概要

英財務省は2026年7月13日、Microsoft Ireland Operations Limited、Google Cloud EMEA Limited、Amazon Web Services EMEA SARL、Oracle Corporation UK Limitedの4社を金融セクターの「Critical Third Parties(CTP、重要第三者)」に指定した。これに伴い、イングランド銀行、健全性規制機構(PRA)、金融行動監視機構(FCA)による直接監督が同日付で開始された。銀行や保険会社がクラウドサービスへの依存を強める中、主要サプライヤーの障害が複数の金融機関に同時に波及する「一点故障(single point of failure)」リスクを国家的な課題として捉え、これに対応する新たな規制枠組みとなる。

規制の背景と目的

近年、金融業界はコア業務システムの運用基盤としてクラウドサービスへの依存を急速に深めている。一方で、少数の大手クラウド事業者に処理が集中することで、そのいずれかで障害が発生した場合に、銀行・保険会社を横断して同時多発的な影響が及ぶ懸念が指摘されてきた。英政府は今回の規制導入により、こうした集中リスクを金融システム全体の安定性に関わる問題として位置付け、個別の金融機関任せではなく、クラウド事業者自体を監督対象に加える体制へと転換した。

規制当局の役割と具体的な要件

イングランド銀行、PRA、FCAの3機関は共同で、指定されたCTPに対する情報収集や業務の回復力(レジリエンス)評価を実施し、重要サービスの継続性に関わるリスクへの対応や、CTP固有の規則の策定・執行を担う。指定企業には、運用障害を特定・管理・復旧するための堅牢な体制の構築が求められる。ただし、規制当局による監督範囲はあくまで金融セクター向けに提供されるサービスに限定されており、クラウド事業者を全面的に規制するものではない。また、個々の金融機関が第三者リスクを管理する責任は引き続き各社に残る点も明確にされている。

関係者の反応と今後の見通し

Rachel Blake経済相(MP)は、金融システムへの信頼維持が英国の金融セクターの成功に不可欠だと強調した。指定を受けた各社もそれぞれ対応を表明しており、Microsoftは完全なコンプライアンスを、Google Cloud・AWS・Oracleは規制当局への協力姿勢を示している。政府は今後、金融安定性に対するリスク評価に基づき、対象企業を段階的に追加する可能性も示唆しており、クラウド事業者への監督強化は今回の4社にとどまらない広がりを見せる見通しだ。