【超入門】金融庁が急かす「TPCRM」とは？「委託先」情報漏えいで“詰む”前に…(2/2)

サードパーティーは絞り込むべきか

　こうした課題に対して、どのような対応策を取るべきか。今回のレポートでは、法令やガイドライン、欧米の金融機関の事例などを基に、日本国内でも応用可能と考えられるいくつかの具体案が示されています。

　1番目の「サードパーティーの分類」については、海外調査によって「TPRMにおいては、原則としてすべてのサードパーティーを管理の対象とすべきとの考え方が広く共有されていることが確認された」と報告しています。

　TPRM（Third Party Risk Management）とは外部の委託先に起因するあらゆるリスクを管理するTPCRMよりも広範な枠組みです。TPCRMはTPRMの中でも特に「サイバーセキュリティリスク」に特化した管理手法のことです。

　主流となっているのは、基本的にすべてのサードパーティーを対象にしつつも、運用においてはリスクの重要度に応じて対応する手法です。結果的に、“重要なサードパーティー”と定義する相手先は、サードパーティー全体の1～10％程度にとどまっているといいます。自社が管理可能な数に絞ることで一定の実効性を確保する現実解を各事業者が見出し、それぞれの落としどころにしている実態がうかがえます。

　2番目の「集中リスク」については、金融業界全体に影響を及ぼすレベルと、金融機関単体に影響を及ぼすレベルに分けて定義して、各国当局は前者、金融機関には後者と、リスク管理の役割を分担する潮流があります。

　集中リスクを測定する基準としては、「特定カテゴリに対する総支出金額」や「取引件数全体に関する支出金額や件数の割合」、「高リスク国において契約のあるサードパーティー数」といった指標を紹介しています。そして、はじき出した“集中度”をダッシュボードで常時把握し、代替先探しや内製化の検討に利用している事例があるといいます。

　3番目の課題である「期中モニタリング」に関して、欧米では定期的な再評価に加えて、リスクスコアリングツールなどが活用されています。その場合、ツールの調整や、リスク検知時のサードパーティーへの確認などで専門知識を持つ人材が必要となります。

　現実問題として、日本の中小金融機関では専門チームを組みにくい実情があります。重点的にモニタリング対象とするサードパーティーを絞り込むなどの対策が考えられ、業界全体としても「サードパーティーへの確認項目」などを標準化することが有効と言えます。

　4番目の「監査権の確保・手法」では、海外金融機関においては、標準契約書のひな型に、関連法令や監査権などの条項を設ける事例があると説明。ひな型を調整する場合には、法務部門に配置したサイバーセキュリティ担当者とともに対応するケースが示されました。

　また監査権には現地調査も含まれ、拒否した場合にはサードパーティー担当者のみならず、その上司や経営層にまで準拠を求める事例もあります。

委託先リスクをブラックボックス化させない方法

　以上の取り組みを時系列順に5段階で整理すると、まず重要なサードパーティーを特定するなどの「固有リスク・重要性評価」があります。そして、管理態勢の評価や出口戦略の策定を行う「デューデリジェンス」を経て、「契約」へと進みます。契約後も「継続的なモニタリング」を欠かさず、データ返還やサービス移行の「終了」までのリスク管理が要請されています。


　こうした取り組みを進める前提となる環境整備として、各部署が連携して動く態勢を整えておくことが重要です。サードパーティーの契約担当部署が、リスク評価や対応方針の策定を行い、購買部門などにおけるTPRM担当や、リスク管理部署、コンプライアンス部門などと連携して、サイバーセキュリティに限らずTPRMのルールを整備・実行し、運用状況を監督する態勢を整えることが期待されています。

　今やクラウドや外部ベンダーを利用せず、金融ビジネスを拡大することは不可能に近い状況です。だからこそ、サードパーティーのリスク管理をブラックボックス化させず、部門横断的な態勢で透明性を担保する必要があります。外部リソースの積極的な活用と、それに伴うリスクの厳格な統制を両立させることが、企業としての信頼獲得につながると考えられます。