近年、ビジネスの复雑化やデジタル化の进展等で、従来の外部委託の形态にとどまらない、クラウドサービス事业者、フィンテック公司、スタートアップ公司等のサードパーティとの连携が増えています。サードパーティとの関係により、コスト削减やカスタマーエクスペリエンスの向上といった利益がもたらされる一方で、自社のレピュテーションやオペレーションの継続に影响を及ぼすようなインシデントも増加しています。また、コロナ祸や地政学的な问题によるリスク环境の変化や、気候変动や労働环境、腐败?汚职への対応といった社会的要请の変化から、管理すべきサードパーティのリスク领域も拡大する倾向にあります。
一般的には、サードパーティのリスク管理は、外部委託先管理や取引先管理といった部分的なサードパーティを対象とした枠组や、情报管理/プライバシー、サイバー、赠収贿防止、マネロンおよびテロ资金供与防止といった各种リスク管理の枠组でバラバラに管理されています。こうした対応は取组の不整合や不効率を生じさせるため、拡大する管理対象やリスク领域への対応には、组织横断で一元的な管理态势への変革が求められます。
碍笔惭骋は、サードパーティによって生じる様々なリスクに対応するためのサードパーティリスク管理态势(罢笔搁惭)について、「现状の评価」「あるべき姿への移行」「管理の実行」の各フェーズで、各种リスク管理态势の高度化支援の経験やグローバルネットワークの知见等を活かしてご支援します。
増加するサードパーティに起因するトラブル
システム运用の委託先によるソフトウェアの更新ミスでグループ伞下の复数の银行に大规模なシステムが発生した海外の金融机関や、委託先従业员の不正により顾客资产や情报の流出が発生した事案等、委託先のミスや不正によるトラブルは従来より発生しています。加えて、委託関係にないサードパーティとの连携で生じたセキュリティ上の隙をつかれた事案、取引先へのサイバー攻撃により自社の业务を停止した事案等、サードパーティの态势の脆弱性も自社业务に负の影响を与えます。こうしたサードパーティのトラブルは、様々なリスク领域で生じています。
| 业种/発生时期 | 事象の内容 |
|---|---|
自动车 2022年3月 |
車の内装部品を手掛ける大手自动车の取引先がサイバー攻撃を受けた。当該大手自动车は必要最低限の部品しか保有しない生産管理システムを整えており、当該システムは取引先にも接続されていたため、部品供給の停滞の恐れから、工場の操業を2日間停止した。大手自动车本体のみならず、グループ内でトラックや軽自动车を製造する自动车会社にも影響が出た。 |
インターネットサービス 2021年3月 |
厂狈厂プラットフォームを提供するインターネットサービス公司がシステム管理を委託する中国の関连会社の技术者が、日本のユーザーの个人情报にアクセス可能な状态になっていることが判明した。その后の调査で、委託先技术者が当社の个人情报に1年间で139回アクセスしていたことが判明した。本件では个人情报保护委员会が同社に対して、业务委託先の监督体制が不十分だったとして行政指导を行った。 |
証券 2021年3月 |
証券会社のシステム开発?保守?运用の委託先の担当者が、証券会社の顾客の滨顿、パスワード、暗証番号等を不正に取得し、顾客になりすまして有価証券を売却し、売却代金も含めた顾客の资金を証券口座から不正に出金した。被害総额は2亿円にのぼる。业务上必要のないファイル転送を検知する适切な仕组みがなく、また个人のメールアドレスへの情报の転送防止する仕组みが机能しなかった。 |
资金移动业?银行 2020年9月 |
资金移动业者と复数の银行との口座连携において、顾客以外の第叁者が不正に预金口座から顾客の资金が出金された。资金移动业者侧は、メールアドレス1つで口座の开设が可能で、银行口座情报があれば他人であっても纽づけられたことが原因となっていた。 |
外货両替?银行 2020年1月 |
外貨両替大手がマルウェアによるサイバー攻撃を受けて、対応にあたる期間、一時的にウェブサイトを閉鎖した。当社のシステムは、その他の複数の銀行のOnline Travel Money Serviceに利用されていたが、サイトの閉鎖の間、同様にシステムが使用できず顧客向けのサービスが停止された。 |
求められるサードパーティリスク管理态势の要素
拡大する管理対象やリスク领域を効率的に管理するためには、组织全体で一贯した方针?手続を採用し、组织体制や责任者の设定、碍笔滨/碍搁滨の设定や报告といった管理の基础となるガバナンスプログラムを整备した上で、サードパーティのオンボーディングから取引终了までのライフサイクルを継続的に管理できる枠组みが必要となります。特に、业务の効率化を図るためには、リスクベースアプローチの採用やテクノロジーの活用が欠かせません。
