近年、ビジネスの複雑化やデジタル化の進展等で、従来の外部委託の形態にとどまらない、クラウドサービス事業者、フィンテック企業、スタートアップ企業等のサードパーティとの連携が増えています。サードパーティとの関係により、コスト削減やカスタマーエクスペリエンスの向上といった利益がもたらされる一方で、自社のレピュテーションやオペレーションの継続に影響を及ぼすようなインシデントも増加しています。また、コロナ禍や地政学的な問題によるリスク環境の変化や、気候変動や労働環境、腐敗・汚職への対応といった社会的要請の変化から、管理すべきサードパーティのリスク領域も拡大する傾向にあります。
一般的には、サードパーティのリスク管理は、外部委託先管理や取引先管理といった部分的なサードパーティを対象とした枠組や、情報管理/プライバシー、サイバー、贈収賄防止、マネロンおよびテロ資金供与防止といった各種リスク管理の枠組でバラバラに管理されています。こうした対応は取組の不整合や不効率を生じさせるため、拡大する管理対象やリスク領域への対応には、組織横断で一元的な管理態勢への変革が求められます。
KPMGは、サードパーティによって生じる様々なリスクに対応するためのサードパーティリスク管理態勢(TPRM)について、「現状の評価」「あるべき姿への移行」「管理の実行」の各フェーズで、各種リスク管理態勢の高度化支援の経験やグローバルネットワークの知見等を活かしてご支援します。
増加するサードパーティに起因するトラブル
システム運用の委託先によるソフトウェアの更新ミスでグループ傘下の複数の銀行に大規模なシステムが発生した海外の金融機関や、委託先従業員の不正により顧客資産や情報の流出が発生した事案等、委託先のミスや不正によるトラブルは従来より発生しています。加えて、委託関係にないサードパーティとの連携で生じたセキュリティ上の隙をつかれた事案、取引先へのサイバー攻撃により自社の業務を停止した事案等、サードパーティの態勢の脆弱性も自社業務に負の影響を与えます。こうしたサードパーティのトラブルは、様々なリスク領域で生じています。
| 業種/発生時期 | 事象の内容 |
|---|---|
自動車 2022年3月 |
車の内装部品を手掛ける大手自動車の取引先がサイバー攻撃を受けた。当該大手自動車は必要最低限の部品しか保有しない生産管理システムを整えており、当該システムは取引先にも接続されていたため、部品供給の停滞の恐れから、工場の操業を2日間停止した。大手自動車本体のみならず、グループ内でトラックや軽自動車を製造する自動車会社にも影響が出た。 |
インターネットサービス 2021年3月 |
SNSプラットフォームを提供するインターネットサービス企業がシステム管理を委託する中国の関連会社の技術者が、日本のユーザーの個人情報にアクセス可能な状態になっていることが判明した。その後の調査で、委託先技術者が当社の個人情報に1年間で139回アクセスしていたことが判明した。本件では個人情報保護委員会が同社に対して、業務委託先の監督体制が不十分だったとして行政指導を行った。 |
証券 2021年3月 |
証券会社のシステム開発・保守・運用の委託先の担当者が、証券会社の顧客のID、パスワード、暗証番号等を不正に取得し、顧客になりすまして有価証券を売却し、売却代金も含めた顧客の資金を証券口座から不正に出金した。被害総額は2億円にのぼる。業務上必要のないファイル転送を検知する適切な仕組みがなく、また個人のメールアドレスへの情報の転送防止する仕組みが機能しなかった。 |
資金移動業・銀行 2020年9月 |
資金移動業者と複数の銀行との口座連携において、顧客以外の第三者が不正に預金口座から顧客の資金が出金された。資金移動業者側は、メールアドレス1つで口座の開設が可能で、銀行口座情報があれば他人であっても紐づけられたことが原因となっていた。 |
外貨両替・銀行 2020年1月 |
外貨両替大手がマルウェアによるサイバー攻撃を受けて、対応にあたる期間、一時的にウェブサイトを閉鎖した。当社のシステムは、その他の複数の銀行のOnline Travel Money Serviceに利用されていたが、サイトの閉鎖の間、同様にシステムが使用できず顧客向けのサービスが停止された。 |
求められるサードパーティリスク管理態勢の要素
拡大する管理対象やリスク領域を効率的に管理するためには、組織全体で一貫した方針・手続を採用し、組織体制や責任者の設定、KPI/KRIの設定や報告といった管理の基礎となるガバナンスプログラムを整備した上で、サードパーティのオンボーディングから取引終了までのライフサイクルを継続的に管理できる枠組みが必要となります。特に、業務の効率化を図るためには、リスクベースアプローチの採用やテクノロジーの活用が欠かせません。
