金融機関にみられるポストコロナの新しい世界観

パンデミック対策は、BCPで想定すべきリスクの一つである。ただし、他の災害との差異に着目した上で、人的リソースのバックアップを中心とした対策を検討することが肝要となる。自然災害、人為的災害（テロなど）、技術的災害（システム障害など）など、企業を取り巻くリスクは種々あるものの、主たる対応としては、いずれも物質的リソースへの直接の対策が大部分を占めることだろう。

ここでいう物質的リソースとは、耐震補強、システムなどの二重化、ファイアーウォールの強化、入退室や郵便物などの怪しいヒトやモノの出入りのチェック、非常用発電装置の設置…などが挙げられよう。ただし、新型感染症による災害は、こういった物質的リソースへの影響がほぼなく、対策の多くは人的リスクの分散や軽減をはじめとした人的リソース対策となることを念頭におく必要がある。

また、大地震などの自然災害とパンデミックとでは、事象発生から通常運用への復帰に至る過程が大幅に異なることとなる（図１）。企業では、こうした点を意識しながら、業務継続計画を立案する必要があるのだ。

金融機関として、パンデミック災禍の中でやるべき行動をいかに定義すべきなのかを考えてみよう。我が国の政府が公表する行動計画、基本的対処方針とよばれる具体的な手続き、さらにはかつての新型インフルエンザの流行時に日本銀行が公表したガイドラインに基づけば、金融機関は継続すべき最低限の業務を「預貯金の払い戻し」に絞り込んだうえで、業務を縮小・休止し、従業員に対しては在宅勤務の活用を、利用者に対しては、非対面取引（ATMやネットバンキング）の活用を促すよう求めていることがわかる（図２）。

既に国内では、新型コロナウィルスに感染する金融機関職員も発生するなかで、営業店の現場でも感染症への対応が進捗しつつある。新型感染症対策としては、緊急時における行動手順をBCPの一部として念入りに定義しておく必要があることは言うまでもない。その際には、政府の感染症対策を念頭に、強毒性ウィルス発生時、弱毒性ウィルス発生時、といった二系統に分化した手順を用意しておくことが肝要だ。

また、政府公表の感染症流行フェーズに対応し、発生段階に応じたフェーズ分けでの対応も欠かせない。具体的には、対面系業務を営業店の店頭、店内ATM、店外ATMとわけたうえで、各フェーズで継続すべき業務を示すとともに、「どのフェーズで通常業務を休止すべきか」を明確にしておくことが必要だ。

対象となる業務については、「必須業務」と「重要業務」に峻別することができる。必須業務は「国内での感染が拡大しても、継続させる業務」であり、感染拡大時には業務量を縮小することで対応するものが挙げられる。例えば、預金取引（含むATM操作）、事業性貸付（実行、審査）、個人ローン（実行、審査）、内国為替（ATM、インターネット・バンキング）、手形交換、給与関連等が該当するだろう。

他方の重要業務では、国内での感染初期段階において、業務範囲を縮小のうえ継続させるものの、感染拡大時には休止する業務と考えることができる。対象としては、預金取引（店頭）、事業性貸付（契約変更）、個人ローン（契約変更）、内国為替（店頭）、投資信託等が挙げられよう。重要なのは、対面となる店頭業務は大幅縮小したとしても、店内ATMや貸付の実行は死守しよう、といった発想を持つことである。

また、休業する職員が多発することを想定すれば、バックアップ要員の確保のほか、育児中の職員の就業支援策の検討も欠かせない。とりわけバックアップ要員の確保においては、属人的なスキルの棚卸、暗黙知となっている手順のドキュメント化、日頃からの教育の実施、といった活動も平時の備えとして有効となる。

なお、金融機関に特化した要件以外では、多くが一般事業会社に求められる要件と何ら差異はない。事業者間や社員間でのコミュニケーションツールの導入や連絡手続きの定義は必要だ。テレワークに移行するにしても、こうしたツールがなければ、企業としての意思決定の遅延を招きかねず、事業継続もかなわない。

これまで健全とされてきた銀行借入れに縁のない財務的な優良企業の一角が、目先の業績悪化への対応として銀行借入れに踏み切るケースが続出している。こうした顧客については、コロナ騒動が一段落した段階で元の業績に回帰することも大いに予見されることから、新たな優良顧客の発掘という点においてのみ、プラス面を見出すことができよう。

