ICTプロバイダーのためのDORA対応 - 何をすべきか？ (DORA compliance for ICT Providers - What Do You Need to Do?)

字幕表動画を再生する

AI 自動生成字幕

Good afternoon everybody.

皆さん、こんにちは。
I hope you can all hear me see me and see my presentation.

皆さんに私の声を聞いていただき、私のプレゼンテーションを見ていただければと思います。
So we are going to have a this afternoon we're going to go through talk about DORA compliance for ICT providers, what you need to do, what you need to know, some of the key things you need to think about, need to understand and what DORA is, how it's affecting things, all these all these wonderfully interesting topics.

そこで今日の午後は、ICTプロバイダーのためのDORAコンプライアンスについて、何をすべきか、何を知っておく必要があるか、DORAとは何か、DORAが物事にどのような影響を及ぼすのか、DORAについて考え、理解する必要がある重要な事柄について、これらの素晴らしく興味深いトピックについてお話しします。
So we will start off in a couple of minutes.

では、数分後に始めます。
I'm going to ask you to be a bit interactive and respond to a few questions because it's going to be useful for me to to understand who I've got on the call etc.

この通話に参加している人たちを理解するのに役立つと思うので、少し双方向的になってもらって、いくつかの質問に答えてもらおうと思う。
So first of all who am I?

まず、私は誰なのか？
Very good question.

とてもいい質問だ。
So my name is Andrew Paterson.

僕の名前はアンドリュー・パターソンだ。
I'm the head of GRC consultancy for IT Governance Europe and I've been working in GRC for probably it's near the 30 years and 20 years anyway, probably quite a lot closer to 30 years and 20 years.

私はITガバナンス・ヨーロッパでGRCコンサルタントの責任者を務めており、GRCの仕事に携わって30年、20年といったところでしょうか。
I'm a certified ISACA trainer.

私はISACAの認定トレーナーです。
I have a master's in information systems management which was quite a long time ago but we weren't just looking at advocacies we were looking at proper IT even then.

私は情報システム管理の修士号を持っているが、それはかなり昔のことで、当時から私たちはアドボカシーだけでなく、適切なITにも目を向けていた。
I'm the SME within the group in things like NIS, NIS2 which as we may know is a directive, things like cybersecurity framework 27001, SIS 18, ECC which is a Saudi Arabian standard and DORA.

私はグループ内で、NISやNIS2といった指令、サイバーセキュリティ・フレームワーク27001、SIS18、サウジアラビアの規格であるECC、DORAなどのSMEを担当しています。
I've worked in lots and lots of sectors over the years.

私は長年、さまざまな部門で働いてきた。
That's just a few examples of some of the areas I've been helping people affected with DORA for around the last 12 months, helping them to get ready for the deadline which we'll talk about when that is a bit later.

これは、私がこの12ヶ月の間、DORAの影響を受けている人たちを支援してきた分野のほんの一例です。
I'm also the author of a DORA, a guide to the DU Digital Operationals Resilience Act and it's very much that book is a practical guide about what you need to do about it.

私はまた、DUデジタル・オペレーショナル・レジリエンス法（DU Digital Operationals Resilience Act）の手引書であるDORAの著者でもあり、この本はそのために何をすべきかを実践的に解説している。
It's not particularly legalistic, it's about how you develop and implement an ISMS that will meet the requirements of DORA.

特に法律論的なものではなく、DORAの要求事項を満たすISMSをどのように策定し、実施するかということです。
So just a couple of little slides here about who we are, IT Governance.

ここで、私たちITガバナンスがどんな会社なのか、少しスライドをお見せしましょう。
You've obviously heard of us before because you're sitting on this webinar but we've been in the industry for over 20 years, 12,000 clients, we work globally.

このウェビナーに参加されている皆さんは、私たちのことをご存知でしょうが、私たちはこの業界で20年以上の実績があり、12,000社のクライアントを持ち、グローバルに活動しています。
The big area of people more familiar with us is in 27001 and GDPR and everything but when you start looking at DORA, 27001 is an incredibly useful vehicle for helping you to deal with what is required out of DORA.

27001やGDPRなど、私たちになじみの深い分野は多岐にわたりますが、DORAを検討し始めたとき、27001はDORAで要求されることに対処するための非常に有用な手段です。
It talks about the same sort of things, there's a different emphasis in some areas but we'll go through that.

同じようなことが書かれているが、いくつかの部分で強調するところが違う。
So that's who we are, we've worked with all of these different people, we've got 1300 projects in ISO, we've got our cyber essentials and we've got our governance and risk tool called cyber comply which has got almost two and a half thousand people customers using it globally.

私たちはさまざまな人々と協力し、ISOで1300のプロジェクトを立ち上げ、サイバー・エッセンシャルズを開発し、サイバー・コンプライアンスというガバナンス・リスク・ツールを開発しました。
You can see all the information on there, just a little thing on the slides, you will be given access to a slide pack because some of the slides have got quite a lot of detail on them and probably more useful if you come back and read them later because I will not be reading every single line on every slide, I'll be talking around them.

スライドに書かれている情報はすべて見ることができますし、スライドパックにもアクセスすることができます。
So that's that sort of thing.

そういうことなんだ。
If you're familiar with Net Promoter Scores, that's our things like that over the last whatever you've had to do.

ネット・プロモーター・スコア（Net Promoter Scores）をご存じなら、過去にあなたがしなければならなかったことは何であれ、私たちのそのようなものです。
So this is where we're going to ask you to do a little bit of interaction and voting and it'll give me a little bit idea about who's on the call and maybe I will make sure I mention a few things which are specific to those requirements.

そこで、ここで皆さんにちょっとした交流と投票をしていただくことになります。そうすれば、誰がこのコールに参加しているのかが少しわかるでしょうし、その要件に特化したことをいくつか挙げておくことになるかもしれません。
So the first question we'd like you to respond to is this one, what is your role in the DORA compliance decision making process?

DORAのコンプライアンス決定プロセスにおけるあなたの役割は何ですか？
So you've got the choice of this, I am a key decision maker, I influence decisions but I'm not the final decision maker, I am gathering information for my team.

私は重要な意思決定者であり、意思決定に影響を与えるが、最終的な意思決定者ではない。
So you should get the option there to respond to that question.

だから、その質問に答えるオプションがあるはずだ。
So I'll give you a little bit of time to do that.

だから、少し時間をあげよう。
It's like waiting for the the results of Eurovision.

ユーロビジョンの結果を待つようなものだ。
So a few more moments.

だから、もう少しだけ。
Okay then, so we've got a few decision makers on there and then it's split between people influencing the decision maker and I'm gathering for the team.

決定権者が数人いて、その決定権者に影響を与える人たちと、私がチームのために集まっている。
So it's pretty much your most most of you are finding out more information etc and all that sort of stuff.

だから、君たちのほとんどは、より多くの情報などを見つけているんだ。
That's brilliant, thank you very much.

ありがとうございます。
Okay the next question, what is your timeline for implementing DORA?

では次の質問ですが、DORAの導入スケジュールを教えてください。
We might have a different response at the end of the webinar on this one.

この件に関しては、ウェビナーの終わりにはまた違った反応があるかもしれない。
Within the next three months, in four to six months, beyond six months or no timeline set?

今後3カ月以内、4～6カ月後、6カ月後以降、あるいは時期は未定か？
So if you can respond to the questions there.

そこで質問に答えてくれるかな。
Okay we'll wait for a couple of more responses on that.

それについては、もう少し返答を待つことにしよう。
Okay then, so most of you are talking about probably something in beyond six months.

それじゃあ、ほとんどの人が半年以上先のことを話しているんだね。
Okay if you speak quicker than that.

それよりも早く話すならいいよ。
Okay thank you for that.

ありがとう。
Next question, what type of support does your organization need most for DORA compliance?

次の質問ですが、DORAに準拠するために、あなたの組織はどのようなサポートを最も必要としていますか？
So compliance software solutions, consultancy and advisory services, training and education, and so on and so forth.

つまり、コンプライアンス・ソフトウェア・ソリューション、コンサルタントおよびアドバイザリー・サービス、トレーニングおよび教育などなどだ。
Okay, so what type of support do you need most for DORA?

では、DORAにはどのようなサポートが最も必要ですか？
So if you could give us your response on that.

では、それについてお答えいただけますか？
A few more seconds.

あと数秒。
Okay, so on this we've got a pretty much a split, we could be almost across the three areas on that.

さて、この件に関しては、私たちは3つの分野にほぼまたがっている可能性があります。
So thank you very much for that.

本当にありがとう。
And now the last question, has your organization allocated a budget for DORA compliance solutions?

さて、最後の質問ですが、あなたの組織はDORAコンプライアンス・ソリューションに予算を割り当てていますか？
Yes, we have a dedicated budget.

はい、専用の予算があります。
Budget is under consideration.

予算は検討中。
No budget allocated yet.

予算はまだ割り当てられていない。
Just a few more moments and then we'll close that poll.

もう少ししたら、この投票を締め切ります。
Okay then, so mainly no budget allocated yet and a few people have got a budget under consideration, but actually you need to be able to show that you have budgets for cyber security etc.

では、主にまだ予算が割り当てられておらず、何人かが予算を検討中とのことですが、実際にはサイバーセキュリティなどの予算があることを示す必要があります。
So we'll talk about that.

だから、それについて話そう。
So a couple of things, you will see that you've got the ability to ask questions.

だから、いくつか質問することができる。
If you put questions in there, we'll have some time at the end of the webinar for me to respond to those questions.

質問を書き込んでいただければ、ウェビナーの最後に私が質問に答える時間を設けます。
So if anything comes to mind as we're going through, please put them up.

だから、もし何か思いついたら、それを載せてほしい。
Also, just to remind you, you do actually get a CPD point for this, so you will get a certificate for that.

