2026 KPMG グローバルサードパーティリスクマネジメント（TPRM）に関するサーベイ

不確実性の高まる世界における複雑性への戦略的対応

サードパーティリスクを取り巻く環境は急速に高度化しており、現在では規制遵守（コンプライアンス）およびサイバーリスクが、グローバルにおけるTPRM戦略を方向付ける主要なドライバーとなっています。かつてない変化のスピードと高度化する脅威に直面する中、2026年グローバルサードパーティリスクマネジメント（TPRM）に関するサーベイは、各組織の経営層がこれらの課題にいかに対応しているか明らかにするとともに、依然として残存する重要なギャップの所在を体系的に分析しています。

部分最適にとどまる段階的な改善や分断された取り組みではもはや十分とは言えません。851名の企業内有識者を対象とした本調査の結果は、多くの企業が成果を上げ始めている一方で、TPRMの真の全社的に統合された運用および実効性の確立には依然として大きな課題が残されていることを示しています。本調査は、サードパーティエコシステムにおけるレジリエンス（強靭性）と信頼性の確立を目指す企業が、これまでに達成してきた成果と、なお取り組むべき継続的な課題の双方を明確に浮き彫りにしています。

お問合せ

西嶌宏之

KPMG Forensic & Risk Advisory 代表取締役パートナー／KPMGジャパンおよびASPACフォレンジックサービス統括

KPMG Forensic & Risk Advisory

mail

本調査の詳細をご確認いただくことで、以下の点について理解を深めていただけます。

差し迫る脅威への対応という世界的な関心の高まりを背景に、規制遵守（コンプライアンス）およびサイバーリスクがTPRM戦略の最重要課題として位置付けられている理由。
約半数の組織が、自社のTPRMプログラムはERM（全社的リスク管理）と「概ね統合されている」と回答している一方で、完全な統合を実現しているのは5社に1社にとどまっている現状。
TPRMの中核業務におけるマネージドサービスおよびアウトソーシングへの依存が拡大している一方で、エンドツーエンド型のマネージドサービスモデルを採用している組織はわずか5％に過ぎないという実態。
TPRMにおけるAI活用の可能性と限界。過半数の組織がAIを活用しているものの、「非常に効果的」と評価しているのは4分の1にとどまり、多くの組織が依然として分断されたツール群に依存している状況。
データ品質が意思決定に与える影響。最高水準のデータ品質を確保していると回答した組織は5社に1社に限られるものの、高品質なデータを有する組織ほど、TPRMに関する意思決定の確信度が大きく高いという示唆。

規制遵守（48%）およびサイバーリスク（37%）が、TPRM戦略の中核を占めています。多くの組織において、TPRM戦略はいまだ「防御」を起点として策定されている実情を表しています。
TPRMにおける支出項目としては、リスク評価およびデューデリジェンス（52%）が最も多く、次いでTPRM向けのテクノロジー／ツール（51%）があります。さらに、サイバーセキュリティ／データ保護（49%）、規制監査（45%）が僅差で続く結果となっています。
サイバーリスクは特に中小規模の組織において重要性が高まっています。中小企業は、主たる防御手段としてサイバー対策に大きく依存している一方、大規模組織はより広範なリスクマネジメントに投資できるリソースを有しています。
業界ごとの差異も見られます。金融業界では規制主導型、ライフサイエンス分野では複雑なコンプライアンス対応に牽引され、製造業はESGやサステナビリティが主な推進要因となっています。
経営層の83%は今後1～3年でパートナーネットワークを拡大する計画ですが、48%はリスクマネジメントにおける協働の余地があると考えています。
サードパーティエコシステムの複雑化が進む中、リスクに応じた個別対応型アプローチを採用する重要性は一層高まっています。