主なご支援 1 : TPRM成熟度評価
TPRM成熟度評価
KPMGは、欧米当局のガイドラインや先行的なプラクティスを基に、以下の2つの主要なセクションに焦点を当てて、効果的なTPRMプログラムのための主要な要素を整理しています。
- プログラム管理:サードパーティリスクに対応するための基礎的な要素
- プロセス管理:サードパーティリスクを低減するためのプロセス
KPMGは、サードパーティ管理に係る各所管部門とのワークショップを通して、企業のTPRMプログラムの成熟度評価を行い、高度化のための方向感・ロードマップの整理を支援します。
TPRM態構成要素
主なご支援 2 : サードパーティのマッピング支援
| TRPM成熟度評価 | サードパーティのマッピング支援 | サードパーティの背景調査 | サードパーティにおける サイバーリスク簡易評価 |
サードパーティのマッピング支援
オペレーショナル・レジリエンスはTPRMプログラムが最も効力を発揮するリスク領域であり、事業継続の耐性を強化するためには、集中リスクへの対応が欠かせません。集中リスクへの対応の最初のステップは、既存のサードパーティとの関係を整理し、サードパーティ、場所、システム/情報、人材等の関連事項を棚卸し、相互依存関係を把握することです。KPMGは、サードパーティのマッピングを行い、業務、情報、スキル等の集中ポイントの把握を支援します。
主なご支援3 : サードパーティの背景調査
| TRPM成熟度評価 | サードパーティのマッピング支援 | サードパーティの背景調査 | サードパーティにおける サイバーリスク簡易評価 |
サードパーティの背景調査(Astrus)
サードパーティ起用前のリスク評価やデューデリジェンスのための情報収集を支援します。KPMGは、30,000を超える情報ソースを対象に、調査対象に関連する情報を収集します。情報ソースは一般的なコンテンツプロバイダーが提供するデータベース以外にも、KPMG独自で調査した情報ソース、一般的な検索エンジンでは届かない深層にあるウェブサイト等もカバーしています。
サービスの詳細は、個人・企業の背景調査(経歴、誠実性、法令違反等)のページをご確認ください。
Astrusの主な調査項目
主なご支援 4 : サードパーティにおけるサイバーリスク簡易評価
| TRPM成熟度評価 | サードパーティのマッピング支援 | サードパーティの背景調査 | サードパーティにおける サイバーリスク簡易評価 |
サードパーティにおけるサイバーリスク簡易評価
サードパーティに対するサイバー攻撃は、企業の事業継続やセキュリティ上のリスクに影響を与えます。KPMGはサードパーティのサイバーセキュリティ管理体制や潜在的なサイバーリスクを簡易的に評価します。サードパーティのビジネス形態(ECサイトの保有有無等)や、対象企業の担当者へのアクセス可否等に応じて2種類のアプローチを用意してます。
- 外部から取得可能な情報に基づく「サイバーインテリジェンス調査」(K-CIT)
- 入手可能な内部情報(委託先チェックリストや契約書、業務報告書、等)による「サイバーセキュリティ管理体制簡易アセスメント」
KPMGの提供サービス
上記の他、KPMGは「評価」「移行」「実行」の各フェーズで様々なご支援を提供します。
| 評価 | 移行 | 実行 |
|---|---|---|
|
TRPM機能の現状の簡易レビュー(発見事項と推奨を提供) |
TPRMプログラムとプロセスコンポーネントの確立または強化(プログラムの文書化、ライフサイクルテンプレート、およびテクノロジーのビジネス要件の策定) |
サードパーティの事業継続および撤退計画 |
関連する規制要件に対するギャップ分析(発見事項と推奨を提供する) |
|
契約前および契約後のサードパーティのスクリーニングやモニタリングのための、エンド・ツー・エンドプロセスの実行。先進的なテクノロジーとデータ・ソースの先行プラクティス・プロセスへの組み込み |
機能強化の優先順位付けと、プログラムの展開に必要な活動規模の測定 |
TPRMプログラムおよびプロセスの構成要素の高度化(測定指標やレポート、データ分析、TPRMのリスク選好度など) |
契約前および契約後のリスク評価およびコントロール評価のポートフォリオの実行 |
3つの防衛線(3Lines of Defense)のコソース |
||
|
既存のサードパーティのマッピングにより、集中リスクや重要な業務・資産等の特定・整理の上、リスク低減策・出口戦略等を検討 |
