アフター or Withコロナの委託先管理

こんにちは。GRCプラットフォーム部の徳永です。

年初からの新型コロナウイルスおよびテレワーク等への対応で、特にリスク管理や人事・総務系を担当されている皆様においては疲労も蓄積されている状況かと思います。
改めて皆様のご苦労に厚く御礼申し上げます。

弊社でも引き続きリモートワークが推奨されており、オフィスは相変わらず閑散とした状態が続いています。そんな中で頭を悩ませるポイントの一つが、外部委託先の企業や社員に対して委託元としてどういったお願いをするか、あるいは自社のポリシーをどこまで適用するかではないでしょうか。
※弊社は委託先としても、委託元としてもビジネスを行っているため、双方の立場で考える機会があります。

外部委託を行っている中で、避けては通れないプロセスとして、委託先管理やサプライヤーリスク管理というものがありますが、この度の新型コロナウイルスへの対応で、この辺りのプロセスにも見直しが入るきっかけになるかもしれません。

と申しますのも、従来であれば、

1. 委託先としての選定時に、与信・反社チェック等を実施
2. 契約締結後に委託先へのアセスメントシート送付
3. 2の結果等を踏まえて、必要に応じて立ち入り監査等を実施し、アセスメントシートの回答を確認
4. 1-3の結果と現在の委託内容を踏まえて、今後の該当委託先への発注についての見直し

というようなPDCAプロセスがを回していくのが一般的かと思いますが、会社間の立ち入りが憚られる現在、特に３点目のプロセスについて、どういう代替案を取るのがいいのか？弊社のお客様や関係企業も頭を悩ませています。

そんな状況で、弊社はこの度「外部委託先サイバーリスクアセスメントサービス」をローンチ致しました。
外部委託先の企業に対して何一つ負担をかけることなく、専門のアナリストがリモートから委託先のセキュリティ対策状況をスコアリングするサービスとなります。
イスラエルのIntSightsという企業とのコラボレーションのサービスとなります。

これを持って立ち入り監査の代替として万全です！というわけではありません。方向性や内容の補完性が高いかと言えば、それは言い切れません。あくまでコロナの収束までの暫定的な代替案として、本サービスの利用というのがJust Ideaと言うニュアンスです。

もちろん本サービスは、弊社の委託先リスク管理のクラウドサービスである、Supplier Risk MTとの連携も万全です。

昨今のガイドラインや方針に従って受け身の委託先管理を行っている会社様も多いと思いますが、本質的には単に委託先に対してアンケートを取るのが委託先管理ではありません。
委託内容（金額、重要度、個人情報や機密情報の受け渡し等）を踏まえた上で、その委託先に引き続き委託を行うか、なんらかの是正措置を行うか、或いは部門や子会社の間で委託先情報の共有を行って、購買等の最適化を行うことが本来の目的となります。

これからも外部委託先管理の最適化に貢献できるよう、サービス開発に精進したいと思います。

▼サービス詳細は以下をご覧ください

外部委託先サイバーリスクアセスメントサービス