また、念のためお伝えしておきますが、CPDポイントを取得することができます。
It's always useful for your professional development, do a few webinars and you can make inroads into the amount you need to get through the year.

ウェビナーを数回こなせば、1年を乗り切るのに必要な額を稼ぐことができる。
So we're going to go through several of the topics and again some of the slides are quite detailed and you'll have access to them.

これからいくつかのトピックを見ていくが、スライドはかなり詳細なものなので、そちらをご覧いただきたい。
You may be going to read those later.

後で読むことになるかもしれない。
So it's all about trying to explain to you what DORA is and how we're particularly looking at it, what it means for third party suppliers.

つまり、DORAとは何か、私たちは特にDORAをどのように見ているのか、それがサード・パーティ・サプライヤーにとって何を意味するのかを説明しようということです。
So we'll go through all these different things and we will talk to them some in more detail than others.

だから、いろいろなことに目を通し、いくつかのことについてはより詳しく話していくつもりだ。
So what's DORA got to do with ICT third party suppliers?

では、DORAとICTサードパーティ・サプライヤーとの関係は？
Now DORA is the Digital Operational Resilience Act.

現在のDORAはデジタル・オペレーショナル・レジリエンス法である。
It's a regulation.

これは規則だ。
So to understand that, that means that it without need to go through parliaments, it's not a directive.

つまり、議会を通さなくてもいいということだ。
So it doesn't have to go through 27 parliaments and be approved.

だから、27の議会を通過して承認される必要はない。
And it's very specific in what it says needs to be covered by the regulation.

そして、規制の対象とする必要があるものが非常に具体的に書かれている。
And they talk about financial entities and they describe what a financial entity is.

そして、彼らは金融機関について語り、金融機関とは何かを説明している。
It's anything which is regulated, okay.

規制されているものなら何でもいいんだ。
Few exceptions etc and all that, but basically anything.

例外などほとんどないが、基本的には何でもある。
And then on the last line, it goes ICT third party suppliers.

そして最後の行には、ICTサード・パーティ・サプライヤーとある。
So if you supply into a financial entity, which is in the European Union, you're going to be covered by DORA, okay.

つまり、欧州連合（EU）域内の金融機関に供給する場合は、DORAの適用を受けることになります。
Even if you're not in the European Union, okay.

欧州連合（EU）に加盟していなくても、大丈夫だ。
So if you're an ICT third party supplier and you're supplying into a financial entity in the European Union, you're covered by it.

つまり、もしあなたがICTのサードパーティサプライヤーで、EU内の金融機関に供給しているのであれば、この規制の対象となります。
If you're a large organization, which is supplying services to a part of your organization, which is in the European Union, okay, you have to comply with the requirements of DORA.

もしあなたが大組織で、EU域内にある組織の一部にサービスを供給しているのであれば、DORAの要件に従わなければなりません。
So if you're sitting there thinking, all right, so who's that?

だから、もしあなたがそこに座って、よし、あれは誰だ？
Does that affect me?

それは私に影響するのか？
This is not a definitive list, but this is because it doesn't actually say in there, what is an ICT third party supplier, but it builds up and gives you some sort of ideas on this.

これは決定的なリストではないが、実際にはICTサード・パーティ・サプライヤーとは何かということは書かれていないからだ。
So it's people who are impacted, people who are delivering services.

つまり、影響を受けるのは人々であり、サービスを提供する人々なのだ。
And it is specifically where I'll talk about on the next slide in more detail is that supporting critical important functions, right, or services that the financial entity provides.

具体的には、次のスライドで詳しくお話ししますが、金融機関が提供する重要な機能をサポートすることです。
So there's a quick list there of some of the things.

簡単なリストがある。
So if you actually look at it, it's very broad on what they mean by an ICT third party supplier.

そのため、ICTサード・パーティ・サプライヤーが何を意味するのか、実際に見てみると非常に幅広い。
So, you know, GIC risk management providers, collaborative tool providers, desktop service providers, IT service providers, SOC service providers.

つまり、GICリスク管理プロバイダー、コラボレーション・ツール・プロバイダー、デスクトップ・サービス・プロバイダー、ITサービス・プロバイダー、SOCサービス・プロバイダーなどだ。
So if you're working with a financial entity and you're providing any ICT services, you're probably going to be covered by the requirements of DORA.

したがって、金融機関と連携してICTサービスを提供している場合は、おそらくDORAの要件に従うことになるでしょう。
And what do I mean by covered by the requirements of DORA?

DORAの要件が適用されるとはどういう意味ですか？
The next slide gives you a bit of a feel for how the structure works and why it's important to think about where you are.

次のスライドでは、どのような構造になっているのか、そしてなぜ現在地について考えることが重要なのかを少し感じていただきたい。
So this is a nice little, nice and colourful pyramid.

だからこれは、小さくて素敵でカラフルなピラミッドなんだ。
And it just gives you a feel.

そして、それは感覚を与えてくれる。
So at the top, we've got the EU Parliament, we've got the European Central Bank, we've got the supervisory authorities, the member states, they need to be enforcing this and making sure this happens.

つまり、EU議会、欧州中央銀行、監督当局、加盟国、彼らがこれを施行し、確実に実施する必要があるのです。
And then they have things in their countries called national competent authorities.

そして、各国には国内所轄官庁と呼ばれるものがある。
These are the guys who are going to make sure that financial entities are doing what they need to do with DORA.

彼らは、金融機関がDORAでやるべきことをやっているかどうかを確認する人たちだ。
And then you have the financial entity.

そして、金融機関がある。
And the financial entity needs to make sure that you're doing what they need to ensure that they are going to comply with DORA.

そして金融機関は、DORAを遵守するために必要なことをしているかどうかを確認する必要がある。
Okay.

オーケー。
So much so that DORA specifies certain things that need to be in the contractual requirements while dealing with third parties.

そのため、DORAは第三者と取引する際の契約要件として、ある一定の事項を定めている。
And when you get into that particular, some of And if you think about it, if you've got third parties working for you who are providing your services to you, which is central to the services that you're providing a financial entity, you're going to have to manage your third party supply chain as well.

また、金融機関に提供するサービスの中心である、サービスを提供するサード・パーティを雇っている場合、サード・パーティのサプライ・チェーンも管理しなければなりません。
And this is one of the very key things.

これは非常に重要なことのひとつだ。
It's about improving resilience and operational resilience, not just within the financial entity, but within that supply chain, because there is an understanding of weakness.

金融機関内だけでなく、サプライチェーン内でもレジリエンスとオペレーショナル・レジリエンスを向上させることだ。
And that more comes on to what we talk on the next section.

そしてそれは、次のセクションで話すことにつながっていく。
So why does DORA exist and what is it?

では、なぜDORAが存在し、DORAとは何なのか？
Okay.

オーケー。
So this slide is the sort of slide, but when you've got it back and you can zoom it up, but it gives you the, you know, it's about a risk, systemic risk across financial services in the European Union.

このスライドは、EUの金融サービス全体のシステミック・リスクに関するものです。
We all know that with, I mean, I'm old enough to remember when, you know, you had to be physically on a, in front of a machine with a cable coming out the back of it in the same building to get access to things.

私たちは皆、そのことを知っている。つまり、私は、同じビル内にある、ケーブルが背面から出ているマシンの前に物理的にいなければアクセスできなかった時代を覚えているほど古い人間なんだ。
And we don't work in that world anymore.

そして、私たちはもうそのような世界では働いていない。
We've got 24 seven access.

24時間いつでもアクセスできる。
Everything is interrelated.

すべては相互に関連している。
So there's so much interconnectivity within all sectors and within financial services that if you get a problem somewhere, it's multiple countries.

そのため、あらゆるセクターや金融サービスにおいて相互接続性が非常に高く、どこかで問題が起きれば、それは複数の国に及ぶことになる。
So it's about building up and understanding this, where the resilience is, because, you know, it's so important that these functions from financial services operate.

つまり、金融サービスのこれらの機能が機能することが非常に重要なのだ。
That's basically how economies don't work.

経済がうまく機能しないのは基本的にそういうことだ。
Okay.

オーケー。
And if you're an ICT third-party supplier in that chain, it's very important for you meeting those requirements.

そして、もしあなたがそのチェーンにおけるICTサードパーティサプライヤーであるならば、これらの要件を満たすことが非常に重要だ。
So what was the key things and what they were talking about when they were developing this?

では、これを開発する際に重要なこと、彼らが話していたことは何だったのだろうか？
DOOR sets out a harmonized approach to digital operational resilience across the EU's financial sector.

DOORは、EUの金融セクター全体におけるデジタル・オペレーショナル・レジリエンスの調和されたアプローチを定めている。
So everybody has to do it.

だから誰もがやらなければならない。
Okay.

オーケー。
Level playing field.

公平な競技場。
It's not like somebody in one legislation doesn't have to do the same.

ある法律で誰かが同じことをしなくてもいいというわけではない。
It's why it's a regulation and not a directive, because it doesn't need to go through national law or national parliaments.

国内法や国内議会を通過する必要がないため、指令ではなく規則となっているのだ。
This is what people need to do.

これこそ、人々に必要なことなのだ。
And it's been around since 22.

22年からあるんだ。
Okay.

オーケー。
It's not just like appeared recently.

最近登場したようなことだけではない。
Okay.

オーケー。
It's been around since December 2022.

2022年12月からある。
And it harmonizes, removes, you know, certain directives, etc.

そして、特定の指令などを調和させたり、削除したりする。
As it's a regulation, it supersedes the requirements of the NIST directive and NIST 2.

これは規則であるため、NIST指令およびNIST 2.の要求事項に優先する。
And it sets out certain things expected by financial entities.

