欧州の金融機関は、欧州銀行監督機構(EBA)、欧州証券市場監督機構(ESMA)、および欧州保険・職域年金監督機構(EIOPA)が共同でまとめた報告書によれば、デジタル・オペレーショナル・レジリエンス法(DORA)のもとで、2025年にデジタル関連の重要なICT(情報通信技術)関連インシデントを3,383件報告した。これらの結果は、新しいDORAの報告枠組みにおいて、業務停止、システム障害、サイバー・インシデントが欧州の金融セクター内でどのように広がるかを示す、最初期の大規模データセットの一つを意味する。監督当局は、このデータが、DORAは2025年1月に施行され、欧州の金融システム全体でICTリスクの報告義務を整合させることを導入した結果、金融システムが共通基盤、外部の技術提供者、相互接続されたデジタル・サービスにますます依存するようになっていることを示していると述べた。
銀行等の信用機関が報告されたICTインシデントの60%超を占めた
信用機関は報告されたすべてのインシデントの60%超を占め、一方で決済会社が残りの16%を占めた。監督当局は、この集中が銀行業務や決済の構造的な弱さを必ずしも示すものではないとしつつ、代わりに、そうした分野が高度にデジタル化され、顧客に直結していること、またPSD2に基づく既存の報告義務があることを反映していると述べた。
インシデントの3分の1が発祥国の外へ広がった
データは、業務上の混乱がますます国境を越えるようになっていることを示した。インシデントの約3分の1が、発祥した国の外へ広がっており、同時に10か国以上に影響したのはおよそ8%だった。監督当局は、この傾向は、共通の技術提供者、共通インフラ、多国籍なビジネスモデルへの依存が増えていることに結び付くとした。本報告書は、過去2年間に決済、取引インフラ、銀行システムで相次いだ注目度の高い複数の大規模障害を受け、欧州の監督当局がオペレーショナル・レジリエンスの監視を強めているタイミングで公表された。
システム障害は報告されたケースの51%を占めた
システム障害は、報告されたインシデントの中で最大の区分であり、報告された全ケースの51%を占めた。外部事象はさらに27%であり、決済関連のインシデントは18%に達した。サイバーセキュリティ関連のインシデントは全体の10%だった。監督当局は、サイバーセキュリティ・インシデントの割合が相対的に低いのは、既存の防護策や検知システムが成功する攻撃を抑え込んでいることを示している可能性があると述べた。同時に、本報告書は、今後数年でますます高度化するAI主導のサイバー・ツールが脅威環境を変え得ると警告した。
サイバー・インシデントの内訳では、分散型サービス拒否(DDoS)攻撃が報告された事象の33%を占め、一方でデータの持ち出し(exfiltration)と改ざんが31%を占めた。信用機関は、決済、デジタル・バンキング、大規模な顧客データ処理における役割のため、こうした攻撃の集中度が最も高かった。
第三者提供者の障害が主要インシデントの29%の発端だった
主要インシデントの約29%は、ICTベンダー、インフラ運用者、委託サービス提供者を含む第三者提供者に関わる障害に起因していた。監督当局は、この結果が、単一の提供者におけるオペレーショナル障害が、複数の金融機関や管轄地域に急速に波及し得ることを示していると述べた。本報告書は、多くの金融機関が、決済、コア・バンキング、接続サービスに関して共通インフラに依存している点を指摘した。場合によっては、同じ提供者に複数の機関が依存していたため、単一の障害が多数の別個のインシデント報告を生み出していた。
TARGET2の障害とイベリア半島の停電が2025年の業務を混乱させた
2025年の業務停止(オペレーショナル・アウトエイジ)には、報告件数の増加につながったいくつかの大規模な出来事が含まれていた。本報告書は、特に2025年2月のTARGET2障害を挙げており、これは数時間にわたり証券決済と決済処理を混乱させた。また、2025年4月のイベリア半島の大規模停電は、複数の分野にわたる業務に影響を与えた。
インシデントの3分の2は限定的な顧客への混乱を引き起こした
