「コロナ時代のBCP」第11回。金融業界ではデジタル化により外部企業と連携する機会が増え、それに伴い新しいリスクへの対応も必要となっています。今回は、金融機関のBCP(事業継続計画)として対応すべきサードパーティリスクについて解説します。
本連載は、日経産業新聞(2021年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
新たなリスク対応は新型コロナウイルス感染症(COVID-19)などのパンデミックに限らない。金融業界ではデジタル化により多くの外部企業との協業が加速度的に増えており、そうしたことが引き起こす新しいリスクへの対応も必要になってきている。
実際、外部協業は増えており、外のシステムと広く連携する技術仕様「オープンAPI(アプリケーション・プログラミング・インターフェース)」の導入やそれに伴うスマートフォンアプリ上での機能連携、金融機関の機能をクラウドを通じて個別に提供するBaaS(バンキング・アズ・ア・サービス)、電子決済代行業者との提携など実に多様な形態がある。
金融機関のビジネスはもはや単独では成り立たず、委託契約のない外部企業(サードパーティ)を含めて多くの取引先の上で実現されている。こうした状況を踏まえ、金融機関のBCPとして対応すべきリスクのなかで重要性が増しているのが、以前からのサイバーセキュリティに加え、最近台頭してきたサードパーティリスクである。
サイバー攻撃はさまざまな対策を講じている金融機関が多いものと思われる。一方、外部委託先を含めた広義のサードパーティリスクの例として、社員とほぼ一体となって働く委託先社員による不正などが考えられるが、それへの備えは十分であろうか。また、他社システムとの連携でも他社起因での障害や不正などが自社の業務を直撃することも想定される。
しかし、こうしたリスクへの対策はまだ十分でない企業が多い。既存の外部委託先はリスク管理部門などで全社包括的に一元管理しているものの、それ以外のサードパーティについては一元管理の対象から外れ、該当サービスを利用する部門がおのおののやり方で管理する傾向にあり、管理レベルに濃淡がある。
その対策には、外部委託先管理の適用範囲をサードパーティまで広げるだけでは十分ではない。管理の方法を、実現すべき水準を設定して一律にその要件の充足を求める「ベースラインアプローチ」から、サードパーティの業務のリスク度合いに応じて対策する「リスクベースアプローチ」に変える必要がある。
また、これらの外部企業とインシデント(事故につながる事態)発生時の対応手順の整備、共同訓練の拡充が肝要である。外部企業側でインシデントを検知した際の連絡窓口、実施中サービスの停止・復旧基準、関係先への連絡方法などを事前に協議し、BCP手順として整備しておくこと、テスト環境などを利用して外部企業も交えた訓練の実施、BCPの刷新なども考えられる。
デジタル改革に伴い、外部企業との連携は今後も増える。これまでのように自社と直接的な業務委託先のみに着目していたBCPでは役に立たない。継続的にリスクへの感性を磨き、起こり得るシナリオへ想像力を駆使して入念に備えることで、外部企業も含めたレジリエンスな(回復力のある)態勢が実現できるものと考える。
| サードパーティリスクの例 | |
|---|---|
| テクノロジー・サイバー | システム起因の業務停止や情報漏洩など |
| サプライチェーン | 災害などによる要員の移動制限や物流の寸断など |
| 評判(レピュテーション) | ネガティブニュースや訴訟など |
| 規制・コンプライアンス | 規制違反や盗難、犯罪、紛争など |
執筆者
KPMGコンサルティング パートナー 山下 雅和
日経産業新聞 2021年5月4日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