そして、金融機関に期待される一定の事項を定めている。
And this will be new for many service providers.

そして、これは多くのサービス・プロバイダーにとって新しいことだろう。
Okay.

オーケー。
So you may be doing some of these things, but this is not a tick box.

だから、あなたはこれらのことをやっているかもしれないが、これはチェックボックスではない。
Okay.

オーケー。
This is about operational resilience.

これは作戦の回復力に関するものだ。
So this is about financial entities being able to provide their services when bad things are happening to them.

つまり、これは金融機関が自分たちに不都合なことが起こったときに、サービスを提供できるようにするためのものだ。
Okay.

オーケー。
I describe it in one simple way, and we'll go into more detail of this, is if you think about incident management, business continuity, and disaster recovery, which you all probably do, but the volume's turned up on it, it's taking it to the next level.

インシデント管理、事業継続、ディザスターリカバリーについて考えてみると、おそらく皆さんもそうだと思いますが、そのボリュームを大きくすることで、次のレベルに引き上げているのです。
Okay.

オーケー。
And it's definitely not tick box.

そして、それは間違いなくティックボックスではない。
You have to do things.

やらなければならないことがある。
And they're very specific in what they require.

そして、彼らが要求するものは非常に具体的だ。
So the regulation covers certain things.

だから、このレギュレーションは特定のものを対象としている。
So ICT risk management, everything is driven by risk.

だからICTのリスク管理は、すべてがリスクによって動いている。
What are the risks to the organization?

組織にとってのリスクは何か？
What are we doing about this?

私たちはこの件に関して何をしているのか？
And this is any type of organization.

そして、これはどのようなタイプの組織にも言えることだ。
It's very specific in what they need to do about incident reporting.

インシデント報告について、彼らが何をしなければならないか、非常に具体的に書かれている。
So the financial entity has to report about incidents to the competent authorities if they're happening.

だから金融機関は、もし事故が起きたら管轄当局に報告しなければならない。
You as an ICT third party service provider need to make sure that you are sharing with your financial entity, the correct information in that regard as well.

ICTサードパーティ・サービス・プロバイダーとして、金融機関と正しい情報を共有していることを確認する必要がある。
What testing have you got in place?

どのようなテストを実施していますか？
You know, so it is, you might have some nice plans, but if they don't test it, they don't exist.

いいプランがあっても、テストしなければ存在しないんだ。
That's a nice sack of view of the world.

いい世界観のサックだね。
And that's a good view to have.

そして、それは良い見方だ。
Testing is so important.

テストはとても重要だ。
And when we mean testing, it doesn't mean, you know, you go and pull the plug out the back of things and see what happens.

テストといっても、プラグを抜いてどうなるかという意味ではない。
But if you've got DR site, have you tested it all over?

しかし、もしDRサイトをお持ちなら、それをくまなくテストしましたか？
Are you doing tabletop exercises?

卓上練習をやっているか？
You know, are you doing this?

こんなことをやっているのか？
There is again, in there about information sharing.

その中にまた、情報共有について書かれている。
It's only a small part of it about how organizations can share information.

組織が情報を共有する方法については、ほんの一部に過ぎない。
It's particularly in there, but if they want to share information about threats and intelligence, they're not falling foul of competition laws and all that sort of stuff.

特にそうだが、脅威や諜報に関する情報を共有したいのであれば、競争法やそういったものに抵触することはない。
But one of the big things in there is how they manage their third parties.

しかし、その中で大きなことのひとつは、サードパーティーをどのように管理しているかということだ。
Instant, you know, ICT service providers about dealing with the risks involved in that.

即座に、ICTサービス・プロバイダーはそのリスクへの対応について説明する。
And if we look at it, it requires, so further technical requirements will set out.

さらに技術的な要件も定められている。
So we've got DORA and there's additional technical requirements called in regulatory technical standards, which go into more detail on things and they are being published and approved.

DORAがあり、さらに規制技術基準と呼ばれる追加の技術的要件がある。
So you have to require the DORA requirements and then the regulatory technical standards.

つまり、DORAの要件と規制の技術基準を要求しなければならない。
They're giving guidance on things like risk tools, you know, and in there they're getting very specific things about what should be in certain policies.

リスクツールのようなものについてのガイダンスがあり、そこでは特定のポリシーに何を盛り込むべきかについて非常に具体的なことが書かれているんだ。
Okay.

オーケー。
If you're familiar with certain standards, they don't necessarily tell you what you've got to have in policies, but you've got to, you've got to do something.

もしあなたがある基準に精通しているなら、その基準は必ずしもあなたがポリシーで何を持たなければならないかを教えてはくれないが、あなたは何かをしなければならない。
Things about classification of instance.

インスタンスの分類に関すること。
So there's guidance on that.

だから、それについてのガイダンスがある。
There's also requirements for third parties to share the contractual information or the financial entity, sorry, have to share the, tell their competent authority who their ICT third party suppliers are and going into the contractual stuff and all that sort of thing.

また、第三者が契約情報を共有したり、金融機関がICTサードパーティのサプライヤーを所轄官庁に報告したり、契約書やその他もろもろの情報を共有したりする必要があります。
So, so lots of detail in there.

だから、そこにはたくさんのディテールがある。
And there's a lot of stuff in DORA of telling the competent authorities or the national regulatory bodies, how they work with the other national regulation bodies.

DORAには、所轄官庁や各国の規制機関が、他の国の規制機関とどのように協力するかということがたくさん書かれている。
Again, this is all about level playing field.

繰り返しになるが、これは公平な競争条件のためだ。
Everybody's doing the same thing, better understanding of risks and threats and what's happening, increased speed and understanding of what is happening with incidents, all those sorts of things.

リスクや脅威、何が起きているのかをよりよく理解し、インシデントが起きていることをより速く理解する。
So there's, there's a huge amount of detail in there.

だから、そこには膨大なディテールがあるんだ。
So key dates.

だから重要な日程だ。
So the regulation entered force on the 16th of January, 2023, and it will apply from the 17th of January, 2025.

この規則は2023年1月16日に発効し、2025年1月17日から適用される。
So this means it's, it's going to apply.

つまり、これは適用されるということだ。
And for non-compliance, and if a problem happens, the regulation allows for large and dissuasive fines.

また、コンプライアンスに違反した場合、そして問題が起きた場合、規制は多額の、そして思いとどまらせるような罰金を科すことを認めている。
So you think about fines, you think about more what, what's happened with GDPR.

だから、罰金について考え、GDPRで何が起きたのか、さらに何を考える。
Financial entities are not doing what they're meant to do here.

金融機関はここで本来の役割を果たしていない。
And they have a problem.

そして、彼らには問題がある。
They're, they're, the competent authorities are going to, are going to start fining them.

主務官庁は罰金を科すつもりだ。
And that's the, an interesting thing when that happens.

そうなると面白いことになる。
I think it happened with GDPR.

GDPRの時もそうだったと思う。
Everybody took that very seriously when, when that all started kicking in.

それが始まったとき、みんな真剣に受け止めていた。
Okay.

オーケー。
So just remember that date, 17th of January, 2025.

2025年1月17日という日付を覚えておいてほしい。
So EU Act with global implications.

つまり、世界的な影響を及ぼすEU法なのだ。
So, so first of all, so it's European Union.

だから、まずはEUだね。
And so if anybody here is from the UK and a third party supplier, it affects you if you're supporting a financial entity in the European Union.

ここにいる英国出身者でサードパーティサプライヤーであれば、欧州連合（EU）内の金融機関をサポートしている場合、その影響を受けることになる。
It's also defined, and you see this a little bit with the European Union, you'll see it at the moment with the, the regulation on use of artificial intelligence and things like that.

また、欧州連合（EU）でも、人工知能の使用に関する規制などが定められています。
They, and also things like, things to do with the Euro privacy certification scheme.

また、ユーロ・プライバシー認証制度に関連することもある。
The EU is very much trying to set the agenda on these things and be the way that the rest of the world should go.

EUはこのようなことに関する議題を設定し、世界の他の国が進むべき道を示そうとしている。
And, you know, it's, it's, it's, it's, they're, they're quite, quite keen on that.

そして、彼らはそのことにとても熱心なんだ。
So it's going to affect anybody who works with financial entities in the, in the EU.

だから、EUの金融機関と仕事をする人なら誰でも影響を受けることになる。
Okay.

オーケー。
So it's, it's not just, just don't think about it.

だから、ただ単に、何も考えずにということではないんだ。
It's just those people inside.

中にいるのはそういう人たちだけだ。
So if you've got, if you are a third party supplier and you're outside the EU, but again, you're dealing with somebody in the European Union, you know, you are covered by this.

ですから、もしあなたがサードパーティのサプライヤーで、EU域外にいるとしても、EU域内の誰かと取引しているのであれば、この規制の対象となります。
And it specifically says you are in there in the regulation.

そして、その規定には具体的にこう書かれている。
It's about, you know, again, it's about dealing with systemic risk.

システミック・リスクに対処するためだ。
Okay.

オーケー。
So it's making sure that again, financial entities are doing all the things that you can reasonably do.

つまり、金融機関が合理的にできることをすべてやっているかどうかを確認することだ。
To reduce that risk.

そのリスクを減らすために。
Okay.

オーケー。
And that will include the services that you provide them.

そしてその中には、あなたが彼らに提供するサービスも含まれる。
And I mentioned this briefly, and this is a slide that the next, this next two slides, you can look at a little bit more detail yourself, but it's about making sure that there's joined up approach, you know, understanding how and where third parties sit in the supply chain.

これは、次のスライドで少し触れましたが、次の2枚のスライドで、もう少し詳しく見ていただけると思います。
And they are also have a view that what they're going to do as well.

