金融サービスにおける BYOD の終焉?

公開: 2023-01-25

Gartner に入社する前は、キャリアのほとんどを金融サービスに携わってきました。 私が覚えている限り、モバイル BYOD は私たちの戦略に不可欠な要素でした。 しかし、最近ウォール街の多くの企業に対して 20 億ドル以上の罰金が科されたとき、それは確かに私の注意を引きました。 これは、金融サービスにおける BYOD の将来にとって何を意味するのでしょうか?

金融サービスにおける BYOD は新しいトレンドではありません

モバイル BYOD プログラムは、長年にわたって主流の地位を獲得してきました。 組織は、主にお金と労力を節約するために、厳密に管理された企業デバイスを管理の軽い個人用デバイスに置き換えました。 多くの州や国で従業員への払い戻しが義務付けられているため、節約は完全には実現されないことがよくありました。 そのため、多くの企業が自社の BYOD プログラムを従業員のエクスペリエンスを向上させる方法として位置付けようとしました。 従業員が自分の好きなデバイスを私生活で使用できるようにすることで、エクスペリエンスが向上することは事実です。 しかし、組織にとってのコストは何ですか?

多くの金融サービスの従業員は、記録保持規制の対象となります

金融サービス企業は、何年にもわたって BYOD を採用してきました。 ただし、重要な問題は、関連するすべての電子通信を監視およびアーカイブする必要があることです。 関連する政府の規則および規制には、次のものがあります。

  • 米国: 証券取引委員会 (SEC) 17(a)(1) および 17(a)(4)。 1 FINRA 規則 3110 および 3120。 2投資顧問法第 204 条および規則 204-2(a)(7) 3
  • 英国: Financial Conduct Authority (FCA) SYSC 9.1 および 10A.1.6、および Conduct of Business Sourcebook (COBS) 11.8 4
  • 欧州連合: ESMA MiFID II 5
  • 日本:金融庁 — 監督指針6
  • シンガポール通貨庁​​: 金融アドバイザー規則 (セクション 25) 7

分水界モーメント

SEC と CFTC の罰金は、個人のデバイス上の未承認および監視されていないメッセージング アプリケーションを介して行われたビジネス上の問題に関する通信を保持できなかったことに焦点が当てられていました。 これらの企業は、承認されていない通信を具体的に禁止するポリシーを実施していましたが、SEC と CFTC は、これらのポリシーを確実に遵守するために従業員のデバイスの使用を適切に監視していないことを発見しました。 これらの罰金が科されるまでは、特定のアプリのみを業務活動に使用するよう従業員に指示し、これらの要件を確実に認識させ、従業員ポリシーの証明を要求するだけで十分であると一般に信じられていました。 規制当局は同意しませんでした。

現在、規制対象の従業員向けにモバイル BYOD プログラムを実施しているほとんどの金融サービス組織は、電子通信規制へのコンプライアンスの欠如により罰金を科される可能性があると想定するのが論理的です。

プライバシーに対する不可侵の権利が BYOD を複雑化

プライバシーに対する権利は、一般に、譲ることのできない権利として定義され、譲渡できない権利と見なされます。 所有者の同意があっ譲渡または譲渡することはできません。 これは、規制への準拠を完全に保証するという組織の要件と矛盾します。 従業員の個人用デバイスを手動または電子的に完全に検査することはほぼ不可能であるため、ほとんどの組織は、コンプライアンスの証拠を提供するために従業員の証明書に依存しています。 SEC が発見したように、従業員の証明は不正確なプロセスです。 違反に対する罰則は厳しく、多くの場合、正式な懲戒または解雇が含まれるため、従業員が違反を自己開示する可能性は低いです。

組織は、記録保持義務を遵守するための努力が従業員のプライバシー権を踏みにじるものではないことを検証することが重要です。これは、法的な問題を引き起こし、従業員の士気と文化に悪影響を及ぼします。 個人のデバイスを強制的に監視することは、現実的ではありません。 ただし、企業が従業員の個人用スマートフォンを監視するために技術的および法的課題に直面しているという事実は、規制当局にとって重要ではないことが証明されています.

唯一の許容できる解決策

残念ながら、唯一受け入れられる解決策は、金融サービス内で規制を受ける個人向けのモバイル BYOD プログラムを廃止し、厳重に管理された企業デバイスを発行することだと思います。 これらのデバイスを、規制に完全に準拠して監視およびアーカイブできるアプリケーションとサービスのみに制限します。 これが、過去数年間に見られた従業員体験の重要性の高まりと大きな矛盾をもたらすことを認識していますが、SEC はこれを灰色の領域とは見なしていません。 彼らの判断では、あなたは規制に準拠しているか、準拠していないかのどちらかです。 コンプライアンス違反に対する罰則は、許容できる「ビジネスのコスト」にならないようにするのに十分なほど厳しいものです8

「一日の終わりに」の議論はどうですか?

次の質問をよく耳にします。 「しかし、結局のところ、従業員は会社のデバイスを仕事に使用せず、代わりに個人のデバイスを使用するのではないでしょうか?」 確かに、彼らは簡単に規制に違反できるようにする、利用可能な個人用テクノロジーの選択肢をたくさん持っています。 不正な従業員が非準拠を選択できる方法が非常に多いのに、なぜ BYOD プログラムを放棄する必要があるのでしょうか? 答えは簡単です。 彼らの個人的な技術オプションはあなたから提供されたものではありません。 従業員に提供するテクノロジーがすべての規制に完全に準拠していることを確認し、ポリシーが完全に認識されていることを確認する義務があります。 不正な従業員は常に存在し、ポリシーだけでは完全なコンプライアンスを保証することはできませんが、これらを言い訳として使用して、規制要件の履行を妨げたり遅らせたりするべきではありません。

私の共著者である Erin Pierre と Pankil Sheth に特別な感謝の言葉を贈ります。

証拠

1 SEC 解釈: ブローカー ディーラー記録の電子ストレージ、米国証券取引委員会。

2 3110. 監督および 3120. 監督制御システム、FINRA。

3電子メッセージに関連する投資顧問試験、コンプライアンス検査および試験局からの所見。

4 FCA ハンドブック、Financial Conduct Authority。

5 MIFID II、欧州証券市場庁。

6監督指針・方針、金融庁。

7 Financial Advisers Regulations、Singapore Statutes Online。

8 PLI ブローカー/ディーラー規制および施行 2021 年、米国証券取引委員会。