インシデント数は多いものの、監督当局は、大半の混乱が下流への被害を限定していたとした。インシデントの約3分の2は、顧客や取引への混乱をまったく引き起こさなかったか、あるいは1,000件未満の顧客または取引にしか影響しなかった。影響が100万件を超える取引に及んだのは、インシデントのわずか1%にとどまった。本報告書は、迅速な検知と封じ込めの措置が、波及効果を抑える上で中心的な役割を果たしたと述べている。機関は一般に、より長期の是正措置(モニタリングの高度化、テストの改善、システム設定変更など)を導入する前に、即時の技術的介入によってインシデントを安定化させた。
金融上の相手方も、多くのインシデントから比較的防護されていたように見える。欧州の金融システムが相互接続を強めているにもかかわらず、ある他の金融機関に影響したのは18%未満だった。監督当局は、これは部分的には、機関やインフラ運用者の間で既に導入されている防護策によるものだとした。
監督当局はDORAの最初の1年で報告の不整合を特定した
本報告書は、DORA導入の最初の年において、分野や管轄地域ごとに報告実務に不整合があったことを強調した。2025年に通知されたインシデントのうち約15%は、2026年2月の締切日までに最終報告書が提出されていなかったため、分析から除外された。一方、提出の約93%は品質チェックを通過し、最終データベースに登録された。ESAsは、DORA導入が成熟するにつれて、追加の監督上の連携と報告の標準化が引き続き優先事項であり続けるとした。監督当局は、インシデント分析の精緻化と、欧州の金融システム全体でのデータ比較可能性の向上を継続する計画だ。
本調査結果は、オペレーショナル・レジリエンスが世界の金融市場における決定的な規制テーマの一つになっている中で公表された。過去2年間で、欧州、英国、米国の監督当局は、インフラの集中リスク、クラウドへの依存、サイバー・レジリエンス、テクノロジー・ガバナンスに関する重点を、ますます強めてきた。大規模な金融機関は現在、障害が国境を越えて、相手方や決済システムに数分で急速に広がり得る環境で運営している。DORAのデータセットは、欧州の監督当局が、オペレーショナル・レジリエンスを狭い意味でのサイバーセキュリティの問題ではなく、インフラ設計、委託(アウトソーシング)の集中、そしてデジタル相互依存に結び付いたより広範なシステム安定性の課題として、ますます捉えるようになっていることを示唆している。
本報告書はまた、金融サービスの近代化と並行して、オペレーショナル・リスクがどのように進化しているかも示している。モバイルバンキング、即時決済、アルゴリズム取引、デジタル・アセット、埋め込み型ファイナンスは、取引量の増加と、業界全体におけるインフラの複雑性を引き続き高めている。その成長は、機関が強固なサイバーセキュリティ基準を維持している場合でも、業務上の混乱が発生する確率を高めることになる。金融事業者にとっては、第三者の監督を強化し、重要な提供者を分散させ、インシデント封じ込めの能力を高めることへの圧力が高まる可能性がある。監督当局にとっては、本報告書が、今後数年にわたり欧州の金融セクターがDORAのオペレーショナル・レジリエンスの枠組みにどのように適応するかを測るための早期のベンチマークを提供している。
よくある質問(FAQ)
DORAのもとで、欧州の金融機関は2025年に何を報告したのですか?
欧州の金融機関は、欧州銀行監督機構(EBA)、欧州証券市場監督機構(ESMA)、および欧州保険・職域年金監督機構(EIOPA)による共同報告書によれば、デジタル・オペレーショナル・レジリエンス法(Digital Operational Resilience Act)のもとで2025年に3,383件の主要なICT関連インシデントを報告した。
ICTインシデントのうち、第三者提供者の障害に由来する割合はどれくらいですか?
規制当局の報告書によれば、主要インシデントの約29%が、ICTベンダー、インフラ運用者、委託サービス提供者などを含む第三者提供者に関わる障害に起因していた。
2025年に欧州で発生した主要な業務停止(オペレーショナル・アウトエイジ)は何ですか?
本報告書は特に、2025年2月のTARGET2障害に言及しており、これは数時間にわたり証券決済と決済処理を混乱させた。また、2025年4月のイベリア半島の停電は、複数の分野にわたる業務に影響を与えた。