そして、彼らもまた、自分たちが何をしようとしているのかを理解している。
So if you are a third party, say example, they're Microsoft, AWS, Google, they're actually going to view them on a EU wide level.

例えば、マイクロソフト、AWS、グーグルといったサードパーティの場合、彼らはEU全体のレベルでそれらを見ることになる。
So there's going to be a, an individual or person called a lead overseer, and they will be looking at the, their compliance at a EU point of view.

そのため、主監督と呼ばれる個人または人物が任命され、EUの観点からコンプライアンスを監視することになります。
Because if you imagine, you know, small organizations have no influence on the big IT players, et cetera.

というのも、想像してみてほしいのだが、小さな組織は大手のIT企業などには何の影響力もない。
And it's very important that they are taken into consideration.

そして、それらを考慮することは非常に重要だ。
Because if you think about it, those, if you just think about Microsoft and AWS, how much of the financial sector supply chain do they, do they actually impact on?

というのも、マイクロソフトやAWSについて考えてみると、金融業界のサプライチェーンにどれだけの影響を及ぼしているのだろうか？
And that's very important.

それはとても重要なことだ。
It will also imply to certain other suppliers who might not be that big, but potentially in the sector they supply into, they based on say the financial entities coverage.

また、それほど大きくはないかもしれないが、潜在的に供給しているセクターで、金融機関のカバレッジをベースにしているようなサプライヤーもいる。
So if you've got two financial entities in you're working with, and it's a specific part of the financial services, and you suddenly realize that those two financial entities cover 30% of the market, well, and you're supplying to both of them.

だから、もしあなたが2つの金融機関と取引をしていて、それが金融サービスの特定の部分であったとして、突然、その2つの金融機関が市場の30％をカバーしていることに気づいたとする。
If you've got a problem, you could be expecting, infecting or have an impact on 30% of that sector or that function or that service within the European Union.

問題が発生した場合、EU域内のその部門、その機能、そのサービスの30％に影響を及ぼす可能性がある。
So there's, there's lots and lots of things going on here.

だから、ここにはたくさんのことが起こっているんだ。
There is a slide a little bit there on understanding what the regulators do.

レギュレーターの仕事を理解するためのスライドが少しあります。
But if you see that on the bottom left hand slide, I think that gives you a feel.

でも、左下のスライドを見てもらえれば、雰囲気がわかると思う。
So you're going to have to be able to show the financial entities that you're meeting the requirements.

だから、要件を満たしていることを金融機関に示す必要がある。
So the financial entities can show that they are meeting the requirements.

そのため、金融機関は要件を満たしていることを示すことができる。
This is going to have a big impact on how third-party service providers impact or work with financial entities.

これは、サードパーティ・サービス・プロバイダーが金融機関に与える影響や金融機関との連携に大きな影響を与えるだろう。
It's probably going to mean that some third-party ICT providers are not going to want to deal with the financial entities.

サードパーティーのICTプロバイダーの中には、金融機関との取引を望まないところも出てくるだろう。
It means that if you're doing this well, you've got a really good, strong, competitive place to deal with more financial entities.

つまり、これがうまくいっていれば、より多くの金融機関と取引するための、実に優れた、強力な、競争力のある場所を手に入れたということだ。
And when you actually look at the requirements, it's not actually asking you to do anything too strange.

そして、実際に要求事項を見てみると、実はそれほど奇妙なことを要求しているわけではない。
It's probably asking you to turn the volume up on what you're doing.

おそらく、今やっていることの音量を上げるよう求めているのだろう。
But really, when you look at it, you should be doing this stuff anyway, you know, in the new world that we're working in.

でも、よく考えてみれば、僕らが働いている新しい世界では、こういうことをとにかくやるべきだよ。
The way that there are lots of threats out there, and there's lots of things we need to worry about, and there's lots of risks, and there's lots of things we need to do to counter them.

世の中にはたくさんの脅威があり、心配しなければならないことがたくさんあり、リスクがたくさんあり、それらに対抗するためにやらなければならないことがたくさんある。
So it could be very useful if you get this right.

だから、これがうまくいけば、とても便利なんだ。
So, January 2025.

だから、2025年1月だ。
So this is just the thing.

だから、これがちょうどいいんだ。
So the reality is that we expect that a lot of people are not going to be particularly conformant by the time they get to the 17th of January.

だから、1月17日になるまでに多くの人々が特に適合することはないだろうというのが現実だ。
If you are an ICT third-party supplier, you do have time, you know.

ICTのサード・パーティ・サプライヤーであれば、時間はあるものだ。
When we're asking you to have time, you've got, depending on how you count it, eight or nine months to get into place.

時間があると言っても、数え方にもよるが、8カ月か9カ月で体制を整えなければならない。
And you may be, if you're looking at it, and I'm helping people where I go in and do a gap assessment of where they are at the moment and where they need to be.

そして、もしあなたがそれを見ているのであれば、そうかもしれない。私は人々を助けるために、彼らが今いる場所とあるべき場所のギャップ評価をする。
And, you know, a lot of organizations might be doing some of this, or you've got to do a bit more, you've got to document a bit more, you need to be able to show, if required, that you're doing these things.

そして、多くの組織がこのようなことを行っているかもしれないし、あるいはもう少し文書化しなければならないかもしれない。
Financial entities are working from it.

金融機関はそれをもとに動いている。
They're trying to understand what their supply train is.

彼らは供給列車が何であるかを理解しようとしている。
They're trying to understand where their contracts are.

彼らは自分たちの契約がどこにあるのかを理解しようとしている。
Do not be surprised if financial entities are turning around and saying, right, we need to add additional things into your contracts with us, your service levels.

金融機関が振り返って、私たちとの契約やサービス・レベルに追加事項が必要だと言っても驚かないでほしい。
It's things like that your service level agreements and your contracts have to be in one document, you know.

サービス・レベル・アグリーメントと契約書は1つの文書にまとめる必要があるんだ。
There's certain things that if you do not meet the requirements of DORA, the financial entity can terminate the contract.

DORAの要件を満たさなければ、金融機関は契約を打ち切ることができる。
And how does it terminate?

どのように終了するのか？
What's the exit strategies?

出口戦略は？
How all those sort of things.

そういうことだ。
So there's quite a lot of things going on.

だから、いろいろなことが起こっているんだ。
We'll also discover that cyber breaches will happen and they will start to be reviewed within the terms of the DORA regulation.

また、サイバー侵害が起こり、DORA規制の範囲内で見直されるようになることも分かるだろう。
So it's pretty important there that you're in as good a position as possible.

だから、できるだけ良いポジションにいることが、そこではかなり重要なんだ。
And again, the key thing is in, it's going to be a bit like GDPR.

また、重要なのはGDPRのようなものになるということだ。
Until things start happening and they're enforcing them, we don't really know what's going to happen and how it's going to look.

物事が起こり始め、彼らがそれを実施するまでは、何が起こり、どのように見えるのか、本当のところはわからない。
So what do you need to do?

では、どうすればいいのか？
Some people, not a lot.

何人かはそうだが、多くはない。
Some people, a bit more.

もう少し多い人もいる。
So, you know, when you're looking at it, you know, we're looking at every work stream.

だから、あらゆる仕事の流れを見ているんだ。
So current cyber security, you know, keep out of trouble, you know, do your pen testing, do all the standard stuff you need to be doing.

つまり、現在のサイバーセキュリティは、トラブルに巻き込まれないようにすること、ペンテストを行うこと、やるべき標準的なことをすべて行うことだ。
You know, and hopefully if you are supplying to a financial entity, they'll come and told you and ask you what you need to do for them.

そして、もしあなたが金融機関に供給しているのであれば、その金融機関があなたに会いに来て、彼らのために何が必要かを尋ねてくるでしょう。
Because it's the financial entity needs to go and do that.

なぜなら、金融機関がそれを行う必要があるからだ。
Won't be the competent authority coming and talking to you.

権限のある当局が来て話をすることはない。
It's the financial entity needs to be going, this is going on.

金融機関が行く必要があるんだ。
We have decided that what you are doing is providing a support to a critical or important service.

私たちは、あなたのしていることが、重要な、あるいは重要なサービスをサポートしていると判断しました。
Yeah.

そうだね。
And that's what they focus on.

そして、それこそが彼らの焦点なのだ。
And we need to know that you're meeting these requirements.

そして私たちは、あなたがこれらの条件を満たしていることを知る必要がある。
And you probably need to sit down, kick off a program, you know, thinking about it.

そして、おそらく、腰を落ち着けて、プログラムを開始し、それについて考える必要があるだろう。
So you need to make sure that people are being trained.

だから、従業員が訓練されていることを確認する必要がある。
It requires training in a regulation.

レギュレーションに沿ったトレーニングが必要だ。
Okay.

オーケー。
Training up to this point for in cyber or operational resilience has always just been a good thing to do.

サイバーやオペレーショナル・レジリエンスに関するここまでのトレーニングは、常にやっておくに越したことはない。
Maybe a requirement of a standard or like 27,001.

もしかしたら、27,001のような規格が必要なのかもしれない。
This isn't a regulation saying people need to be trained.

これは訓練が必要だという規定ではない。
You need to make sure that the roles and responsibilities that somebody takes ownership of risk within the organization, that you have someone designated at the senior level who is responsible for DORA.

組織内で誰かがリスクのオーナーシップを持ち、DORAの責任者をシニアレベルで指名するよう、役割と責任を確認する必要がある。
You know, you need to be able to support the strategies of the financial entities about both on operational resilience and their risk.

オペレーションの回復力とリスクの両方について、金融機関の戦略をサポートする必要がある。
And just as, you know, if you need any help, there's a very practical guide.

そして、もし何か助けが必要なら、とても実用的なガイドがある。
I've only mentioned this twice, that book.

