企業は、これまで、人件費の削減、効率性の向上、付加価値の高い業務への集中などを目的に、サードパーティへの依存度を年々高めてきました。ただ、新たな個人情報保護規制では、外部の第三者を活用することで生じる可能性があるリスクを特定、対処し、軽減することが求められています。そのため、基本的な契約上の合意や紙面上の評価だけでは、サードパーティの安全性を確保することができなくなってきています。
本レポートは、先日KPMGが開催したラウンドテーブル・セッションの結果を基に、サードパーティセキュリティについて考察します。
ラウンドテーブル・セッションには、さまざまな規模、市場、業界の企業に参加いただきました。各社のサードパーティセキュリティプログラムの構築に対する成熟度はさまざまでしたが、アンケートを実施したところ、以下のような共通の課題が浮かび上がってきました。
サードパーティセキュリティの課題
手間のかかるプロセス
サードパーティセキュリティへの取組みは、さまざまなボトルネックのために複雑なマニュアル作業となっています。例えば、ベンダーへのセキュリティアセスメント項目への依頼については、サービスや製品の調達が遅れないよう、回答してもらうために何度も働きかける必要があります。アセスメントの質問項目は企業ごとに異なるため、自分たちが提供しているサービスに適用できる質問が限られていることに不満を感じるベンダーも多く見られます。
サードパーティセキュリティプログラムと調達との断絶
調達業務とサードパーティセキュリティレビューは密接に関連していますが、この2つのグループは報告系統が異なり、プロセスもバラバラです。ベンダーとの契約に時間的余裕がない場合、サードパーティセキュリティチームの関与なしに契約が締結される恐れがあります。一部のセキュリティ条項が不用意に削除され、セキュリティ管理の実施に支障をきたしますこともあります。また、組織内のさまざまな部門からベンダーの情報が重複して入力されると、サードパーティセキュリティチームの作業量が増え、混乱を招く可能性もあります。
一貫性の維持
サードパーティセキュリティプログラムは、日々増加するベンダーの評価に苦労しています。必要なデータポイントを収集するためにベンダーの再評価を義務付ける規制にも対応しなければなりません。また、必要な文書の数が増えるにつれ、すべてのベンダーを同じレベルで評価することが困難になっています。
人工知能の導入
企業はサードパーティセキュリティリスクを管理するためのソリューションやデータをすでに保有しているにもかかわらず、複数の情報システムを統合し、付加価値の低いタスクを自動化する仕組みが不足しています。解決策は、このような課題を理知的かつプロアクティブに特定し、対処することができる統合型の人工知能(AI)ソリューションです。
最も基本的なレベルでは、AIデジタルワーカーにサードパーティのセキュリティプロセスのフロントエンドとして機能させ、社内のビジネスチームが提示する簡単な質問に答えさせます。社内の誰もがベンダーの導入を依頼することができ、その後、AIデジタルワーカーが、ベンダーがすでにシステムに存在するかどうかを確認します。
強力なAI機能と自然言語理解(NLU)を備えたデジタルワーカーは、ユーザーがベンダーに何を依頼したいのかを説明することで、調達プロセスをさらに簡素化することができます。そして、セキュリティチームでアセスメントができるよう、AIシステムがサードパーティセキュリティチームに入力内容を転送します。AIデジタルワーカーはベンダーとの契約に関する質問やアセスメントの過程で発見された問題に答えることもできます。
さらに一歩進むと、AIデジタルワーカーに、ベンダーの窓口とのやりとりを代行させます。高度なデジタルワーカーは、アセスメントに対するベンダーの回答に対し、過去に確認された問題を活用してフォローアップの質問をすることができるほど "賢い"のです。最終的には、アセスメント項目をベンダーごとにテイラーメイドすることも可能です。
AIのビジネスケースを構築する
AIデジタルワーカーのビジネスケースは、定量的および定性的な要素の両方に対応する必要があります。圧倒的な数のサードパーティとその関連データは、最も成熟した設計のサードパーティリスク管理プログラムでも取り組むことがますます困難になっている課題です。AIデジタルワーカーは、サードパーティプログラムの効率化に加え、大量のデータ処理、インサイトの生成、反復的な作業ではなく重要なリスク分野へのフォーカスのシフトを可能にするという形で、非常に大きな価値を提供します。
AIのビジネスケースを作るには、ワークフローの合理化、自動化による効率化、人件費の削減、トレーニングおよびテクノロジーコストの削減、長期的なサードパーティの管理にかかる投資対効果を重視した価値提案が必要です。
つまり、サードパーティのセキュリティ対策にAIデジタルワーカーを導入することで、運用コストの削減、より効果的なリスクの軽減、人件費の削減が可能となります。時間とリソースを解放することで、企業はサードパーティセキュリティプログラムを最先端に押し進めるための努力に再び集中することができます。
本稿は、KPMGインターナショナルのサイトで紹介しているレポートのサマリーとなります。
全文は下記のリンクよりご覧いただけます。
全文はこちらから(英文)
Streamlining third-party risk management with AI