【超入門】金融庁が急かす「TPCRM」とは？「委託先」情報漏えいで“詰む”前に…

「外部委託」への責任転嫁はもう通用しない

　そもそも「サードパーティー」とは、直訳すれば“第三者”のことです。金融庁は2024年10月に出したガイドラインの中で、「自組織がサービスを提供するために、業務上の関係や契約などを有するほかの組織」と定義しています。

　具体的には、システム子会社やベンダーなどの外部委託先、クラウドなどのサービス提供事業者、資金移動業者などの業務提携先、API（ソフトウェア同士などをつなぐ仕組み）の連携先といった相手が、典型的なサードパーティーとして挙げられます。SaaSを提供する事業者もその一種と言えます。

　サードパーティーの活用によって自社が提供できるサービスの幅が拡大するメリットがある一方、委託先へのサイバー攻撃によって金融機関の顧客情報が漏れ出すなどのリスクもあります。

　仮に顧客情報の漏えいが生じた場合、当の金融機関が「我々は関係ない」などと外部事業者に丸ごと責任転嫁することを許せば、どうなるでしょうか。サードパーティーを活用する金融機関自体の信頼が失われ、結果的に顧客の利便性向上も期待しにくい世の中になりそうです。

　そこで重要なのが、金融機関が主体的に取り組むサードパーティーのサイバーセキュリティ管理（TPCRM：Third Party Cyber Risk Management）です。

　日本ではすでにサードパーティーの活用拡大によって、ITシステムの機器やソフトウェアの構成や調達関係が複雑になりつつあります。そこに来て、サイバー攻撃による情報漏えい事案が多発。金融庁は2024年10月に、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表し、TPCRM関連に対応する際の着眼点を示しました。

　その後も、各金融機関の連携先が特定のサードパーティーに集中していることや、情報の可用性（システムが止まらず、いつでも情報を引き出せること）と機密性の確保をいかに両立するかといった課題が浮かび、さらなる対応強化の必要に迫られています。

TPCRMを阻む“4つの壁”

　では具体的には、どのようにTPCRMに取り組むことが求められているのでしょうか。デロイトトーマツサイバーが金融庁から委託を受けて行った調査（「金融機関のサードパーティ・サイバーセキュリティリスク管理強化に関する調査」報告書）によると、金融機関は現状、TPCRMに取り組むにあたって、4つの課題を抱えています。

　まずは「サードパーティーの分類」。近年では“サードパーティー”として定義できるものが無数にあるため、「どこまでを管理対象とするのか」の範囲決めは難しくなりつつあります。そもそも金融庁ガイドラインに登場する“重要なサードパーティー”という言葉も、明確な定義や判断基準が存在しない現状があります。

　2つ目は「集中リスク」。つまり特定のサードパーティーに依存していないかといった課題です。クラウドサービスのプロバイダーを使用していた場合には特定の1社に依存する状況になりがちで、リスクに対する評価や出口戦略も明確になっていない傾向があります。

　3つ目は「期中モニタリング」。リスク管理は、サードパーティーと契約書を交わして終わりではありません。日々手口が変容・巧妙化するサイバー攻撃に対応するには、定期的な監視と対応が不可欠です。とはいえ、専門知識のある社内人材も限られており、いかに継続的にチェックするかといった課題を抱える事業者が少なくありません。

　そして最後が「サードパーティーに対する監査権の確保・手法」。契約書において、サイバーセキュリティ関連の条項を設けていない場合は、最低限必要となるセキュリティ対策も不十分となりかねません。また、サードパーティー側が協力的でない場合には、リスク管理に穴ができる懸念もあります。