日本企業はEUのDORA（デジタルオペレーションレジリエンス法）にどんな対応をすべきか

Rubrik Zero Labsが発表した最新の調査「The State of Data Security in 2025: A Distributed Crisis（2025年のデータセキュリティの現状：分散型危機）」では、日本企業の脆弱性が浮き彫りになりました。

例えば、日本企業の95％がランサムウェア攻撃を受けた際に身代金を支払ったと回答しており（世界平均：86％）、35％が「クラウド上のデータの可視性と管理性が不足している」と答えています（世界平均：29％）。これらの結果は、日本企業がEUの「デジタルオペレーションレジリエンス法（DORA）」で定義される「ICTリスク管理」「迅速なインシデント対応」「事業復旧能力」を強化する必要があることを示しています。

DORAが定める義務、罰則とは

DORAは2023年1月に施行され、2025年1月に完全適用されました。この法律はEUの金融セクターにおけるサイバーセキュリティおよびICTリスク管理を強化するものです。増大するサイバー脅威やICT障害に対応するために導入され、EU全体で一貫したリスク管理の枠組みを構築することを目的としています。また、EU内で事業を行う日本の金融機関や、EUの金融機関と提携するICTベンダーにも影響を及ぼします。

ここでDORAの概要を整理しておきましょう。同規則では、金融機関に対し、サイバーリスクを評価・軽減するためのリスク管理体制を構築することを求めています。さらに、サイバーインシデントが発生した場合には、所定の期間内に報告を行う義務があります。

具体的には、インシデントを検知してから24時間以内、または重大インシデントと判断してから4時間以内に初回報告を提出し、その後72時間以内および1カ月以内に追報を行う必要があります。加えて、ICTシステムに対しては定期的なレジリエンステスト（耐性テスト）を実施し、サイバー脅威に関する情報共有、第三者ベンダーに起因するリスクの継続的な評価・監視も求められます。

これらの施策に加え、企業はサイバー攻撃が発生した際に迅速に事業を復旧できる体制を構築する必要があります。そのためには、最低限の業務継続を維持できるICTリスク管理と、実際の攻撃時に素早く行動できるよう、ツール・手順・仕組み・方針を事前に整備しておくことが求められます。

DORAの要件に違反した企業は、全世界の年間売上高の最大2％に相当する罰金を科される可能性があります。また、個人の場合は最大100万ユーロの罰金が科される可能性があります。さらに、「重要な第三者プロバイダー」に指定された事業者は、より高額な罰金の対象となり、企業は最大500万ユーロ、個人は最大50万ユーロに達する場合があります。

日本企業がDORAへの対応として実行すべき5つのステップ

以下は、日本企業がDORAへの対応としてすでに実行しておくべき5つのステップであり、まだの場合は今すぐに取り組む必要があります。

（1）DORAに準拠した強固なICTリスク管理体制の確立

規制当局からの調査や問い合わせに備え、リスク管理およびインシデント対応体制を裏付ける文書や証拠を提示できるようにしておくことが重要です。

具体的には以下が重要です。

• 体系的なサイバーリスク評価およびリスク対応策の策定
• インシデント発生時の迅速な対応および報告体制の構築
• ICTリスク管理の有効性を確保するための定期的な見直しと更新

（2）監査対応のための体制構築

EU当局からの監査や照会に迅速に対応できる体制を整えることが重要です。 確認すべき質問事項は以下の通りです。

• インシデント情報、ログ、その他関連データに迅速にアクセスできる体制があるか
• 関係部門および担当者間で明確な連携フローが確立されているか
• 実際の緊急事態に備えて、サイバーインシデント対応訓練やシナリオ演習を定期的に実施しているか

こうした備えはサイバーインシデントに対する保険のようなものであり、事前準備の度合いが被害や信用リスクを大きく左右します。

（3）定期的なレジリエンステストの実施

DORAで最も重要な要件の一つは、「重要ICTサービス提供者（CTPP）」に対するデジタル業務レジリエンスのテストを、統一された枠組みのもとで実施することです。これは単なるセキュリティ監査にとどまらず、組織全体の業務継続性を確保するための包括的なテストを意味します。

具体的なテストの例としては、以下があります。

• 脆弱性診断やネットワークスキャンによる基本的なセキュリティチェック
• 脆弱性を検出するためのペネトレーションテスト（侵入テスト）
• システムや運用上の弱点を特定するギャップ分析
• 実際の攻撃を模したレッドチーム演習などの高度なシミュレーション演習

企業はこれらのテスト体制を高度かつ効果的なレベルに引き上げる必要があります。DORAにおけるレジリエンステストは「任意」でも「推奨」でもなく、「義務」です。

（4）第三者契約を見直し、DORA準拠を確保する

すべての金融機関および第三者ICTパートナーは、既存の契約を慎重に確認し、DORAの要件に適合しているかを検証する必要があります。必要に応じて、法務部門と連携して契約内容を見直すことが望まれます。

（5）DORA関連の動向を継続的にモニタリングする

DORAは2025年1月17日に完全施行されましたが、技術的基準（RTS）や運用基準の詳細はまだ最終決定されていません。そのため、すべての組織は自社に関係するDORAの最新情報を継続的に追跡し、対応できる体制を整えておく必要があります。

実践的なステップとしては、以下のようなものがあります。

• 欧州当局によるDORA関連の公式発表やガイダンスを定期的に確認する
• 法務・コンプライアンス・セキュリティ部門の連携を強化し、情報を共有する
• 必要に応じて社内ルールや対応計画を更新する

このような積極的な姿勢が、長期的なコンプライアンスの維持と企業の信頼性向上につながります。

DORAは、世界中の金融システムにおけるデジタル業務のレジリエンスを強化するうえで大きな前進です。その要件は広範かつ厳格であるため、金融機関だけでなく第三者のサービス提供者にも直接的な影響を与える可能性があります。実際、日本企業の現状を見ると、DORAの基準に沿った対応の必要性がますます認識されつつあります。

強固なICTガバナンス、厳格なテスト、そして第三者監視の徹底というDORAの原則は、変化し続けるサイバー脅威の環境を乗り越えるうえで極めて重要です。これらの取り組みを組織文化や業務プロセスに深く根付かせることで、金融機関は規制遵守を果たすだけでなく、防御体制を強化し、ビジネスの継続性と顧客の信頼を維持することができます。