DORAとは何か
デジタル業務レジリエンス法(DORA)は、2022年12月14日に欧州議会および理事会によって採択された規則(EU)2022/2554です。EUは2022年12月27日に官報で公表しました。2023年1月16日に発効し、2025年1月17日に完全適用となりました。
DORAは、EU金融規制における特定のギャップに対処します。DORA以前、金融機関は主に資本を確保することで業務リスクを管理していました。しかし、このアプローチでは、共有技術プロバイダーが障害を起こした際に多数の機関に同時に影響を及ぼす可能性のあるICT関連の混乱を十分にカバーできませんでした。そのため、DORAはICTリスク管理、インシデント報告、業務レジリエンステスト、および第三者技術プロバイダーの監督に関するEU全体の統一的な枠組みを導入しています。
DORAのコンプライアンス対象者
DORAは、金融セクター内の情報通信技術(ICT)サービスに関与する2つの主要な組織グループに適用されます。
第1のグループは金融機関です。これには、信用機関、決済機関、電子マネー機関、投資会社、保険および再保険会社、暗号資産サービスプロバイダー、中央証券保管機関、中央清算機関、取引所など、規則第2条に列挙されているその他の機関が含まれます。
第2のグループはICT第三者サービスプロバイダーです。これは、金融機関に技術サービスを提供する企業を指します。このグループには、クラウドコンピューティングプロバイダー、ソフトウェア開発者、データ分析会社、サイバーセキュリティ企業、データセンタープロバイダー、および規制対象金融機関の業務を支援するその他のプロバイダーが含まれます。
重要なことに、DORAはEU域外に拠点を置くICTプロバイダーも対象としています。米国、英国、またはアジアの技術企業がEU規制対象金融機関にサービスを提供している場合、DORAはその関係に適用されます。
DORAにおけるLEI要件
DORAは、金融機関がすべてのICT第三者サービスプロバイダーを対象とする詳細な情報登録簿を維持することを要求しています。2024年12月2日に公表された委員会実施規則(EU)2024/2956は、この登録簿の標準テンプレートを定めています。
同実施規則第3条第5項は、次のように直接規定しています。
「金融機関は、個人事業主として行動する個人を除き、法人であるすべてのICT第三者サービスプロバイダーを特定するために、有効かつ有効な法人識別子(LEI)または指令(EU)2017/1132第16条に規定される欧州固有識別子(EUID)を使用し、両方の識別子が利用可能な場合は両方を使用するものとする。」
つまり、法人であるすべてのICT第三者プロバイダーは、有効かつ有効なLEIまたはEUIDのいずれかを使用して識別可能でなければなりません。両方とも最新である必要があります。失効または期限切れのLEIは、この要件を満たしません。
LEIまたはEUID — どちらが適用されるか
両方の識別子はDORA要件を満たしますが、異なる状況に対応しています。違いを理解することで、正しく選択できます。
LEI(法人識別子)は、ISO規格17442に基づく国際的に認められた20文字の英数字コードです。グローバル法人識別子財団(GLEIF)がグローバルLEIシステムを管理し、すべてのLEIデータをグローバルLEI索引で公開しています。LEIは200以上の管轄区域の法人を対象とし、所有権および支配権データも含まれています。
EUID(欧州固有識別子)は、EUの企業登記相互接続システム(BRIS)に連携しています。EU加盟国の国内登記簿にのみ接続されているため、EU加盟国に登録された法人のみを対象としています。
ここで実施規則は重要な区別を示しています。EU域外に設立されたICTプロバイダーは、LEIのみを使用して識別される必要があります。EUIDは、EU域外の法人には利用できません。その結果、EU域外から事業を行うプロバイダーにとって、LEIが唯一の有効な識別子となります。
EU域内のプロバイダーの場合、どちらの識別子も使用できます。ただし、グローバルな事業展開やEU域外へのエクスポージャーを持つプロバイダーにとっては、国際的な認知度とより広範なデータカバレッジにより、LEIがより強力な選択肢となります。
「有効かつ有効」が実務上意味すること
実施規則は、特に有効かつ有効なLEIを要求しています。これは、GLEIFグローバルデータベースに表示されるステータスを指します。
「発行済」のステータスを示すLEIは有効かつ有効であり、したがってDORAを満たします。「失効」を示すLEIは期限切れであり、したがって要件を満たしません。金融機関は、失効したLEIを情報登録簿における適合識別子として記録することはできません。
