすべてのコントロールを決定します。

ステージ2 - 要件定義。 技術要件はオペレーショナルリスク要件、情報セキュリティ要件、出口要件とともに作成されます。中断の許容範囲、目標復旧時間、許容可能なデータ保存場所は事前に定義されます。

ステージ3 - デューデリジェンス。 エビデンスを収集・審査します。認証（ISO 27001、ISO 9001、OT隣接の場合IEC 62443-4-1）、SOC 2報告書（入手可能な場合）、財務的実行可能性エビデンス、同等のエンゲージメントからの参照、サブコントラクターとオフショア拠点の文書が含まれます。調査結果は要件に対して記録されます。

ステージ4 - 契約。 契約にはCPS 230とCPS 234の必須条項が含まれます：監査権、インシデント通知期間、情報セキュリティ義務、サブコントラクティングコントロール、解約権、終了時のデータ返還、APRAとの協力。業界団体が作成したテンプレート条項は有用な出発点ですが、カスタマイズが必要です。

ステージ5 - オンボーディングと監督。 選定は署名で終わりません。規制対象事業者は継続的なモニタリング、定期的な再評価、インシデント対応の統合を確立します。CPS 230は継続的なレビューを明示的に要求しています。

パートナーを評価するエンジニアリングリーダーは、重要なアレンジメントでは選定プロセスに3〜6ヶ月かかることを想定すべきです。通常の調達タイムライン内にCPS 230アラインの文書を提供できないベンダーは、持続可能な長期パートナーになりにくいでしょう。規制環境での構造化されたエンゲージメントがデリバリーリスクをどのように軽減するかについての詳細は、ミッションクリティカルエンジニアリングサービスの概要をご覧ください。

コンプライアントなエンジニアリングパートナーシップは実際にどのように見えますか？

オーストラリアの中規模スーパーアニュエーション受託者が会員管理プラットフォームのモダナイゼーションを行うケースを考えましょう。スコープは会員のオンボーディング、拠出金処理、規制報告をカバーしており、CPS 230の下で明らかに重要業務です。受託者は複数年のビルドアンドランの関係のために外部エンジニアリングパートナーと契約します。

CPS 230アラインの選定の下で、受託者はアレンジメントが重要であることを文書化し、ISO 27001とSOC 2 Type IIのエビデンスを要求し、会員向けサービスの目標復旧時間を4時間と定義します。オフショアデリバリーは会員記録のオーストラリアデータ保存を条件に許可され、サブコントラクティングは事前承認済み事業者に限定されます。四半期ごとのオペレーショナルリスクレビューが契約上義務付けられ、定義されたエスカレーショントリガーが設けられます。

パートナーは情報セキュリティ管理システムのエビデンスパックを提供します：ISO 27001証明書と適用性宣言書、ペネトレーションテストの概要、脆弱性管理指標、インシデント対応ランブック、名前付きセキュリティ連絡先。エンジニアリングプロセスのエビデンスには、要件からテストケース、デプロイメント記録までのトレーサビリティ、コードレビュー標準、変更管理ゲートが含まれます。

12ヶ月後にAPRAがオペレーショナルリスク管理のテーマ別審査を実施した際、受託者は選定ファイル、継続的なモニタリング報告書、インシデントログを提示します。審査はコントロールが設計通りに運用されていることを確認します。パートナーは業務を継続し、関係は2年ごとに新しい人材補強契約で再スタートするのではなく、時間とともに価値を複利的に増大させます。

CPS 230ベンダー選定の現実的なタイムラインは？

CPS 230の下で重要と分類されたアレンジメントでは、最初の市場エンゲージメントから契約締結まで12〜24週間の現実的なエンドツーエンドのタイムラインが見込まれます。

第1〜3週は重要性評価、要件定義、市場調査をカバーします。第4〜8週は正式なRFP、ベンダー回答、文書化された基準に対する初期評価をカバーします。第9〜14週は参照コール、認証確認、正当化される場合のオンサイトまたはバーチャルサイト訪問を含むデューデリジェンスをカバーします。第15〜20週は法務、リスク、セキュリティ機能を並行して関与させた商業・契約交渉をカバーします。第21〜24週は取締役会または委任承認、契約締結、移行計画をカバーします。

このタイムラインを短縮するプログラムは通常、どのステージも省略するのではなく、認証とドメインエビデンスに基づいて早期に候補を絞り込みます。非重要なアレンジメントでは、比例的なプロセスが引き続き要求されますが、エビデンスの深さは減少します。APRAの公開されたガイダンスは、アレンジメントの重要性と重大性に基づく比例性を明示的に支持しています。