あの本については、まだ2回しか触れていない。
Okay.

オーケー。
But it's a practical approach doing it.

でも、それは現実的なアプローチなんだ。
It's not legalistic.

合法主義ではない。
It's about how you develop your information security management system, because this is basically what you need to do for DORA.

情報セキュリティマネジメントシステムをどのように構築するかということであり、基本的にはDORAのために必要なことだからだ。
You need to have an information security management system in place functioning.

情報セキュリティ管理システムを機能させる必要がある。
So the benefits of DORA compliance, and think about this, and this is maybe how you sell it.

つまり、DORAに準拠することのメリット、これについて考えてみよう。
Okay.

オーケー。
If you do DORA, your services system solutions are going to be more resilient.

DORAを行えば、サービスシステムのソリューションはより弾力的になる。
You're going to be able to support the needs of not only your financial entities who you support, but also your other customers, because you're building resilience into your systems.

システムに弾力性を持たせることで、サポートしている金融機関だけでなく、他の顧客のニーズもサポートできるようになる。
You've looked at risk seriously.

あなたはリスクを真剣に見てきた。
Now you might have already been doing this, but sometimes the experience is that people aren't doing enough on risk.

すでにやっていることかもしれないが、経験上、人々はリスクに関して十分なことをしていないことがある。
You've also understand your supply chain, your single points of failure, all these sort of things.

また、サプライチェーン、単一障害点、こういったものすべてを理解する必要がある。
You could show that you've got regulatory compliance.

規制を遵守していることを示すことができる。
Okay.

オーケー。
There's various ways you could do that, but it could give you that competitive edge when you're dealing with other organizations that we are, we're top notch here.

いろいろなやり方があるだろうが、他の組織を相手にするときに、我々は一流だという競争力を与えることができる。
We are dealing with various things that can support the requirements, the standard.

私たちは、要求事項やスタンダードをサポートできる様々なものを扱っている。
So we talked about this.

そこで私たちはこう話した。
So proactive risk management.

つまり、積極的なリスク管理だ。
Okay.

オーケー。
Just a very quick thing about risk.

リスクについてちょっとだけ。
Okay.

オーケー。
Then, so if you're ever thinking, why is risk so important?

では、なぜリスクがそれほど重要なのか？
If you think about it, your organization's there to try and deliver value, value to shareholders, customers, financial value, just describe it as value.

考えてみれば、あなたの組織は価値を提供するために存在している。株主、顧客、財務的な価値、ただそれを価値と表現すればいい。
You need to understand what your objectives of the business are to deliver that value, to meet the requirements of interested parties.

利害関係者の要求に応え、その価値を提供するためには、事業の目的が何であるかを理解する必要がある。
You know, yeah, very ISO term.

そう、まさにISO用語だ。
No apologies for that.

謝罪はない。
You then look at what your risks are against delivering those objectives.

そして、その目標を達成するためのリスクを検討する。
Now, from an organizational point of view, that's very useful because what you're sitting there doing is if you then have to address your risks, you've almost written a business case because you're associating or making sure that your risks relate to objectives, which relate to what the business is trying to achieve.

組織的な観点からは、これは非常に有益なことだ。なぜなら、あなたがそこに座ってやっていることは、リスクに対処する必要がある場合、ビジネスケースをほぼ書いたことになるからだ。
And the business will always understand that as long as risks are related to that.

そして、リスクがそれに関連している限り、ビジネスは常にそれを理解する。
So you then, you know, proactive risk management leads, then you can do strategic planning.

そうすれば、プロアクティブ・リスクマネジメントをリードし、戦略的プランニングを行うことができる。
So what do we need to do with rest of these risks?

では、これらのリスクに対して我々は何をすべきなのか？
That develops stakeholder, interested party confidence, and it all reads through, but you're supporting your business, your confidentiality, integrity, and availability, all these fun things.

それがステークホルダーや利害関係者の信頼につながり、すべてを読み通すことができる。
And it helps build up your reputation of what you're doing in the business, because no matter what's happening, this regulation will not get less in this field.

何が起ころうと、この規制はこの分野で少なくなることはないからだ。
Okay.

オーケー。
If you're not having to do DORA, you're going to have to do NIST too.

DORAをやる必要がないのであれば、NISTもやる必要があるだろう。
Okay.

オーケー。
So you're going to find that other parts of your business might need to be doing stuff in NIST too.

そのため、ビジネスの他の部分もNISTで何かをする必要があるかもしれません。
Okay.

オーケー。
But if you're doing DORA to the level that DORA requires, you know, you're going to be meeting the requirements of NIST.

しかし、DORAが要求するレベルまでDORAを行っていれば、NISTの要求を満たすことになる。
So it is, you know, these things are all interrelated.

つまり、これらのことはすべて相互に関連しているんだ。
So think about, you know, you've got to think about these things.

だから、こういうことを考えなきゃいけないんだ。
And this is, this is standard stuff like asset management.

そして、これは資産管理のような標準的なものだ。
So what are you trying to protect?

では、何を守ろうとしているのか？
What are your risks?

あなたのリスクは何ですか？
Okay.

オーケー。
What are the risks to do that will be specific to your business?

あなたのビジネスに特有のリスクは何か？
Your risks will be very much based on who you're supplying to, you know, all those sorts of things.

誰に供給するかによってリスクは大きく変わってくる。
You know, cyber essential controls frameworks, like cyber essential is a UK one, but we've got things being developed in that on the European basis as well.

サイバー・エッセンシャル・コントロールの枠組みは、サイバー・エッセンシャルは英国のものですが、欧州でも同様に開発されています。
You know, staff awareness, vendor management, instant management, reporting and business continuity.

スタッフの意識、ベンダーの管理、即時の管理、報告、事業継続などだ。
So just think of, remember that.

だから、そのことを思い出してほしい。
So years ago, we used to talk about disaster recovery.

数年前、私たちはディザスターリカバリーについて話していた。
Then we started talking about business continuity.

それから私たちは事業継続について話し始めた。
Then we started talking about instant management.

それからインスタント・マネジメントについて話し始めた。
You view them as a journey.

あなたはそれらを旅として捉えている。
So you go instant management, business continuity, disaster recovery.

つまり、インスタント・マネジメント、事業継続、ディザスタリカバリを行うわけだ。
You're good at instant management.

あなたはインスタント・マネジメントが得意だ。
You're less likely to do business continuity.

事業継続の可能性は低くなる。
If you're good business continuity, you're less likely to go to disaster recovery, you know, but you can't see they're not in isolation.

事業継続性が高ければ、ディザスタリカバリに行く可能性は低くなる。
Okay.

オーケー。
At door, as I said, just requires more of those three.

ドアでは、さっきも言ったように、この3つがもっと必要なんだ。
Okay.

オーケー。
Reporting, you know, testing, you know, can you show that your resilience is in place?

報告、テスト、つまり、レジリエンスが整っていることを示せるか？
Can you demonstrate that?

それを証明できるか？
You require them to do things like print led pen testing.

プリント・リード・ペンのテストなどを要求している。
Put my teeth back in for that one.

そのために歯を食いしばった。
So just a little bit more about how door is structured.

では、ドアの構造についてもう少しだけ。
And this is, as I keep telling people, door is a beast.

そして、これは何度も言うように、ドアは野獣だ。
It's big.

大きいよ。
And the way that they can bring on, like, so you've got the door regulation, and then below it, you've got regulatory technical standards.

ドア規制があり、その下に規制技術基準がある。
And they're currently developing some of them.

そして現在、そのうちのいくつかを開発中だ。
They haven't been approved or signed off yet.

まだ承認もサインオフもされていない。
But there's more information there.

しかし、そこにはもっと多くの情報がある。
Some of it is actually very useful because it tells you exactly what they need to do.

その中には、彼らが何をすべきかを的確に教えてくれるものもあり、実際にとても役に立つ。
But door itself is, we could talk about it being five pillars.

しかし、ドアそのものは5本柱だと言える。
Okay, you can actually talk about it being one pillar.

よし、実際に1本の柱であることを話すことができる。
It's all about risk.

全てはリスクだ。
So it's risk management.

つまり、リスク管理だ。
And this is what the financial entities have to deal with instant management, digital operational resilience testing, third party risk management.

そしてこれが、金融機関がインスタント・マネジメント、デジタル・オペレーショナル・レジリエンス・テスト、サードパーティ・リスク・マネジメントに取り組まなければならないことである。
So they are going to have to actively really dig down, understanding the risks are of using you using you as a third party service provider.

そのため、サードパーティ・サービス・プロバイダーとしてあなたを利用することのリスクを理解し、積極的に掘り下げていかなければならない。
And then there's information intelligence sharing.

そして情報共有だ。
Okay.

オーケー。
And this is regulatory.

そしてこれは規制だ。
So how do you do your approaches?

では、どうやってアプローチをするのか？
How do you manage this?

どのように管理しているのですか？
How do you make sense of this?

これをどう理解する？
And one of the ways you can do it is use something like 27,001.

その方法のひとつが、27,001を使うことだ。
You know, 27,001 is the requirements for information security management.

27,001は情報セキュリティ管理に関する要求事項だ。
You've got 27,005 on risk, and 22,301 on business continuity.

リスクについては27,005件、事業継続については22,301件となっている。
If you implement them, making sure that you've got your interested parties done well, you're acknowledging your risks, your contractual legal and regulatory requirements.

それらを実施し、利害関係者をしっかりと確認することで、リスクや契約上の法的要件、規制上の要件を認識することになる。
You maybe even mentioned DORA in your scope.

もしかしたら、DORAについても触れているかもしれない。
And when you're doing your risks, you're really focusing on the risks in relation what DORA looking at, you can use the ISO standards to implement your DORA.