金融機関財務への影響は不確実性が高い。ただし、これまで不良債権問題処理に注力してきた結果、融資先は健全性の高い企業が中心であるほか、既存の融資先企業の業績悪化への対処方針が政府レベルで示された場合、相応の支援も見込めることから、その影響は一時的なものにとどまる可能性がある。

他方、政府は、現下の著しい企業側キャッシュ不足への対応として、危機対応融資を政府系金融機関ばかりでなく民間金融機関にも要請している。このため、場合によっては必ずしも優良とは言えない新規顧客への資金供給を通じて、将来的に新たな不良債権を抱え込むリスクが生まれつつある点には注意が必要である。

さらに、古い体質の金融機関や地域金融機関の中には、初めてテレワークに踏み切る、といった例もみられている。そこで利用するウェブ会議システムなどのデジタルツールの中には、必ずしもセキュリティ要件が高度に実装されているとはいえないものも多々存在している。したがって、金融機関はテレワークや本支店間での情報連携場面におけるデジタル化ツールを利用した顧客情報のやり取りなどにおけるセキュリティ上の課題を改めて認識する必要があろう。

目先で金融機関が求められているのは、危機対応融資としての企業向け融資対応である。新型コロナウィルスでは対面での取引に支障をきたす可能性が高いため、電話やオンラインを通じた顧客要望の吸い上げが必要である。加えて、飲食店や観光関連産業など、今まさにキャッシュが枯渇し疲弊しつつある企業が続出しており、融資稟議の短期間化とこれを実現するための本店機能の営業店への大胆な権限移譲が緊急対応として求められている。危機対応として、通常時における事細かなチェックではなく、外形的な要件を満たしていることが確認できれば速やかに稟議を通す、といった柔軟な対応も、こと緊急時においては容認されるとみるべきだ。

また、業務委託先などのパートナー企業における事業継続上に課題が存在しないか、といった点でのチェックも重要であるだろう。少人数対応を与儀なくされている小規模なパートナー企業においては、特定社員が新型コロナウィルスに感染し、職場から離脱しただけでも事業継続がなされない可能性があるためだ。こうしたパートナー企業における事業継続の脆弱性の有無については速やかに点検を進めるべきであろう。

金融機関としては、ヒトが不足する場面の想定も必要だ。とりわけ、金融機関のリソースのなかでも「ヒト」がボトルネックとなることを念頭においたリスクアセスメントを中心に、点検を進めるべきである。例えば、3名しかいない営業店で支店長が新型コロナウィルスに感染した場合、代替機能をいかに発揮すべきか（支店長のかわりを誰が務めるのか、支店長の作業を誰が代替するか）といった点検が急務である。

緊急時においては、通常のルールを一部逸脱した行動を余儀なくされる場面もあるし、容認されるものと解釈される。改めて緊急時対応に実行すべき本来必要とされる業務とはなにか、といった面での点検は急務となっている。

顧客企業が疲弊するなか、将来を見据えた対応が重要だ。先行きも同様のリスクにさらされる場合も念頭に、リスクアペタイト・フレームワーク（RAF）^※1への対応が欠かせない。筆者は、顧客リスクの低減をも念頭においた取組としての新たなモデルを「モディファイドRAF」として定義している。^※2モディファイドRAFの概念を説明しよう。

まず、あらかじめ顧客をとりまくリスクアセスメントを実施したうえで、重要性の高いリスクを特定する。顧客における当該リスク発現時に、その経営への影響をいかに矮小化することができるかを検討し、例えば顧客向けローンにおけるヘッジ機能（デリバティブ商品などの組み込み）の組み込みや保険商品の提案などにより影響度を矮小化する取り組みを行うといったことが考えられる。

RAFは多くの金融機関において自行庫のリスクコントロールの一環として検討が進んでいるものの、このように顧客リスクへの目配りによる顧客企業の業績悪化封じ込め策にも転用することが可能であり（これがモディファイドＲＡＦの概念）、ひいては間接的に被むるであろう金融機関側の業績への影響の矮小化にも寄与することが期待できる。

