4|サイバーリスク
金融セクターの大手企業は重要なインフラを運用しているため、サイバー攻撃に対して特に脆弱である。
攻撃の手法は多様であり、人工知能や量子コンピューティングなどの新しい技術のおかげで、常にさらに発展している。
重大な運用上又はセキュリティ上のインシデントが決済サービスや重要なアウトソーシング契約に影響を与える場合は、BaFinに報告する必要がある。2024年、BaFinは329件の支払い事故報告を受けた。これは、例年に比べて報告数が大幅に増加したことを示している。リスクを最小限に抑えるため、BaFinは2024年に信用機関、決済サービス・ロバイダー、保険会社のITシステムに対する調査を強化した。深刻な欠陥が特定された場合は、資本追加を課した。
DORA(デジタル・オペレーショナル・レジリエンス法)
5は、2025年1月17日から適用されている。EUの新しいDORAは、金融機関のサイバーレジリエンスに対してより厳しい要件を課している。BaFinは2024年1月にこれに関する広範な作業を実施した。
BaFinはまた、ドイツの国家サイバー防衛センターの活動に参加し、他の国内外の当局と緊密に協力した。BaFinは、金融セクターの一部の企業、ドイツ連邦銀行、ドイツ連邦財務省、BSI(連邦情報セキュリティ庁)と協力して、2日間のサイバー危機演習を実施し、ドイツの金融システムが深刻なサイバー攻撃に協調してどのように対応できるかを検証した。
(参考)「BaFinが注目するリスク2025」での記述
「深刻な結果をもたらすサイバーインシデントによるリスク」に関する記述の中で、保険会社については、以下のように述べられている。
DORAに基づくICTインシデントに関する新たな報告義務
DORAは、全ての金融会社における重大なICT(情報通信技術)インシデントの報告システムを統合するものである。銀行や決済サービス・プロバイダーに加え、保険会社や投資会社、そしてDORAの適用対象となるその他の全ての金融会社も、 ICTインシデントを報告する義務がある。
このリスクに対するBaFinのアプローチとして、「企業はサイバーリスクに対する保険加入を増やしている。BaFinは、サイバー保険契約の現状をより深く把握するため、保険会社に対しサイバー保険契約の発展状況に関する調査を実施する。これは、企業が将来の規制当局への報告に備えることにもつながる。」と述べている。
5|トレンド:進行中のデジタル化
新しいテクノロジーは金融セクターに機会を提供する一方で、AIモデルのバイアス、大手テクノロジープロバイダーへの依存、金融安定性に対する潜在的な脅威などのリスクを抱えている。
金融セクターの企業では、AI(人工知能)、特に生成AIの利用が増えており、これはバリューチェーン全体に言えることとなっている。生成AIの利用に関する多くのイニシアティブは、まだテストやパイロット段階にある。2024年、BaFinは金融セクターでのAI、特に生成AIの利用に焦点を当て、リスクをより適切に評価できるようにした。
金融サービスセクターでも、リスク管理やポートフォリオの最適化などの分野で、様々な実用化の可能性が既に研究されている。量子コンピューティングのブレークスルーは、金融セクターにリスクをもたらす。量子コンピューターは従来の暗号方式を解読できるため、企業は今すぐこの進展に備える必要がある。
BaFinはまた、ドイツの金融セクターに対するオープンファイナンスの意味と、オープンな金融データが金融セクターと監督に与える影響について分析している。
EUの新しいMiCAR(暗号資産市場規制)に該当する金融商品の監視にも備えており、BaFinは、2024年6月から一部のトークンの発行体を、2024年12月から暗号証券サービス事業者を監督している。
(参考)「BaFinが注目するリスク2025」での記述
トレンドの中の「デジタル化」に関する記述の中で、保険会社についてAIは、以下のように述べられている。
銀行や保険会社は、マネーロンダリングや詐欺の検知、バックオフィス業務において、従来型のAIとML(機械学習)を既に活用している。一例として、保険会社が保険金請求処理に用いる「ダークプロセッシング」が挙げられる。リスク管理の分野では、AIとMLはデータ処理やリスクモデルの検証にますます活用されている。
このリスクに対するBaFinのアプローチとして、「BaFinは、監督対象機関のAI及びMLへの対応に関する現在の慣行と計画を分析する。その結果に基づき、最新の期待を伝え、これらの技術の利用に伴うリスクを評価する。」と述べている。
6|トレンド:持続可能性
気候・環境リスクは、2024年も引き続き金融セクターの課題であった。特に、異常気象などの気候変動特有の影響に起因する物理的な気候リスクは、巨額の金銭的損失や人的被害をもたらし、銀行の貸出ポートフォリオ又は保険会社の損失額に影響を及ぼす可能性がある。また、グリーンウォッシングリスクは、機能している金融市場に対する投資家の信頼に大きなリスクをもたらし続けている。
金融システムの安定性を確保するためには、これらのリスクを十分に考慮する必要がある。企業は、変化する環境にビジネスモデルを適応させ、気候・環境リスクに対するレジリエンスを強化する必要がある。
2024年、BaFinは、金融セクターの企業が気候・環境リスクに一層配慮することを奨励するため、様々な措置を講じた。具体的には、特にリスクにさらされる可能性のある銀行や保険会社に対する監督を強化し、監督上のストレステストをさらに発展させた。例えば、LSIのストレステストでは、補足的な定性的質問票にESG(環境・社会・ガバナンス)要因に関する質問を含めた。2024年も特に、リスク管理の一環として、データの質の向上と気候・環境リスクの適切な評価方法の開発に重点を置いている。
開示と報告の重視
もう一つの焦点は、SFDR(サステナブルファイナンス開示規則)
