Name: ICTプロバイダーのためのDORA対応 - 何をすべきか？ (DORA compliance for ICT Providers - What Do You Need to Do?)
Uploaded: 2024-07-27T09:44:33.000Z
Duration: 58 min 31 s

法助動詞 A2

I hope you can all hear me see me and see my presentation.

皆さんに私の声を聞いていただき、私のプレゼンテーションを見ていただければと思います。

to 不定詞

So we are going to have a this afternoon we're going to go through talk about DORA compliance for ICT providers, what you need to do, what you need to know, some of the key things you need to think about, need to understand and what DORA is, how it's affecting things, all these all these wonderfully interesting topics.

そこで今日の午後は、ICTプロバイダーのためのDORAコンプライアンスについて、何をすべきか、何を知っておく必要があるか、DORAとは何か、DORAが物事にどのような影響を及ぼすのか、DORAについて考え、理解する必要がある重要な事柄について、これらの素晴らしく興味深いトピックについてお話しします。

So we will start off in a couple of minutes.

I'm going to ask you to be a bit interactive and respond to a few questions because it's going to be useful for me to to understand who I've got on the call etc.

この通話に参加している人たちを理解するのに役立つと思うので、少し双方向的になってもらって、いくつかの質問に答えてもらおうと思う。

僕の名前はアンドリュー・パターソンだ。

I'm the head of GRC consultancy for IT Governance Europe and I've been working in GRC for probably it's near the 30 years and 20 years anyway, probably quite a lot closer to 30 years and 20 years.

私はITガバナンス・ヨーロッパでGRCコンサルタントの責任者を務めており、GRCの仕事に携わって30年、20年といったところでしょうか。

私はISACAの認定トレーナーです。

I have a master's in information systems management which was quite a long time ago but we weren't just looking at advocacies we were looking at proper IT even then.

私は情報システム管理の修士号を持っているが、それはかなり昔のことで、当時から私たちはアドボカシーだけでなく、適切なITにも目を向けていた。

I'm the SME within the group in things like NIS, NIS2 which as we may know is a directive, things like cybersecurity framework 27001, SIS 18, ECC which is a Saudi Arabian standard and DORA.

私はグループ内で、NISやNIS2といった指令、サイバーセキュリティ・フレームワーク27001、SIS18、サウジアラビアの規格であるECC、DORAなどのSMEを担当しています。

I've worked in lots and lots of sectors over the years.

私は長年、さまざまな部門で働いてきた。

That's just a few examples of some of the areas I've been helping people affected with DORA for around the last 12 months, helping them to get ready for the deadline which we'll talk about when that is a bit later.

これは、私がこの12ヶ月の間、DORAの影響を受けている人たちを支援してきた分野のほんの一例です。

I'm also the author of a DORA, a guide to the DU Digital Operationals Resilience Act and it's very much that book is a practical guide about what you need to do about it.

私はまた、DUデジタル・オペレーショナル・レジリエンス法（DU Digital Operationals Resilience Act）の手引書であるDORAの著者でもあり、この本はそのために何をすべきかを実践的に解説している。

It's not particularly legalistic, it's about how you develop and implement an ISMS that will meet the requirements of DORA.

特に法律論的なものではなく、DORAの要求事項を満たすISMSをどのように策定し、実施するかということです。

So just a couple of little slides here about who we are, IT Governance.

ここで、私たちITガバナンスがどんな会社なのか、少しスライドをお見せしましょう。

You've obviously heard of us before because you're sitting on this webinar but we've been in the industry for over 20 years, 12,000 clients, we work globally.

このウェビナーに参加されている皆さんは、私たちのことをご存知でしょうが、私たちはこの業界で20年以上の実績があり、12,000社のクライアントを持ち、グローバルに活動しています。

The big area of people more familiar with us is in 27001 and GDPR and everything but when you start looking at DORA, 27001 is an incredibly useful vehicle for helping you to deal with what is required out of DORA.

27001やGDPRなど、私たちになじみの深い分野は多岐にわたりますが、DORAを検討し始めたとき、27001はDORAで要求されることに対処するための非常に有用な手段です。

It talks about the same sort of things, there's a different emphasis in some areas but we'll go through that.

同じようなことが書かれているが、いくつかの部分で強調するところが違う。

So that's who we are, we've worked with all of these different people, we've got 1300 projects in ISO, we've got our cyber essentials and we've got our governance and risk tool called cyber comply which has got almost two and a half thousand people customers using it globally.

私たちはさまざまな人々と協力し、ISOで1300のプロジェクトを立ち上げ、サイバー・エッセンシャルズを開発し、サイバー・コンプライアンスというガバナンス・リスク・ツールを開発しました。

You can see all the information on there, just a little thing on the slides, you will be given access to a slide pack because some of the slides have got quite a lot of detail on them and probably more useful if you come back and read them later because I will not be reading every single line on every slide, I'll be talking around them.

スライドに書かれている情報はすべて見ることができますし、スライドパックにもアクセスすることができます。

If you're familiar with Net Promoter Scores, that's our things like that over the last whatever you've had to do.