例えば、パンデミックリスクの対象となる特定感染症が大規模に流行し、当該感染症の災禍が営業地域をおそうケースを想定する。政府が緊急事態宣言を発令した場合、自行庫がいかなる金銭的損失を甘受せねばならないのか？といった視点で、自行庫が短期的に被る一次被害額と営業継続が困難となる期間を考慮した逸失利益（機会損失）を算出する。他方、営業エリアの顧客が被るであろう金銭的損失も簡便的に算出することが大切だ。

この場合、緊急事態宣言が発令された結果、営業エリア内の融資先企業のどの程度がどのぐらいの期間に亘って営業停止を余儀なくされるか、といった視点で自行庫と同様の試算を行えばよい。このように、モディファイドRAＦの概念を持ち込んだパンデミックリスク対応においては、「自行庫」に加え「顧客」の視点でのリスク評価が欠かせない。

次に、事前に対応すべき自行庫でのパンデミックリスク削減策を検討し、自行庫におけるリスクの矮小化に向けた取り組みを実施する。顧客に与える影響についても、例えばパンデミックに対応するようなヘッジ機能をローン性商品に組み込むことで、顧客側の金銭的被害を矮小化するような取り組みを推進する、といった手法が有効な施策の一つとなることだろう。

今後は、企業間での情報連携の在り方が大きく変貌を遂げる可能性がある。例えば、これまで対面で実施してきたやりとりがウェブ上での連携に切り替わるのが当たり前の時代の中で、顧客情報や営業機密を保持するうえでのセキュリティの高度化が必須となる。そのため、従前よりも一層厳しい要件をパートナー企業にも課す必要があり、いわゆるサードパーティリスク対応の一環として、金融機関からみたパートナー企業の選別が進んでいくものと思われる。また、金融機関はそれを推進すべきである。なお、このところ金融庁でもサードパーティリスク対応に注力しており、今後はホットイシュー化していくものと思料される。

金融機関の重要なカウンターパートとなりつつあるフィンテック企業をみてみると、非対面でのビジネスモデルを標ぼうしている企業が多いことから目先のビジネスモデルには大きな影響はないかもしれない。むしろ、これまでデジタル化投資を見送ってきた企業がデジタル化投資に踏み切ったり、新たなデジタルツールの導入を推進しようとしていることから、フィンテック企業は事業機会の面ではメリットを享受するだろう。

他方で、これまで突き詰められて検証されてこなかったフィンテック企業における「サイバーセキュリティの脆弱さ」に焦点があたる可能性が高い。とりわけ、少人数運営で特定技術を担いで起業したり、組織運営そのものが効率性至上主義となっているフィンテック企業においては、セキュリティの高度化要求に関する感度の低い経営者も少なからず存在している。

これまで以上にテレワークやデジタル決済などが指向される風潮の中、大企業を中心に、利用するデジタルツールなどにおける厳しいセキュリティ要件が課せられるようになろう。その場合、フィンテック企業がそれまでの有意性を一気に失う可能性も否めない。

コロナ騒動が一段落した後、改めて、業務の中身の点検が必要となるだろう。そのうえでは、コロナ騒動の中で中止・簡素化した業務を中心に「本来必要な業務であるのかどうか」といった面での業務のアセスメントが推進されるべきだ。この過程で、一層の業務のスリム化が進み、将来的に金融機関が筋肉質の経営体制に転換するきっかけとなるものと想像される。

その際には、内部での意思決定システムの多重化、遠隔地化への対応が必須となる。従前であれば、本店に経営トップも中間層もいる中で、ほぼ対面での情報エスカレーションや意思決定メカニズムが機能していたものと拝察される。今後は、経営層が出勤せずとも、あるいは経営層が出社できない環境に置かれた場合でも同様の機能を実現するための代替機能の定義が必要となる。

電子決済などのリモートツールのほか、テレワークや取引先とのウェブ会議などが多様化されるであろう将来においては、電子化ツールに潜むリスクを矮小化することも必要であり、一層のサイバーセキュリティの高度化が欠かせない。そのためには、新たなツール導入時のセキュリティアセスメントが重要であり、アセスメントを実施するためのパートナー企業の選定や、金融機関におけるアセスメント作業の内部化に向けた対応が必要となるだろう。