遥か先にいる魑魅魍魎を捕らえよ ～サードパーティリスク管理の課題～

サードパーティの範囲は情報セキュリテイに関連するベンダーに限られるものではなく、管理対象は広範にわたる。サードパーティとは、「自組織がサービスを提供するために、業務上の関係や契約等を有する他の組織」と定義される。これには、実態として外部委託と同視しうる場合も含まれ、業務上の関係を有していれば、契約の有無は関係ない^※5。業務上の関係があれば、サードパーティの企業行動によって自社が負の影響を受けるリスクが潜在することは否定できず、形式上の契約の有無は無関係だからである。
したがって、サードパーティには、企業活動を行うために必要な全ての関係先、サプライチェーン上にいる全ての関係先が含まれる。ただし、管理対象とするか、管理レベルをどうするかについては、当該リスクを評価した上で決定する必要がある。

※5 ガイドラインでは、脚注18で、サードパーティを以下のように定義している。
サードパーティとは、自組織がサービスを提供するために、業務上の関係や契約等を有する他の組織をいう（例：システム子会社やベンダー等の外部委託先、クラウド等のサービス提供事業者、資金移動業者等の業務提携先、API 連携先）。外部委託先とは、業務を委託している組織をいう（金融機関等が金融 サービスを提供するために外部委託するシステム（共同センター等を含む）のベンダーなど。形式上、外部委託契約が結ばれていなくともその実態において外部委託と同視しうる場合や当該外部委託された業務等が海外で行われる場合も含む）。

バーゼル銀行監督委員会が2024年7月に市中協議文書を公表して以来、金融業界において議論が行われてきた「諸原則」が2025年12月に最終化され、公表された。この諸原則は、デジタル化に伴い銀行がサードパーティへの依存を深めていることを踏まえ、これまで公表してきた諸文書をアップデートし、銀行がサードパーティリスク管理の実効性を高めることを企図して策定されたものだ。
「諸原則」の主なポイントの一つに、サプライチェーンの先にいるサードパーティ（Key nth party）について、“銀行への重要なサービスの提供に関与している場合には、管理の対象とするよう要請”していることが挙げられる^※9。こうした直接の契約関係がない“Nth parties”との関係が孕むリスクを捕捉することは、まさに“遥か先にいる魑魅魍魎を捕らえる”ようなものだが、サードパーティを一元管理し、TPRMを実施する上では避けては通れない論点だ。サードパーティを通じたKey nth partyの捕捉とリスクの評価による魑魅魍魎の可視化、継続的モニタリングと定期的なリスク評価の洗い替えといった対応を、“Keyとなるパーティーを選定した上で如何にして実装させるか”が経営上の課題となろう。
なお、TPRMに関する議論は、規制業種である金融機関に議論が集中しがちであるが、サードパーティリスクは規制業種である金融機関だけでなく全業種において管理を実施すべきリスクだ。経済安全保障推進法は、金融を含む14の分野^※10を対象としているが、サードパーティも同法における事前審査の対象となっている。リスク管理は法規制対応のために実施するものではないが、法規制は採るべき対応を見極めて加速させるアクセルの側面も有している。TPRMに関しては、非対象事業者においても同法を意識した委託先審査を進めておくことが有益だ。

アビームコンサルティングでは、管理対象となるサードパーティおよびリスクの選定など課題管理の支援、管理プラットフォームの導入・構築の支援、リスク評価やモニタリングの管理・運用の支援など、TPRMに関する実務的な課題解決に貢献したいと考えている。

※9 III. Definitions、パラグラフ10において、以下の通り定義している。
Nth party: A service provider that is part of a TPSP’s supply chain. This term includes, but is not limited to, subcontractors of the TPSP.
Key nth party: An nth party that supports and is essential to the ultimate delivery of a critical service to a bank.

※10 電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、およびクレジットカード。