LEIは、発行日または最終更新日から1年間有効です。その後、所有者は有効なステータスを維持するために更新する必要があります。更新中、発行機関は法人の参照データ(法人名、登録住所、所有権構造を含む)を公式登記情報源と照合して再検証します。このプロセスにより、グローバルLEIデータベースのデータが正確かつ最新の状態に保たれます。
任意のLEIのステータスは、GLEIF LEI検索ツールまたはLEI System検索を使用して確認できます。
LEIがDORAコンプライアンスの実務的標準である理由
DORA規制当局がLEIを選択したのは、国内識別子では解決できない問題、すなわち単一のグローバルに認められた形式での法人の一貫した国境を越えた識別を解決するためです。
国内企業登録番号は国によって大きく異なり、必ずしも機械可読ではなく、EU域外の法人を全くカバーしていません。対照的に、LEIは、法人がどこに設立されているかに関係なく、1つの一貫したコードを提供します。さらに、LEIデータは公開されており検証可能であるため、金融機関は書類を要求することなく、プロバイダーの詳細を即座に確認できます。
異なる国にわたる多数のICTサプライヤーを管理する金融機関にとって、この標準化はDORAコンプライアンスの管理上の複雑さを大幅に軽減します。単一のLEI検索により、プロバイダーの法人名、登録詳細、所有権構造に関する検証済み情報が提供されます。これらはすべて、DORAの第三者リスク管理義務に直接関連しています。
ICTプロバイダーにとって、有効なLEIを保有することで、金融機関の顧客がDORA登録簿に正しく含めることが容易になります。一方、有効なLEIを持たないプロバイダーは、顧客のコンプライアンスギャップを生み出し、したがってビジネス関係を損なうリスクがあります。GLEIFは、LEIの規制上の使用の概要で、LEIがこれをどのように支援するかについてさらなる背景を提供しています。
ICTプロバイダーが今すぐ行うべきこと
有効なLEIを保有しているか確認してください。 EU規制対象金融機関にICTサービスを提供している場合、顧客はDORA情報登録簿であなたを特定する必要があります。顧客に連絡して、あなたのLEIが記録されているか、また現在有効であるかを確認してください。
LEIを保有していない場合は登録してください。 プロセスは完全にデジタルで、ほとんどの管轄区域では24時間以内に完了します。会社の法人名、登録住所、登録番号を提供する必要があります。ほとんどの場合、システムは公式企業登記簿に対してこのデータを自動的に検証します。LEI SystemはGLEIF認定登録代理店です。LEI登録を今すぐ開始できます。
失効している場合はLEIを更新してください。 失効したLEIは、顧客がDORA登録簿で使用できるようになる前に更新する必要があります。更新により「発行済」ステータスが復元され、会社の参照データが再検証されます。LEI Systemを通じてLEIを迅速に更新できます。
LEIデータを最新の状態に保ってください。 会社名、登録住所、または所有権構造が変更された場合は、それに応じてLEI参照データを更新してください。古いLEIデータは、金融機関の顧客が登録簿を国家当局に提出する際にコンプライアンス上の問題を引き起こします。
より広範なEU規制の文脈におけるDORA
DORAは単独で機能するものではありません。MiFID II取引報告、EMIRデリバティブ報告、EU即時決済規則など、LEIを法人の標準識別子として使用する他のEU規則と並行して存在します。したがって、取引報告にすでにLEIを使用している金融機関にとって、DORAは完全に新しいシステムではなく、さらなる次元を追加するものです。
さらに、DORAはサイバーセキュリティに関するNIS2指令(指令(EU)2022/2555)に直接関連しています。DORAは、金融機関に対するNIS2の下でのセクター固有の法令として機能します。NIS2とLEIについては、本サイトのNIS2とLEIの記事で詳しく読むことができます。EUの金融規制全体でLEIがどのように機能するかについてのより広範な概要については、EUにおけるLEIの実務的な機能をご覧ください。
DORAとLEI — 主要事実の概要
DORAとは何か 金融セクターのデジタル業務レジリエンスに関する規則(EU)2022/2554。
DORAはいつ適用可能になったか 2025年1月17日。
コンプライアンス対象者 EU金融機関およびそのICT第三者サービスプロバイダー(EU金融機関にサービスを提供するEU域外プロバイダーを含む)。
DORAはICTプロバイダーの識別に何を要求しているか 委員会実施規則(EU)2024/2956で規定されている、有効かつ有効なLEIまたはEUID。
EU域外のICTプロバイダーにはどの識別子が適用されるか LEIのみ。EUIDはEU登録法人のみを対象としています。
DORAを満たすLEIステータスは何か 「発行済」のみ。「失効」したLEIは要件を満たしません。
LEIの登録または更新はどこでできるか LEI SystemなどのGLEIF認定登録代理店を通じて。