そして、DORAが見ているDORAに関連するリスクに焦点を当て、リスクを分析するとき、ISO規格を使用してDORAを実施することができます。
Okay.

オーケー。
And it gives you the structure, the information security management system in 27,001 gives you the structure to be able to implement DORA within your organization and meet the requirements that that financial entity is going to ask you about at some point, if they haven't done already.

また、27,001の情報セキュリティ管理システムは、DORAを組織内に導入し、金融機関がまだ導入していない場合、ある時点で要求してくる要件を満たすことができるような仕組みを提供するものである。
So again, this slide sort of shows a little bit more about sort of things that you need to do in the five pillars, where you can get additional guidance and support, and to show you where you need to go on things.

このスライドでは、5つの柱でやるべきこと、さらにガイダンスやサポートを受けられる場所、進むべき道を示しています。
So again, maybe have a little bit of a look at that afterwards.

だから、その後にまた少し見てみてほしい。
And again, with the next slide, you know, again, it's just this is just some information about the sort of thing you need to do.

そしてまた次のスライドで、これはただ、あなたがやるべきことについての情報です。
So it's about comprehensive risk assessment.

つまり、包括的なリスク評価ということだ。
Remember, that's comprehensive.

これは包括的なものだ。
It's not just going through the motions on it, really, really thinking about it.
Your robust instant response, that resilience.

その強靭な即応性、回復力。
Part of that is your testing.

その一環がテストだ。
Okay.

オーケー。
Understanding your third party risks.

第三者のリスクを理解する
Okay.

オーケー。
So whether the financial entity is going to be understanding what risks you are to them, you need to understand what your third party risks are as well.

つまり、金融機関が自分たちにとってのリスクを理解するかどうかにかかわらず、第三者にとってのリスクも理解する必要がある。
Because we, you know, everybody uses something from everybody else, etc, and all that sort of stuff.

なぜなら、僕たちは、みんながみんなのものを使っているからだ。
And knowledge sharing.

そして知識の共有。
And that's one of those key areas.

それも重要な分野のひとつだ。
Okay.

オーケー。
So it's really those first four we talked about there, which are going to really impact on you.

だから、そこで話した最初の4つが、本当にあなたに影響を与えるんだ。
So depending on how you've got to do it, you've got nine months.

だから、やり方にもよるが、9カ月はある。
So hopefully your financial entities have been talking to you about this already.

だから、金融機関がすでにこの件について話してくれているといいのだが。
And I'd say if they haven't, maybe want to go and ask them the question.

もしそうでないなら、行って質問してみたらどうだろう。
Because else they're going to come to you in the middle of December panicking and saying, you've got to do all this stuff.

そうでなければ、12月の半ばにパニックになって、こんなことまでやらなきゃいけないんだと言ってくることになるからね。
And, you know, typically, you just about get ready for Christmas, and you have to go and sit there and get ready for a regulation, which comes into, you know, on the 17th, although it has been around for two years.

そして、通常、クリスマスを迎える準備をし、17日に施行される規則の準備をしなければならない。
So you need to understand about your key milestones.

だから、重要なマイルストーンについて理解する必要がある。
And I think the thing is that you've got to sit there and you go, who owns risk in your organization?

そして、組織のリスクは誰のものなのか？
Have you got a comprehensive and effective risk strategy?

包括的で効果的なリスク戦略を持っていますか？
What's your DORA operational resilience strategy?

DORAの運用回復力戦略は？
Are you doing training?

トレーニングはしていますか？
Do you understand your single points of failure?

単一障害点を理解していますか？
You know, have you done things like a business impact analysis, you know, part of business continuity?

事業継続の一環である事業影響分析のようなことをやったことがあるか？
And that's really good at showing what's your critical systems, etc.

そして、重要なシステムなどを示すのにとても適している。
Hopefully financial enterprises and entities are doing this.

願わくば、金融企業や事業体がこのようなことをしてくれることを。
That's why they've worked out for what you do for them is critical or important, and needs to be supported from a DORA point of view, all these things.

だからこそ、彼らはあなたが彼らのためにすることが重要であり、重要であり、DORAの観点からサポートされる必要があることを理解したのです。
But the key thing is, it's time to act now.

しかし、重要なのは、今行動する時だということだ。
Because January isn't that very long away.

なぜなら、1月はそれほど先の話ではないからだ。
And actually, if you look out the window today in, I'm in Northern Ireland, it feels like January.

実際、今日の北アイルランドの窓の外を見ると、まるで1月のようだ。
So it's not long away, it is not long at all.

だから、そう長くはない。
But you need to speak to your financial entities to understand what they're expecting from you.

しかし、金融機関があなたに何を期待しているかを理解するためには、金融機関と話をする必要がある。
And they should be talking to you, you know, it's a key thing.

そして、彼らはあなたに話をするはずだ。
Because there's lots of things to do.

やることがたくさんあるからだ。
So how IT governance can help you on the DORA journey?

では、ITガバナンスはDORAの旅でどのように役立つのだろうか？
Okay, so we've got several things that we can do is, I think one of the things that we've got to understand now we've gotten to this point there's so many things you need to comply with GDPR, DORA, NIS2, all these other sort of regulations, PCI, PSD, all these sort of things.

GDPR、DORA、NIS2、その他すべての規制、PCI、PSD、これらすべてに準拠する必要があります。
And it's a bit like, well, how do I do this, etc.

そして、まあ、どうすればいいのか、といった感じだ。
And all that sort of thing.

そういうことだ。
So having a tool, we're going beyond spreadsheets, okay, particularly for risk, having a spreadsheet work to a certain point of view, I used them for years, got very comfortable with them.

特にリスクに関しては、スプレッドシートを使うことである程度の見地から仕事をすることができる。
But you're sitting there going beyond the spreadsheet.

でも、あなたはスプレッドシートを超えてそこに座っている。
So you need to have a tool.

だから道具が必要なんだ。
So again, look at the details on this afterwards.

だからもう一度、この後の詳細を見てほしい。
But you know, it is something like our cyber comply, gives you the ability to manage all those things, you can do instant management, you could go and have audit, the auditing tool, you know, show that you are auditing things, you will be able to show how you are dealing with what controls you are using to address the risks that you've identified.

しかし、私たちのサイバー・コンプライアンスのようなもので、これらすべてを管理する能力を与えてくれます。即座に管理することもできますし、監査もできます。監査ツールを使えば、監査していることを示すことができますし、特定したリスクに対処するためにどのようなコントロールを使用しているかを示すことができます。
And all these things are about and you can do your GDPR, your data flow mapping, huge amounts of stuff within the cyber comply environment.

GDPRやデータ・フロー・マッピングなど、サイバー・コンプライアンスの環境内で膨大なことを行うことができる。
And this very detailed, very trendy little slide here gives you the view of sort of things that you need to do, where various standards and requirements sit in, and how the cyber comply application can help you with that.

そして、この非常に詳細でトレンディな小さなスライドは、やるべきこと、さまざまな基準や要件の位置づけ、そしてサイバー・コンプライアンスのアプリケーションがどのように役立つかを示している。
And the next slide is just an example.

次のスライドはその一例だ。
So this is just some of the stuff on there.

これはその一部だ。
So what you also get within it is that you get, you know, information security standards, you know, sources of information, how you can build up your controls for dealing with your risk.

つまり、情報セキュリティ基準、情報源、リスクに対処するための管理体制の構築方法などを得ることができる。
There's an instant management module in there, there's DPIA toolkit, there's a GDPR manager, there is supplier risk in there as well.

インスタント・マネジメント・モジュールがあり、DPIAツールキットがあり、GDPRマネージャーがあり、サプライヤー・リスクもある。
Just bear with me a second.

ちょっと我慢してくれ。
Pardon me.

失礼しました。
And then there's toolkits.

そしてツールキットだ。
And very soon there will be within there a DORA toolkit.

そして間もなく、DORAのツールキットが登場する。
So you'll have the documentation.

だから、ドキュメンテーションがある。
Now the DORA toolkit is basically additional documentation and guidance and note to support what you'd be using for doing a 27001.

DORAツールキットは基本的に、27001を実施する際に使用する追加文書やガイダンス、注記をサポートするものです。
Because remember, 27001 is a very flexible thing.

覚えておいてほしいのは、27001は非常に柔軟なものだということだ。
And it's based on your context, your interested parties, legal regulatory requirements, and risk, you can make 27001 address whatever you want.

そして、あなたのコンテキスト、利害関係者、法的規制要件、リスクに基づいて、27001をあなたが望むものに対応させることができる。
It is a proactive, that's the wrong word, it is a very flexible way of dealing with it.

プロアクティブ（積極的）という表現は間違っているが、非常に柔軟な対処法だ。
And it gives you that structure for an information security management system.

そして、情報セキュリティ・マネジメント・システムのための構造を提供する。
And because you can go and get external accredited certification by an external body, it gives you some way of showing somebody independent verification that you're doing this.

また、外部機関による認定を受けることができるため、独立した検証を誰かに示すことができる。
Okay.

オーケー。
And particularly if in scope statement, you mentioned DORA or operational resilience, it's a key thing.

特に、スコープ・ステートメントでDORAやオペレーショナル・レジリエンスに言及したのであれば、それは重要なことだ。
Because as well as if you're supplying people in the financial sector in the European Union, you might be doing that in the wider world.

というのも、欧州連合（EU）の金融部門に製品を供給しているだけでなく、より広い世界で製品を供給しているかもしれないからだ。
And so you go to Singapore, you go to the UK, they're all requiring some sort of stuff about operational resilience.

シンガポールに行っても、イギリスに行っても、どこもオペレーショナル・レジリエンスに関する何らかのものを要求している。
So it's very, very good.

だから、すごくいいんだ。
And we can also develop, we do consultancy, gap analysis, all those sort of things.