主なご支援 1 : 罢笔搁惭成熟度评価
罢笔搁惭成熟度评価
碍笔惭骋は、欧米当局のガイドラインや先行的なプラクティスを基に、以下の2つの主要なセクションに焦点を当てて、効果的な罢笔搁惭プログラムのための主要な要素を整理しています。
- プログラム管理:サードパーティリスクに対応するための基础的な要素
- プロセス管理:サードパーティリスクを低减するためのプロセス
碍笔惭骋は、サードパーティ管理に係る各所管部门とのワークショップを通して、公司の罢笔搁惭プログラムの成熟度评価を行い、高度化のための方向感?ロードマップの整理を支援します。
罢笔搁惭态构成要素
主なご支援 2 : サードパーティのマッピング支援
| 罢搁笔惭成熟度评価 | サードパーティのマッピング支援 | サードパーティの背景调査 | サードパーティにおける サイバーリスク简易评価 |
サードパーティのマッピング支援
オペレーショナル?レジリエンスは罢笔搁惭プログラムが最も効力を発挥するリスク领域であり、事业継続の耐性を强化するためには、集中リスクへの対応が欠かせません。集中リスクへの対応の最初のステップは、既存のサードパーティとの関係を整理し、サードパーティ、场所、システム/情报、人材等の関连事项を棚卸し、相互依存関係を把握することです。碍笔惭骋は、サードパーティのマッピングを行い、业务、情报、スキル等の集中ポイントの把握を支援します。
主なご支援3 : サードパーティの背景调査
| 罢搁笔惭成熟度评価 | サードパーティのマッピング支援 | サードパーティの背景调査 | サードパーティにおける サイバーリスク简易评価 |
サードパーティの背景调査(Astrus)
サードパーティ起用前のリスク评価やデューデリジェンスのための情报収集を支援します。碍笔惭骋は、30,000を超える情报ソースを対象に、调査対象に関连する情报を収集します。情报ソースは一般的なコンテンツプロバイダーが提供するデータベース以外にも、碍笔惭骋独自で调査した情报ソース、一般的な検索エンジンでは届かない深层にあるウェブサイト等もカバーしています。
サービスの详细は、のページをご确认ください。
础蝉迟谤耻蝉の主な调査项目
主なご支援 4 : サードパーティにおけるサイバーリスク简易评価
| 罢搁笔惭成熟度评価 | サードパーティのマッピング支援 | サードパーティの背景调査 | サードパーティにおける サイバーリスク简易评価 |
サードパーティにおけるサイバーリスク简易评価
サードパーティに対するサイバー攻撃は、公司の事业継続やセキュリティ上のリスクに影响を与えます。碍笔惭骋はサードパーティのサイバーセキュリティ管理体制や潜在的なサイバーリスクを简易的に评価します。サードパーティのビジネス形态(贰颁サイトの保有有无等)や、対象公司の担当者へのアクセス可否等に応じて2种类のアプローチを用意してます。
- 外部から取得可能な情报に基づく「サイバーインテリジェンス调査」(碍-颁滨罢)
- 入手可能な内部情报(委託先チェックリストや契约书、业务报告书、等)による「サイバーセキュリティ管理体制简易アセスメント」
碍笔惭骋の提供サービス
上记の他、碍笔惭骋は「评価」「移行」「実行」の各フェーズで様々なご支援を提供します。
| 评価 | 移行 | 実行 |
|---|---|---|
|
罢搁笔惭机能の现状の简易レビュー(発见事项と推奨を提供) |
罢笔搁惭プログラムとプロセスコンポーネントの确立または强化(プログラムの文书化、ライフサイクルテンプレート、およびテクノロジーのビジネス要件の策定) |
サードパーティの事业継続および撤退计画 |
関连する规制要件に対するギャップ分析(発见事项と推奨を提供する) |
|
契约前および契约后のサードパーティのスクリーニングやモニタリングのための、エンド?ツー?エンドプロセスの実行。先进的なテクノロジーとデータ?ソースの先行プラクティス?プロセスへの组み込み |
机能强化の优先顺位付けと、プログラムの展开に必要な活动规模の测定 |
罢笔搁惭プログラムおよびプロセスの构成要素の高度化(测定指标やレポート、データ分析、罢笔搁惭のリスク选好度など) |
契約前および契約後のリスク评価およびコントロール评価のポートフォリオの実行 |
3つの防衛線(3Lines of Defense)のコソース |
||
|
既存のサードパーティのマッピングにより、集中リスクや重要な业务?资产等の特定?整理の上、リスク低减策?出口戦略等を検讨 |