ネット・プロモーター・スコア（Net Promoter Scores）をご存じなら、過去にあなたがしなければならなかったことは何であれ、私たちのそのようなものです。

So this is where we're going to ask you to do a little bit of interaction and voting and it'll give me a little bit idea about who's on the call and maybe I will make sure I mention a few things which are specific to those requirements.

そこで、ここで皆さんにちょっとした交流と投票をしていただくことになります。そうすれば、誰がこのコールに参加しているのかが少しわかるでしょうし、その要件に特化したことをいくつか挙げておくことになるかもしれません。

So the first question we'd like you to respond to is this one, what is your role in the DORA compliance decision making process?

DORAのコンプライアンス決定プロセスにおけるあなたの役割は何ですか？

So you've got the choice of this, I am a key decision maker, I influence decisions but I'm not the final decision maker, I am gathering information for my team.

私は重要な意思決定者であり、意思決定に影響を与えるが、最終的な意思決定者ではない。

So you should get the option there to respond to that question.

だから、その質問に答えるオプションがあるはずだ。

So I'll give you a little bit of time to do that.

だから、少し時間をあげよう。

It's like waiting for the the results of Eurovision.

ユーロビジョンの結果を待つようなものだ。

Okay then, so we've got a few decision makers on there and then it's split between people influencing the decision maker and I'm gathering for the team.

決定権者が数人いて、その決定権者に影響を与える人たちと、私がチームのために集まっている。

So it's pretty much your most most of you are finding out more information etc and all that sort of stuff.

だから、君たちのほとんどは、より多くの情報などを見つけているんだ。

Okay the next question, what is your timeline for implementing DORA?

では次の質問ですが、DORAの導入スケジュールを教えてください。

We might have a different response at the end of the webinar on this one.

この件に関しては、ウェビナーの終わりにはまた違った反応があるかもしれない。

Within the next three months, in four to six months, beyond six months or no timeline set?

今後3カ月以内、4～6カ月後、6カ月後以降、あるいは時期は未定か？

So if you can respond to the questions there.

そこで質問に答えてくれるかな。

Okay we'll wait for a couple of more responses on that.

それについては、もう少し返答を待つことにしよう。

Okay then, so most of you are talking about probably something in beyond six months.

それじゃあ、ほとんどの人が半年以上先のことを話しているんだね。

それよりも早く話すならいいよ。

Next question, what type of support does your organization need most for DORA compliance?

次の質問ですが、DORAに準拠するために、あなたの組織はどのようなサポートを最も必要としていますか？

So compliance software solutions, consultancy and advisory services, training and education, and so on and so forth.

つまり、コンプライアンス・ソフトウェア・ソリューション、コンサルタントおよびアドバイザリー・サービス、トレーニングおよび教育などなどだ。

Okay, so what type of support do you need most for DORA?

では、DORAにはどのようなサポートが最も必要ですか？

So if you could give us your response on that.

では、それについてお答えいただけますか？

Okay, so on this we've got a pretty much a split, we could be almost across the three areas on that.

さて、この件に関しては、私たちは3つの分野にほぼまたがっている可能性があります。

And now the last question, has your organization allocated a budget for DORA compliance solutions?

さて、最後の質問ですが、あなたの組織はDORAコンプライアンス・ソリューションに予算を割り当てていますか？

はい、専用の予算があります。

予算はまだ割り当てられていない。

Just a few more moments and then we'll close that poll.

もう少ししたら、この投票を締め切ります。

Okay then, so mainly no budget allocated yet and a few people have got a budget under consideration, but actually you need to be able to show that you have budgets for cyber security etc.

では、主にまだ予算が割り当てられておらず、何人かが予算を検討中とのことですが、実際にはサイバーセキュリティなどの予算があることを示す必要があります。

だから、それについて話そう。

So a couple of things, you will see that you've got the ability to ask questions.

だから、いくつか質問することができる。

If you put questions in there, we'll have some time at the end of the webinar for me to respond to those questions.

質問を書き込んでいただければ、ウェビナーの最後に私が質問に答える時間を設けます。

So if anything comes to mind as we're going through, please put them up.

だから、もし何か思いついたら、それを載せてほしい。

Also, just to remind you, you do actually get a CPD point for this, so you will get a certificate for that.

また、念のためお伝えしておきますが、CPDポイントを取得することができます。

It's always useful for your professional development, do a few webinars and you can make inroads into the amount you need to get through the year.

ウェビナーを数回こなせば、1年を乗り切るのに必要な額を稼ぐことができる。

So we're going to go through several of the topics and again some of the slides are quite detailed and you'll have access to them.

これからいくつかのトピックを見ていくが、スライドはかなり詳細なものなので、そちらをご覧いただきたい。

後で読むことになるかもしれない。

So it's all about trying to explain to you what DORA is and how we're particularly looking at it, what it means for third party suppliers.

つまり、DORAとは何か、私たちは特にDORAをどのように見ているのか、それがサード・パーティ・サプライヤーにとって何を意味するのかを説明しようということです。

So we'll go through all these different things and we will talk to them some in more detail than others.