また、コンサルティングやギャップ分析など、そういったことも行っている。
We can do the threat led pen testing for you.

私たちはあなたのために脅威主導のペンテストを行うことができます。
So all these different bits of it.

だから、いろいろな部分があるんだ。
And that's a little bit about who we are, what we what our background is, etc.

そしてそれは、僕らが誰なのか、どんなバックグラウンドを持っているのか、などについてのちょっとした話なんだ。
So we can do all the bits that you need to get you through your DORA journey.

ですから、DORAの旅に必要なことはすべて私たちにお任せください。
Because it's going to require quite a bit of effort.

かなりの努力が必要になるからだ。
So if you go and look at the links on this information, or go onto a website, you can see that on training, we do a foundation, which is a day course where you sit there and go, this is what DORA is.

この情報のリンク先を見たり、ウェブサイトを見たりすれば、トレーニングの基礎コースがあることがわかる。
I talk about this for a day.

私はこのことについて1日話す。
Okay, so this is a bit condensed.

さて、これは少し凝縮されたものだ。
And there's a lot more to talk about.

まだまだ話すことはたくさんある。
Practitioner, four day course.

プラクティショナー、4日間コース。
Okay, how do you implement it?

では、どのように実行するのですか？
Gap analysis, come in and do a gap analysis.

ギャップ分析、ギャップ分析に来てください。
Well, how long that takes is depending on how big you are, how complicated you are, lots of things.

まあ、どれぐらい時間がかかるかは、どれぐらいの規模か、どれぐらい複雑か、いろいろなことによる。
We do self-awareness e-learning courses.

私たちは自己認識のeラーニングコースを提供しています。
Now remember, you need to do e-learning.

eラーニングをする必要があることを忘れないでほしい。
Okay, very, very, very important.

オーケー、とても、とても、とても重要なことだ。
Okay, it is a requirement for people who are aware, okay, of what they need to do.

よし、何をすべきか自覚している人には必要なことだ。
You can then sit there and go, you could go and also do lead auditor training course.

その後、そこに座っていてもいいし、リード・オーディターのトレーニング・コースを受講してもいい。
So if you want somebody to learn how they can go and audit against the regulation, again, so that you can see where your gaps are, where your non-conformancies are, but also that you've got a record, can you show that we are auditing against this?

ですから、もしあなたが誰かに、どのように規則に照らして監査を行うことができるかを学んでほしいのであれば、やはり、ギャップや不適合がどこにあるのかを確認できるようにし、同時に、私たちがこれに対して監査を行っているということを示すことができるような記録を残しておくことです。
Again, if you ever have to show that to the competent authority, very, very important.

繰り返しになるが、所轄官庁にそれを示す必要がある場合は、非常に重要だ。
And then there's another course there, which is on the compliance officer.

そしてもうひとつ、コンプライアンス・オフィサーに関するコースがある。
Okay, how do you compliance people make sure you're doing DORA?

では、どのようにしてDORAのコンプライアンスを徹底させているのですか？
You know, so there's lots of things on that.

いろいろあるんだ。
So take a bit of time to look through the slides when you get them.

だから、スライドが届いたら少し時間をかけて目を通してほしい。
That's the contact things.

それがコンタクトだ。
So we'll work anywhere.

だから、どこでも仕事をする。
We don't care what time zone you're in.

時間帯は問いません。
And we work with all over the world.

そして私たちは世界中で仕事をしている。
We do customers all over the place.

あちこちにお客さんがいるんだ。
And we can do lots of things.

そして、いろいろなことができる。
So first of all, questions.

まずは質問から。
So has anybody got any questions?

何か質問はある？
So I've got one here.

だから、ここに1つある。
So how would I define my third party risks?

では、サードパーティのリスクをどのように定義すればいいのだろうか？
And how would I set those requirements?

その条件をどのように設定すればいいのか？
And again, the easiest thing, I mean, with risk, if anyone wants to do a five day course on that, I teach C-risk, which is the ISACA qualification on enterprise risk management.

そしてまた、最も簡単なことは、つまりリスクについて、5日間のコースを希望する人がいれば、私はC-riskを教えている。
But you can go and do things.

でも、行って何かをすることはできる。
So the key thing with your risk is you need to understand what you're trying to achieve.

つまり、リスクに関して重要なのは、何を達成しようとしているのかを理解することだ。
And you're looking at the risks in relation to that.

それに関連してリスクを見ているわけだ。
And you need to basically be documenting them.

そして、基本的にはそれを文書化する必要がある。
You need to work out what your current risk state is, what your residual risk will be, what controls you need to implement, who owns the risk, how you're progressing on the risk, reviewing the risk.

現在のリスクの状態、残存リスク、実施すべきコントロール、リスクの所有者、リスクの進捗状況、リスクの見直しなどを把握する必要がある。
And you need to be able to show that you're doing this.

そして、そうしていることを示すことができなければならない。
You're also going to need a policy, a strategy, and all those sort of things.

ポリシーや戦略、そういったものも必要になってくる。
That's where something like a tool like CyberComply can make things a lot easier for you.

そこで、CyberComplyのようなツールがあれば、もっと楽になる。
Over time, the management, and you can relate risks to documentations, lots and lots of different things, and to tasks.

時間が経てば経つほど、管理職は、リスクを文書やさまざまなもの、タスクに関連付けることができるようになる。
So you can task people to deal with things and implement controls and all that sort of stuff.

だから、物事に対処したり、コントロールを導入したり、そういうことを人に課すことができる。
And it gives you that ability to manage risk going forward.

そして、今後のリスクを管理する能力を与えてくれる。
So I think that may have answered that question.

だから、その質問には答えられたと思う。
Have we got any more questions?

他に質問はありますか？
Because I can't have answered everything because it's too big a subject.

あまりに大きなテーマなので、すべてに答えることはできないからだ。
Let's just see.

ちょっと見てみよう。
Let me make sure I'm looking at the right place.

私が見ている場所が正しいかどうか確認させてください。
Okay, I have another question.

じゃあ、もうひとつ質問がある。
Right, let me see if I can.

そうだね。
How far away from DORA can I answer?

DORAからどのくらい離れていれば答えられますか？
Right, okay, that's a very good question.

なるほど、とてもいい質問だね。
How far away from DORA compliance are organizations that are on a very high level for both an ISMS and a BSMS?

ISMSとBSMSの両方が非常に高いレベルにある組織は、DORAへの準拠からどの程度離れているのでしょうか？
Okay, the question is there is, if you've designed your ISMS and BSMS business continuity management system, so two things.

ISMSとBSMSの事業継続マネジメントシステムを設計した場合、2つのことが問題になります。
If you've designed it with DORA in mind, you're probably very close.

DORAを意識してデザインしたのであれば、おそらく非常に近い。
But if you've got an ISMS which is in place, but you haven't considered DORA, you're not going to be close because there are other things to do it.

しかし、ISMSを導入しているにもかかわらずDORAを考慮していないのであれば、他にやるべきことがあるため、近づけないだろう。
So if when you've sat there, you've gone right, the context of the organization, we are a supplier to the financial entities.

だから、もしあなたがそこに座っていたなら、組織の文脈を正しく理解し、私たちは金融機関へのサプライヤーなのです。
We are suppliers to a highly regulated market.

我々は高度に規制された市場のサプライヤーである。
We have acknowledged that we have an interested party, which is potentially a competent authority, although the financial entity is who we deal with.

利害関係者がいることは認めており、それは所轄官庁である可能性もあるが、金融事業体が私たちの取引相手である。
So you know that you've got to be able to do things that a competent authority is wanting you to do.

だから、所轄官庁が望んでいることをできるようにならなければならない。
If you've sat there and you've mentioned and you acknowledged and you've got in your contractual legal regulatory requirements, both DORA and anything specific the financial entity is asking, you've then got a scope on your certification, which is, doesn't maybe explicitly say DORA, but you mentioned that our scope is to cover the requirements of DORA there.

DORAと金融機関が求める具体的な法的規制要件の両方を契約書に記載し、承認したのであれば、DORAとは明記されていないかもしれませんが、DORAの要件をカバーすることが私たちの範囲であると証明書に記載したことになります。
You can word this in many ways, and you have done your risks based on what is going to be the requirements of DORA and taking those into consideration, you'll be a long way there.

これはいろいろな言い方ができるし、DORAの要件になりそうなことを踏まえてリスクを計算し、それらを考慮すれば、遠回りになる。
So if you're in an ISMS at the moment, and you've got a mature system in there, and you haven't quite done all this bit, you go through your continuing improvement process.

現在ISMSに参加していて、成熟したシステムを持っていて、まだこの部分がすべてできていない場合は、継続的な改善プロセスを経ることになる。
So at least you've got the frameworks to do stuff, and you basically, you're going to be sharpening your pencil on things.

少なくとも、何かをするための枠組みは手に入れたわけだし、基本的には鉛筆を削って物事を進めていくことになる。
Being more to the point, making sure that you're specifically doing these requirements, looking at the regulatory technical standards and going, is there anything in here I need to enhance what my pen testing or my vulnerability management or my access control?

規制当局の技術基準を見て、ペンテストや脆弱性管理、アクセス制御を強化するために必要なものはないか？
But if you've got a well implemented, well-defined ISMS and business BSMS or combined system, you're in a good place to make sure that you deal with the requirements of DORA.

しかし、ISMSとビジネスBSMSをきちんと実施し、定義していれば、あるいは組み合わせたシステムを導入していれば、DORAの要求事項に確実に対処することができる。
You've got your structure in there.

あそこには構造がある。
Okay.

オーケー。
So I think I've answered that question.

だから、その質問には答えたつもりだ。
Any other questions?

他に質問は？
I will give you a couple of more moments if people want to ask me anything else.