企業のうち、自社のTPRMプログラムがERM（全社的リスクマネジメント）と概ね統合されていると回答したのはわずか53％であり、完全統合を達成しているのは18％にとどまります。
TPRMとERMはしばしばサイロ化しています。TPRMは日々のベンダーデータ管理に注力する一方、ERMはより上位の戦略的脅威を扱うため、リスク管理が断片化しがちです。
チームの分断、優先順位やアプローチの違いといった構造的・思想的な差異が、リスクに関する統一的な視点の確立を困難にしています。
今後3年間で71％の組織がTPRMとERMのさらなる統合を計画していますが、自社のTPRMデータを「完全に信頼できる」と評価しているのはわずか17％に過ぎず、重大なデータ品質ギャップが浮き彫りになっています。
このギャップを埋めるには、社内での目標の共有、部門横断的なガバナンス、データ品質への投資、そしてテクノロジーの戦略的活用が必要です。
統合の欠如は、戦略的なリスク管理やレジリエンスの構築を制限する要因となっています。

80％以上の組織がTPRMの中核業務においてマネージドサービスやアウトソーシング、あるいはその両方を活用していますが、エンドツーエンド型のマネージドサービスモデルを採用しているのはわずか5％です。
多くの組織は、TPRMライフサイクル全体ではなく、リスク評価やデューデリジェンス質問票などの個別かつ大量処理業務を外部委託しています。
統制の喪失や機密データ共有への懸念が、アウトソーシングやマネージドサービス拡大の大きな障壁となっています。
AIの進展は、パートナー型サービス提供モデルへの移行を促していますが、多くの組織では依然としてツールの「寄せ集め」による断片的な運用が続いています。
先進的なマネージドサービスでは、AIを活用した大量スクリーニングや、低リスク案件の迅速な対応を可能にするチャットボットなど、テクノロジー活用が進んでいます。
効果的な監督体制、強固なガバナンスフレームワーク、そして自社のリスクアペタイトとの整合性が、マネージドサービス導入の成功の鍵となります。
拡張性があり費用対効果も高く、信頼できるパートナーを求める動きが強まる中、エンドツーエンド型マネージドサービスは今後拡大が見込まれます。

テクノロジー、とりわけAIと自動化はTPRMを大きく変革しつつあり、リスク評価、デューデリジェンスの効率化の可能性をもたらしています。
多くの組織はTPRMを支えるシステムとして複数を利用しており、他プラットフォームとの統合が最大の課題となっています。その結果、相互に連携しないシステムの「パッチワーク」状態が生じています。
AI活用は拡大しており、回答者の約5割がAIを利用していると回答していますが、「非常に効果的」と評価するのは22％にとどまり、40％は「ある程度効果的」としています。
最も効果的なAI活用は、分断されたプロセスを横断的に接続し、エンドツーエンドのワークフローに明確な責任主体を持つ状態です。単一工程のみを担うサイロ型エージェントは効果が限定的です。
AIの潜在力を実現するには、戦略的な投資、部門横断的な連携、そしてパイロットから全社展開へと拡張する明確なロードマップが必要です。
システム統合、データ品質向上、そしてTPRMライフサイクル全体へのAI組み込みを優先することが、価値創出とレジリエンス強化の鍵となります。

TPRMの意思決定に対する信頼は、信頼性の高いデータに依存しています。高品質なデータを持つリーダーは、リスク管理に対する自信も高い傾向にあります。
最高水準のデータ品質を有していると回答した組織は17％に過ぎず、59％は概ね完全・正確・一貫しているとしています。
高品質データを有する回答者の52％はTPRMの意思決定に「非常に信頼している」と回答していますが、データ品質が低い組織の40％は「信頼していない」と回答しています。
データ品質の低さは、AIやマネージドサービス導入の大きな障壁であり、戦略的投資の効果を損ないます。
断片化したシステムや統一されていないデータ管理慣行は可視性を制限し、地域横断でのサードパーティリスク評価を困難にします。
データ品質向上には、データガバナンスの強化、標準化されたレポーティング、継続的な検証への投資を行う必要があります。

　総括

2026年グローバルサードパーティリスクマネジメント（TPRM）に関するサーベイは、今後取るべき明確な方向性を示しています。すなわち、リスクベースのスクリーニングを徹底し、組織内のサイロ化を解消するとともに、データ品質への戦略的投資を行い、目的志向に基づいたAIおよび自動化の導入を推進すること、さらに強固なガバナンスの下でマネージドサービスを効果的に活用することです。

これらの施策を着実に実行することで、組織はTPRMを単なるコンプライアンス対応上の要請から脱却させ、レジリエンス（強靭性）と競争優位性を創出するための戦略的基盤へと進化させることが可能となると思われます。