オーストラリアFSIにおけるAPRAと並行するコンプライアンス上の考慮事項は何ですか？

CPS 230とCPS 234は単独では機能しません。完全な選定プロセスは隣接する制度も考慮する必要があります。

プライバシー法1988と2024年プライバシーおよびその他の法律改正法は、個人情報の取り扱いに義務を課し、サードパーティとの契約がこれらの義務を反映することを要求します。通知データ侵害スキームは認識から30日以内の評価と通知を要求します。

改正後の2018年重要インフラセキュリティ法（SOCI法）は特定の金融サービス市場インフラに適用されます。適用される場合、リスク管理プログラムとサイバーインシデントの義務的報告に別途義務を課します。

2024年3月から銀行向けに運用され、2025年3月から保険・スーパーアニュエーションに拡大した金融説明責任制度（FAR）は、オペレーショナルリスクとテクノロジーを含む規定された責任に対する個人的な説明責任を割り当てます。重要なエンジニアリングパートナーの選定決定は、指名された責任者の説明責任の範囲内に入ります。

国際標準も重要です。ISO 27001は情報セキュリティ管理のベースライン要件として残っています。IEC 62443は金融インフラ内でエンジニアリングがOTや産業制御システムに触れる場合にますます参照されています。ISO 9001品質管理認証を持つパートナーは、時間とともにオペレーショナルリスクを軽減する構造化された変更管理をもたらします。

APRAサードパーティエンジニアリング選定に関する経営幹部向けFAQ

CPS 230はオフショアエンジニアリングデリバリーを禁止しますか？

いいえ。CPS 230はオフショアデリバリーを禁止しません。規制対象事業者が集中リスク、地理的リスク、データ保存を含む関連リスクを評価・管理することを要求します。多くのAPRA規制対象事業者はCPS 230の範囲内でオフショアデリバリーアレンジメントを維持しています - 義務は文書化されたリスク管理、適切な契約上のコントロール、継続的な監督でそれを行うことです。

ショートリスト前にエンジニアリングベンダーに要求すべきエビデンスは何ですか？

最低限：現在のISO 27001証明書と適用性宣言書、現在のISO 9001証明書、財務的実行可能性エビデンス（最新の監査済み口座または同等のもの）、保険証明書、規制産業における関連クライアント参照のリスト、デリバリー拠点とサブコントラクターの概要、過去の重大インシデントを含むベンダーのインシデント対応能力の概要。OT隣接作業には、IEC 62443-4-1認証エビデンスを追加します。

CPS 234はエンジニアリングベンダーの契約条件をどのように変えますか？

CPS 234は規制対象事業者が重大な情報セキュリティコントロールの弱点とインシデントを72時間以内にAPRAに通知することを要求します。エンジニアリングベンダーとの契約はそのタイムラインをサポートする必要があります - 通常、認識から24時間以内のベンダーから規制対象事業者への通知義務を伴います。契約には監査権、情報セキュリティ標準条項、データ取り扱いおよび返還義務、あらゆるAPRA照会への協力条項も必要です。

CPS 230の下でベンダーリスクはどのくらいの頻度で再評価すべきですか？

CPS 230は継続的なモニタリングを要求します。重要サービスプロバイダーについては、年次の正式な再評価が一般的な業界慣行であり、四半期ごとのオペレーショナルレビューと定義された主要リスク指標の継続的なモニタリングが伴います。アレンジメント、ベンダーのコントロール環境、または規制環境への重大な変更はサイクル外のレビューをトリガーします。

オーストラリアFSIのCTOが次に取るべきアクションは？

CPS 230の下で最良の決定を下しているCTOと調達責任者は、エンジニアリングベンダー選定を調達取引ではなく長期的なリスク機能として扱います。彼らは文書化に投資し、実証可能なプロセス規律を持つパートナーを選好し、複数年の関係にわたって価値を複利的に増大させる選定プロセスを構築します。代替手段 - 今四半期最も安価なプロバイダーとの繰り返しの短期契約 - は、APRAが今まさに積極的に探している所見の集中を生み出します。

Eastgate Softwareは、ISO 27001、ISO 9001、IEC 62443-4-1認証デリバリー、規制対象データ取り扱いのリファレンスアーキテクチャ、CPS 230とCPS 234の証拠要件に沿った文書パックを持つ戦略的エンジニアリングパートナーとしてオーストラリアFSIクライアントをサポートします。文書化されたエンジニアリングパートナーシップがAPRA規制対象デリバリーにどのように適合するかを理解するには、ANZソリューション概要をご覧いただくか、エンジニアリングリーダーシップとの探索的な会話を始めてください。

APRA CPS 230とCPS 234の下では、今日選択するエンジニアリングパートナーは今後10年間の規制姿勢の一部です - それに応じて選んでください。