他に聞きたいことがあれば、もう少し時間をあげよう。
Who's going to win on Saturday, Man United or Man City?

土曜日に勝つのはマン・ユナイテッドかマン・シティか？
Manchester City, probably.

マンチェスター・シティだろう。
But that's not the sort of questions you want to ask me.

でも、それはあなたが私に聞きたい質問ではない。
So any more questions on DORA or anything like how you'd use a 27,001?

では、DORAや27,001の使い方について他に質問はありますか？
One thing, actually go back on just one point there on the ISMS is that one thing you have to do in DORA, which is a little bit more of a slight change.

ひとつだけ、実はISMSについて1点だけ話を戻すと、DORAでやらなければならないことがある。
So if you're doing your risks quite well, so if you've got 27,001, we talk about confidentiality, integrity and availability.

ですから、もしあなたがリスクを十分に把握しているのであれば、つまり27,001のリスクを抱えているのであれば、機密性、完全性、可用性について話しましょう。
DORA talks about authenticity as well.

DORAは信頼性についても語っている。
So you'd have to look at your messages, your risks with how that would affect it.

だから、それがどのように影響するか、メッセージやリスクを検討する必要がある。
So you need to look at authenticity.

だから、信憑性に目を向ける必要がある。
Now, they specifically take authenticity.

今、彼らは特に真正性を取っている。
You could argue that authenticity is a subset of integrity, you know.

信頼性は誠実さのサブセットだと主張することもできる。
So just remember that if you're going to have to add that into your risks.

だから、もしそれをリスクに加えなければならないなら、そのことを覚えておいてほしい。
Okay.

オーケー。
Right.

そうだね。
So let's see.

では、見てみよう。
Okay.

オーケー。
So let me have a look.

では、見せてもらおう。
I've got some more Okay.

もう少しオーケーだ。
Penalty for non-compliance.

違反した場合の罰則
Okay, good one.

よし、いいぞ。
Likelihood of enforcement and how seriously will it be taken?

強制執行の可能性と、どの程度深刻に受け止められるか？
Very seriously.

とても真面目な話だ。
Because it hasn't happened yet, it's a bit difficult, but I think the GDPR, but when they talk about, so you look at NIS, it talks a percentage.

しかし、GDPRの話は、NISを見ると、パーセンテージで書かれています。
You talks about in the enforcement as being significant and dissuasive.

あなたは施行に際して、重要かつ説得力があると話している。
So how big is a fine got to be to make a major bank decide that they don't want to get fined?

では、大手銀行が罰金を取られたくないと判断するには、どれほどの罰金額が必要なのだろうか？
Okay.

オーケー。
You know, it's so I think we're going to be the financial entities who are going to be fined in this, but then again, you've got contractual implications if you are a supplier into that.

この件で罰金を科されるのは金融機関だと思うが、サプライヤーであれば契約上の問題もある。
So I think it's work on the principle is going to be like GDPR and some of the things on GDPR, you know, BA or International Aviation Group, was it 180 million they got fined or tried to find?

だから、GDPRのような原則的な取り組みになると思うし、BAやインターナショナル・アビエーション・グループが1億8000万ドルの罰金を課されたとか、罰金を見つけようとしたとか、そういうこともある。
Okay.

オーケー。
Let's see.

見てみよう。
Now I did see some, just bear with me a second.

ちょっと我慢してくれ。
I thought I saw some more questions.

他にもいくつか質問があったように思った。
But, ah, yes.

でも、ああ、そうだ。
Okay.

オーケー。
Who will enforce?

誰が執行するのか？
Right.

そうだね。
So enforce.

だから強制する。
So it's down to competent authorities.

つまり、所轄官庁が決めることだ。
And there's a requirement on auditing in there of your risk management system being audited annually.

また、そこには監査に関する要件があり、リスク管理システムは毎年監査されることになっている。
Okay.

オーケー。
So this would be driven by the financial entities.

つまり、金融機関が主導権を握ることになる。
They had to return submissions about how many people have, what their supply chain is.

何人の従業員がいるのか、サプライチェーンはどうなっているのか、提出しなければならなかった。
So they supply.

だから彼らは供給する。
So if you supply in that, all information will be going to the competent authorities on that.

だから、もしあなたがそれを供給すれば、すべての情報が管轄当局に送られることになる。
So the enforcement will be due by the competent authority within the region, within the jurisdiction.

そのため、施行は地域内、管轄内の管轄当局が行うことになる。
Okay.

オーケー。
Let me just see.

ちょっと見せてくれ。
So penalty is the likelihood for that.

だから違約金が発生する可能性が高い。
So let me just see.

では、ちょっと見せてくれ。
Okay.

オーケー。
Right.

そうだね。
So where do you start for New Dora?

では、新ドラは何から始めたらいいのか？
Right.

そうだね。
New Dora.

新しいドラ
So I guess our foundation course is a real good place.

だから、基礎コースは本当にいい場所だと思う。
Well, you've started in the right place.

さて、あなたは正しい場所からスタートした。
You're at least asking the question.

あなたは少なくとも質問をしている。
You've turned up on this.

あなたはこの件で現れた。
So doing that.

だからそうしている。
There is our foundation course is a very good place to start.

私たちのファウンデーション・コースは、スタート地点としてはとてもいい。
It's a one day course.

1日コースだ。
You get a certificate.

証明書が発行される。
You've got an exam at the end of it.

最後に試験がある。
So that's a pretty good one to do.

だから、これはかなりいいことだよ。
And it is.

そうだ。
Yeah.

そうだね。
So that's where I do.

だから、そこでやるんだ。
Then maybe look at the book.

それなら、本を見てみるのもいいかもしれない。
Look at the competent authority will start producing information depending where you are.

所轄官庁は、あなたがどこにいるかによって情報を作り始める。
But if you're looking at the competent authority in Dublin, the Bank of Ireland, they haven't produced anything on Dora for months.

しかし、ダブリンの所轄官庁であるアイルランド銀行を見ると、彼らは何カ月もドラについて何も発表していない。
They've just got one page on it.

1ページだけ掲載されている。
Okay.

オーケー。
We provide IT services, financial entities in multiple EU countries.

私たちは、複数のEU諸国の金融機関にITサービスを提供しています。
How is a competent authority chosen?

所轄官庁はどのように選ばれるのか？
Okay, then.

オーケー。
Right.

そうだね。
The competent authority is in that jurisdiction.

所轄官庁はその管轄にある。
So it's where somebody is registered.

つまり、誰かが登録されている場所だ。
So you find, you know, a lot of organizations are registered in Cyprus, Luxembourg.

だから、多くの組織がキプロスやルクセンブルグに登録されている。
So a lot of UK companies will be if they've got a European part of them, will either be registered in Luxembourg or in the Cyprus, for example.

つまり、英国企業の多くは、欧州の一部であれば、ルクセンブルクかキプロスなどで登記することになる。
If you are a financial, if your IT company is supplying into it, they're all going to have different competent authorities, but the requirements are going to be exactly the same.

金融機関であれ、IT企業であれ、管轄官庁は違えど要件はまったく同じになる。
That's why they made it a regulation.

だから規定されたんだ。
So it's reasonable.

だから合理的だ。
Okay.

オーケー。
An ITC provider should accept that the financial entity will ask to yeah.

ITCプロバイダーは、金融機関から「そうだ」と言われることを受け入れるべきである。
Penetration.

浸透している。
If you are a third party supplier to a financial entity and you are providing services, which they support, they're critical, important services as they define them, they will be wanting to do pen testing on those.

もしあなたが金融機関のサード・パーティ・サプライヤーで、彼らがサポートするサービスを提供しているのであれば、彼らが定義するように、それらは重要で重要なサービスであり、彼らはそれらについてペン・テストを行いたいと思うだろう。
Yeah.

そうだね。
And they should contractually be out that they're allowed to do it under DORA.

そして、DORAのもとでそれを行うことが許されていることを契約上明らかにする必要がある。
Yeah, that one, let me just see.

ああ、それはちょっと見せてくれ。
How do I, how would I define my third party risks and how would, yeah, I've already done that one.

サードパーティのリスクをどのように定義すればいいのか。
Sorry.

申し訳ない。
I've answered that questions.

その質問には答えたよ。
Yeah.

そうだね。
Is competent authority in a jurisdiction any different from that for ISO 27001?

管轄の所轄官庁はISO27001の所轄官庁と異なるのか？
Yeah, we don't talk about competent authorities in ISO 27001.

ええ、ISO27001では所轄官庁の話はしていません。
So competent authority, so the best way to think about, you'll probably come across it more, is whoever enforces GDPR in the country.

つまり、管轄当局とは、その国でGDPRを施行する当局のことです。
They're a competent authority for GDPR.

GDPRの管轄当局だ。
If you do things with NIS, you'll know there's competent authorities for whatever sectors you're working with.

NISと一緒に仕事をすれば、どのような分野であれ管轄当局があることがわかる。
So what you would say in your 27001 is the competent authorities would be an interested party potentially.

つまり、27001で言うところの所轄官庁は、潜在的な利害関係者ということになる。
You'd say your financial entity, but you're definitely thinking about competent authority would be an interested party in that.

金融機関というが、所轄官庁が利害関係者であることは間違いないだろう。
Okay.

オーケー。
I think I have answered all the questions there now.

これですべての質問に答えられたと思う。
If anybody has any more questions, please add.

他に質問があれば、追加してほしい。
Okay.

オーケー。
Right.

そうだね。
Okay.

オーケー。
I will give you, we're coming up to the end of it.

もう終わりに近づいている。
Well, thank you very much for your time.

お時間をいただき、ありがとうございました。
Hope you all found that useful and good luck on your DORA journey.

皆さんのDORAの旅がお役に立つことを願っています。