だから、いろいろなことに目を通し、いくつかのことについてはより詳しく話していくつもりだ。

So what's DORA got to do with ICT third party suppliers?

では、DORAとICTサードパーティ・サプライヤーとの関係は？

Now DORA is the Digital Operational Resilience Act.

現在のDORAはデジタル・オペレーショナル・レジリエンス法である。

So to understand that, that means that it without need to go through parliaments, it's not a directive.

つまり、議会を通さなくてもいいということだ。

So it doesn't have to go through 27 parliaments and be approved.

だから、27の議会を通過して承認される必要はない。

And it's very specific in what it says needs to be covered by the regulation.

そして、規制の対象とする必要があるものが非常に具体的に書かれている。

And they talk about financial entities and they describe what a financial entity is.

そして、彼らは金融機関について語り、金融機関とは何かを説明している。

規制されているものなら何でもいいんだ。

Few exceptions etc and all that, but basically anything.

例外などほとんどないが、基本的には何でもある。

And then on the last line, it goes ICT third party suppliers.

そして最後の行には、ICTサード・パーティ・サプライヤーとある。

So if you supply into a financial entity, which is in the European Union, you're going to be covered by DORA, okay.

つまり、欧州連合（EU）域内の金融機関に供給する場合は、DORAの適用を受けることになります。

Even if you're not in the European Union, okay.

欧州連合（EU）に加盟していなくても、大丈夫だ。

So if you're an ICT third party supplier and you're supplying into a financial entity in the European Union, you're covered by it.

つまり、もしあなたがICTのサードパーティサプライヤーで、EU内の金融機関に供給しているのであれば、この規制の対象となります。

If you're a large organization, which is supplying services to a part of your organization, which is in the European Union, okay, you have to comply with the requirements of DORA.

もしあなたが大組織で、EU域内にある組織の一部にサービスを供給しているのであれば、DORAの要件に従わなければなりません。

So if you're sitting there thinking, all right, so who's that?

だから、もしあなたがそこに座って、よし、あれは誰だ？

This is not a definitive list, but this is because it doesn't actually say in there, what is an ICT third party supplier, but it builds up and gives you some sort of ideas on this.

これは決定的なリストではないが、実際にはICTサード・パーティ・サプライヤーとは何かということは書かれていないからだ。

So it's people who are impacted, people who are delivering services.

つまり、影響を受けるのは人々であり、サービスを提供する人々なのだ。

And it is specifically where I'll talk about on the next slide in more detail is that supporting critical important functions, right, or services that the financial entity provides.

具体的には、次のスライドで詳しくお話ししますが、金融機関が提供する重要な機能をサポートすることです。

So there's a quick list there of some of the things.

So if you actually look at it, it's very broad on what they mean by an ICT third party supplier.

そのため、ICTサード・パーティ・サプライヤーが何を意味するのか、実際に見てみると非常に幅広い。

So, you know, GIC risk management providers, collaborative tool providers, desktop service providers, IT service providers, SOC service providers.

つまり、GICリスク管理プロバイダー、コラボレーション・ツール・プロバイダー、デスクトップ・サービス・プロバイダー、ITサービス・プロバイダー、SOCサービス・プロバイダーなどだ。

So if you're working with a financial entity and you're providing any ICT services, you're probably going to be covered by the requirements of DORA.

したがって、金融機関と連携してICTサービスを提供している場合は、おそらくDORAの要件に従うことになるでしょう。

And what do I mean by covered by the requirements of DORA?

DORAの要件が適用されるとはどういう意味ですか？

The next slide gives you a bit of a feel for how the structure works and why it's important to think about where you are.

次のスライドでは、どのような構造になっているのか、そしてなぜ現在地について考えることが重要なのかを少し感じていただきたい。

So this is a nice little, nice and colourful pyramid.

だからこれは、小さくて素敵でカラフルなピラミッドなんだ。

そして、それは感覚を与えてくれる。

So at the top, we've got the EU Parliament, we've got the European Central Bank, we've got the supervisory authorities, the member states, they need to be enforcing this and making sure this happens.

つまり、EU議会、欧州中央銀行、監督当局、加盟国、彼らがこれを施行し、確実に実施する必要があるのです。

And then they have things in their countries called national competent authorities.

そして、各国には国内所轄官庁と呼ばれるものがある。

These are the guys who are going to make sure that financial entities are doing what they need to do with DORA.

彼らは、金融機関がDORAでやるべきことをやっているかどうかを確認する人たちだ。

And the financial entity needs to make sure that you're doing what they need to ensure that they are going to comply with DORA.

そして金融機関は、DORAを遵守するために必要なことをしているかどうかを確認する必要がある。

So much so that DORA specifies certain things that need to be in the contractual requirements while dealing with third parties.

そのため、DORAは第三者と取引する際の契約要件として、ある一定の事項を定めている。

And when you get into that particular, some of And if you think about it, if you've got third parties working for you who are providing your services to you, which is central to the services that you're providing a financial entity, you're going to have to manage your third party supply chain as well.

また、金融機関に提供するサービスの中心である、サービスを提供するサード・パーティを雇っている場合、サード・パーティのサプライ・チェーンも管理しなければなりません。