現行システムのコストは保守費用だけではありません

1990年代に構築されたコアバンキングシステムは、当時の製品ラインナップと取引量に合わせて設計されました。20年が経過した現在、これらのシステムは日々数十万件ものトランザクションを安定して処理していますが、構造的な制約を課しています。例えば、製品リリースまでの期間が週単位ではなく四半期単位になること、API連携機能が限定的であるか、あるいは存在しないこと、そしてモノリシックなアーキテクチャのため、リスクなしに分解できず、クラウド導入が阻害されることなどが挙げられます。

現行システムのコストは、保守契約費用だけにとどまりません。6ヶ月で完了すべき製品リリースが18ヶ月かかること、コアシステムが必要な形式でデータを公開できないためにデジタルチャネルの取り組みが進まないこと、そして元帳システムに構造化されたエクスポート機能がないため手作業での照合が必要となる規制報告プロジェクトなどが含まれます。これらは財務上の影響を伴うエンジニアリング上の課題であり、その解決は利用可能なモダナイゼーションパスを理解することから始まります。なぜなら、パスは一つではないからです。選択肢は3つあり、適切な選択は規制環境、現行システムの状況、そして移行中の組織のリスク許容度によって異なります。

モダナイゼーションのアプローチ

段階的なAPIレイヤーの導入
最も影響の少ないアプローチです。既存のコアバンキングシステム（CBS）を最新のAPIゲートウェイでラッピングし、基盤システムに手を加えることなく、デジタルチャネルにコア機能を提供します。これにより、製品チームは安定したインターフェース層を介して、モバイルアプリ、オープンバンキング連携、パートナーAPIなどを開発・提供できます。その間、本格的なモダナイゼーションの計画と資金調達を進めることが可能です。このアプローチは、不可逆的なコミットメントを生み出すことなく、時間を稼ぐことができます。コアシステムが安定しており、全面的な移行に伴う規制リスクが高い場合、またデジタルチャネルの迅速な展開が喫緊の課題である場合に、適切な出発点となります。

並行稼働とストラングラーフィグ移行
レガシーシステムと並行して、クラウドネイティブなコアバンキングシステム（Mambu、Thought Machine Vault、Temenos Transact、Finacleなど）を導入します。既存の口座はレガシーコアに残しつつ、新しい製品や顧客セグメントを最新プラットフォームに移行させます。移行は、製品ごと、セグメントごとといった段階的に進められ、一度に全てを切り替えることはありません。このアプローチにおける業界標準はストラングラーフィグパターンであり、各フェーズでレガシーシステムのフットプリントを縮小し、リスクなく廃止できるまで進めます。レガシーシステムがまだ稼働可能であるものの、その機能が制約となっているほとんどのモダナイゼーションプログラムにおいて、このパスが推奨されます。

段階的切り替えを伴う全面移行
レガシーCBSから新しいプラットフォームへの完全な移行です。これには、データ移行、完全な照合、規制当局への通知、そして切り替えが含まれます。これは最もリスクの高いアプローチであり、レガシーシステムが耐用年数を過ぎているか、ベンダーがサポートを終了している場合を除き、最初の選択肢としては推奨されません。このアプローチが必要となる場合、実行には綿密なデータ移行検証、並行照合の実施、そして切り替え日前のBaFinまたはFINMA管轄区域における規制当局の事前承認が求められます。

規制環境

規制された環境下でのコアバンキング移行は、純粋なエンジニアリング作業ではありません。BaFinが求める重要なインフラ変更に関する要件には、データフローの文書化、変更管理手順、そしてシステム上重要な変更に対する通知義務が含まれます。スイスのFINMAの基準も同様に厳格です。移行中のいかなる時点においても、記録システムが明確であり、監査証跡なしにデータが失われたり変更されたりしていないことを、金融機関が証明できることが求められます。

グラディオンのISO 27001認証プロセスは、この分野に直接適用可能です。特権アクセス制御、変更承認ワークフロー、セキュリティイベントロギングといったISO 27001の運用インフラは、BaFinおよびFINMAがインフラ変更管理に求める要件と合致します。グラディオンが300以上のコアバンキングアプリケーションの詳細なレビューを実施し、規制に準拠したマルチクラウド移行計画を策定したスイスのFINMA規制対象クライアントとの実績は、この能力を直接裏付けるものです。

テクノロジー

クラウドネイティブCBSプラットフォーム：Mambu、Thought Machine Vault、Temenos Transact（旧T24）、Finacle。ベンダープラットフォームが製品要件に合致しない場合、台帳、口座、取引などのコアコンポーネント向けにカスタムマイクロサービスアーキテクチャを構築します。監査証跡の完全性を確保するためのイベントソーシング：台帳におけるすべての状態変更を不変のイベントとして記録するパターンであり、規制監査要件と運用上の照合ニーズの両方を満たします。

APIレイヤー：RESTおよびGraphQLゲートウェイ、API管理プラットフォーム（Kong、AWS API Gateway、Azure APIM）、パートナー連携のためのOpenAPI仕様駆動型設計。

セキュリティとデータ処理

すべてのコアバンキングデータに対する保存時および転送時の暗号化。個人識別情報に対するフィールドレベル暗号化により、データベースアクセス権を持つ社内エンジニアであっても、明示的な承認なしに顧客データを読み取ることができないようにします。すべての特権操作に対するアクセスロギングと、監査要件を満たすためのログ整合性保護。金融記録保持義務の制約内で、顧客記録の消去権（right-to-erasure）の実装を含むGDPR準拠のデータアーキテクチャ。

実稼働環境での実績

スイスのFINMA規制対象のバンキングテクノロジープロバイダーは、スイス全土の数十のリテール銀行にサービスを提供し、毎日50万件の取引を処理しています。グラディオンは、300以上のコアバンキングアプリケーションのアーキテクチャをレビューし、AzureおよびGoogle Cloud上での規制準拠マルチクラウド設定を設計し、ハイブリッド移行計画を提供しました。これらすべては、プラットフォームが中断なく稼働し続ける中で実施されました。同プロジェクトの一環として、即時決済機能も有効化されました。

IDNowのKYCパイプラインは、同様のコンプライアンス規律の下で運用されています。BaFin関連環境でエンタープライズ規模の本人確認を構築するために必要な規制エンジニアリングは、KYCおよびAML統合が移行範囲に含まれるコアバンキングモダナイゼーションプログラムに直接応用可能です。

次のステップ

コアバンキングシステムとモダナイゼーションの目標についてお聞かせください。貴社の移行パスを策定いたします。