6の実施状況の見直しだった。最も頻繁に発見されたことの1つは、商品やサービスの持続可能性への影響に関して公表されている情報が必ずしも理解しやすいとは限らないということだった。
BaFinはまた、CSRD(企業持続可能性報告指令)の新しい要件を監視するために専門知識を拡大した。国内法に移行されれば、この指令は企業によるより包括的で比較可能な持続可能性報告につながる。
BaFinは、SFDRのさらなる発展に関する欧州の議論に積極的に参加し、関連委員会で専門知識を共有した。その目的は、持続可能な金融商品とサービスのための、簡素化され、分かりやすく、統一された基準を作成し、グリーンウォッシングを防ぐことにある。
(参考)「BaFinが注目するリスク2025」での記述
トレンドの中の「持続可能性」に関する記述の中で、保険会社については、以下のように述べられている。
気候リスク:2つの経路による影響
気候変動は物理的リスクを通じて金融セクターに影響を及ぼしている。これらのリスクは、異常気象など、気候変動特有の影響から生じる。物理的リスクは莫大な経済的損失や人的被害をもたらし、例えば銀行の融資ポートフォリオや保険会社の損失額に影響を及ぼす可能性がある。地球温暖化の進行などの要因により、物理的リスクは増加傾向にある。これは2024年秋にスペインで発生した壊滅的な降雨と洪水によって最近実証された。
一方、気候変動は移行リスクという形で影響を与える。社会的な要件、気候政策の決定、そして技術革新の変化によって、市場価格の急激な調整が生じる可能性がある。具体的な例としては、建物のエネルギー性能に対するより高い要件を定めたドイツ建築エネルギー法の改正が挙げられる。これらの要件は、不動産の評価、ひいては不動産ローン事業における担保としての価値に影響を及ぼす可能性がある。
銀行や保険会社の様々な優先事項
LSIsに対して実施したストレステスト、及びLSIsと保険会社が気候リスクの財務的影響にどのように対処しているかについて、BaFinが2024年に実施した調査によると、保険会社は主に物理的リスクに重点を置いていると述べている。これは、自然災害による保険金請求がここ数年増加傾向にあるという実証的な証拠と一致している。保険会社はまた、資本投資の観点において移行リスクが特に重要であると考えていることも示している。銀行とは対照的に、保険会社の自己評価では、物理的リスクが主要なリスクの種類に重大な影響を与えると一般的に考えられている。
BaFinは監督において物理的リスクをより重視している
BaFinは、ドイツ金融市場における物理的リスクを徹底的に分析した。例えば、異常気象、サプライチェーンへの依存、信用リスクと市場リスクの集中により特にリスクが高い銀行や保険会社を選定し、分析を行った。BaFinの調査結果によると、監督対象企業は持続可能性リスクの管理において概ね進歩を遂げている。しかしながら、依然として改善の余地が残っている。
課題としては、物理的な気候リスクに関するより詳細なデータの統合と処理が挙げられる。例えば、銀行や保険会社は、個々の自然災害を評価するために、複数の情報源に頼らなければならない。特に銀行はこの点においてまだ初期段階にあり、現在はデータ基盤の構築に注力している。融資の際に用いられるESGスコアの中には、情報価値が比較的低いものもある。
銀行と保険会社は、特に不動産融資や担保物件の自然災害からの保護といった分野において、リスク移転を通じて密接に結びついている場合がある。リスク状況は変化しており、過去のデータの価値は限られているため、気候リスクの発生確率や潜在的損失、さらには将来の保険適用可能性を評価することは依然として困難である。具体的には、銀行はしばしばリスクを保険会社や再保険会社に移転する。保険会社は、リスクを資本市場に転嫁することもある。このような場合、最終的に誰がリスクを負うのかを把握することは困難となる。BaFinの観点からは、監督対象事業体は、銀行や保険会社を含め、短期的には多額のコストにつながる可能性のある物理的リスクに幅広く対処する必要がある。
このリスクに対するBaFinのアプローチとして、「BaFinは2025年も引き続き物理的リスクについてより深く対処していく。また、第3回サステナブルファイナンス会議などの場で議論するために、LSIsと保険会社に対する調査結果を発表する予定である。」と述べている。
7|トレンド:地政学的混乱
地政学的緊張は、世界経済に対する脅威を増大させている。エネルギー価格の上昇、サプライチェーンの問題、サイバー攻撃などは、その影響の一部に過ぎない。さらに、自由貿易と共通のルールに基づく世界の安全保障と経済秩序のシステムは、ますます困難になっている。これにより、地政学的な不確実性と緊張が高まっている。ドイツは、輸出に重点を置き、国際的な相互接続性が高いため、地政学的なショックに対して特に脆弱である。
金融部門は、直接的及び間接的に影響を受ける。サイバー攻撃は企業に直接打撃を与える可能性がある。金融部門の企業への間接的な影響は、経済環境の悪化と金融市場のボラティリティの増大に起因する。
2024年、BaFinは、地政学的事象の結果としてドイツの企業と銀行に生じる可能性のあるリスクを分析した。政治的不確実性の影響を特に受けやすい特定の地域やセクターの企業に融資を行うことに特に重点を置いた。
(参考)「BaFinが注目するリスク2025」での記述
トレンドの中の「地政学的混乱」に関する記述の中で、保険会社については、以下のように述べられている。
このリスクに対するBaFinのアプローチとして、「BaFinは引き続き地政学的状況を注視し、ドイツ経済への潜在的な影響と監督対象事業体への波及効果を調査する。例えば、BaFinは、特定の監督対象事業体による融資が、困難な地政学的状況(例えば、戦争や危機、テロ事件、制裁措置、市場アクセス制限措置、バリューチェーンの重大な混乱等)の影響を受ける特定の地域、企業、又は産業に集中しているかどうかを評価する。」と述べている。