金融庁ガイドラインを読み解く：サードパーティリスク管理

金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン（以下、本ガイドライン）」に関する記事を続けています。今回は、サードパーティリスク管理について取り上げます。なお、本記事の内容は、あくまでも私個人の意見であることをご理解いただき、その上で参考になる部分があればご活用いただければ幸いです。

1.サードパーティリスクの管理態勢

サードパーティについて、本ガイドラインでは以下の通り記述されています。

2.6. サードパーティリスク管理
【基本的な対応事項】
①サイバーセキュリティに係る戦略、取組計画を策定する際にはサプライチェーン全体を考慮すること。
また、サードパーティを含む業務プロセス全体を対象としたサイバーセキュリティ管理態勢を整備すること。

②サードパーティのリスク管理のライフサイクル全体を通じ、サードパーティに起因するサイバーセキュリティリスクを管理するために必要な態勢を整備し、サードパーティリスク管理の方針を策定すること。

③サードパーティリスクを管理するための組織体制の整備（一元的に管理する統括部署の設置や、関係部署間の連携を含めた各部署の役割及び責任の明確化） 、組織内規程の策定を行うこと。

サードパーティの範囲はとても広く、サードパーティ全てのリスク管理をカバーするには複数の部署が関わる必要があることが少なくないと思われます。また、委託先管理など既存の取り組みもありますので、2.6.2.②に記載されている通り、一元的に管理する統括部署の設置や、関係部署間の連携を含めた各部署の役割及び責任の明確化が必要になってきます。


＜サードパーティの範囲は広い＞

2.リスクベースの管理

本ガイドラインでは一貫してリスクベースの対応が求められており、サードパーティに関するリスクベースの管理について以下の通り記述されています。

2.6. サードパーティリスク管理
【基本的な対応事項】
④サードパーティを特定し、サードパーティやサードパーティが提供する商品・サービスの自組織業務における位置づけ・役割・重要度、重要な情報（個人情報や営業機密等）の取扱いの有無、組織内システムへの接続状況（インターネット接続等の外部からのアクセスの容易さ）などをふまえ、サードパーティのリスク評価を行い、そのリスクに応じた対応をすること。

サードパーティのリスク評価を行い、そのリスクに応じて対応を行うには、リスク評価を行わなければいけません。そのためには共通の基準がある方がいいのではないでしょうか。その基準は前々回の記事「金融庁ガイドラインを読み解く：サイバーセキュリティリスクの分析手法について」で取り上げたシナリオベースのリスク分析で記載した「影響度」が活用できると思います。具体的には以下のような基準です。



リスク評価においては、まず、あるサードパーティにおけるサイバーインシデントによる最大の影響を評価し、その後、当該サードパーティや自社のセキュリティ対策を踏まえた評価を行います。前者、つまり対策前のリスクを固有リスク、後者、つまり対策後のリスクを残存リスクと言います。また、サイバーセキュリティは技術の進歩等によって対策の有効性が陳腐化しやすいため、定期的に見直す必要があります。

３.取引開始時のデューデリジェンス

本ガイドラインにはサードパーティとの取引開始時のデューデリジェンスについて詳しく記載されており、記載内容を十分に理解し取り組むことが必要です。

2.6. サードパーティリスク管理
【基本的な対応事項】
⑦サードパーティとの取引開始に当たっては、事前に定めた基準に基づき、デューデリジェンスを行うこと。
デューデリジェンスでは、例えば、以下の事項について、評価すること。なお、デューデリジェンスは、外部評価
（第三者保証報告書、第三者認証）の活用によるものも含まれる。
●サードパーティとの取引がもたらす潜在的なサイバーセキュリティリスクや脆弱性の評価。
●自組織がサードパーティに求めるサイバーセキュリティ（契約等で求める事項）の充足状況
●過去のインシデントの発生状況、当該インシデントへの対応、復旧、再発防止策の状況等
特に重要なサードパーティに対しては、サイバーセキュリティ管理態勢、サイバーインシデント対応計画、コンティンジェンシープランについても、評価を行うこと。

これも、サードパーティのリスク評価で記載した内容と同じようなプロセスになります。具体的には、これから取引を始めようとしているサードパーティについて、当該サードパーティにおけるサイバーインシデントによる最大の影響が一定以上（例：影響度3以上）であれば、当該サードパーティにおけるセキュリティ対策等を評価します。また、当該サードパーティにおけるセキュリティ対策等の評価においては、以下の点を考慮する必要があります。

●外部評価（第三者保証報告書、第三者認証）の活用
●過去のインシデントの発生状況、当該インシデントへの対応、復旧、再発防止策の状況
●サイバーセキュリティ管理態勢、サイバーインシデント対応計画、コンティンジェンシープランの確認

特に、「サイバーセキュリティ管理態勢」や「サイバーインシデント対応計画の評価」については、近年、様々な規定で追加されています。

4.サードパーティが遵守すべきサイバーセキュリティ要件

サードパーティが遵守すべきサイバーセキュリティ要件についても、本ガイドラインには具体的に記載されており、記載内容を十分に理解し取り組むことが必要です。

2.6. サードパーティリスク管理
【基本的な対応事項】
⑧サードパーティが遵守すべきサイバーセキュリティ要件を明確化の上、重要度に応じ、サードパーティ等との契約や SLA（サービスレベルアグリーメント）等において、例えば、以下の項目を明記すること。
●サードパーティとの役割分担・責任分界
●監査権限
●再委託手続
●実施すべきセキュリティ対策
●サードパーティの役職員が遵守すべきルール
●インシデント発生時の対応及び報告
●脆弱性診断等の実施及び報告
●深刻な脆弱性が判明した場合の対応及び報告
●サイバーセキュリティに係る演習・訓練の実施（共同演習・訓練への参加を含む）
●データの所在・保管・保持・移転・廃棄に関する取決め
●契約終了の条件及び契約終了時の取決め
●外部評価等の実施（第三者保証報告書の提出、第三者認証の取得を含む）

これらの項目は従来から項目も少なくありませんが、「インシデント発生時の対応及び報告」や「サイバーセキュリティに係る演習・訓練の実施（共同演習・訓練への参加を含む）」は、近年、様々な規定で追加されており留意しておく必要があります。

5.最後に

サードパーティリスク管理は、単なる契約管理や委託先対応にとどまらず、企業全体のセキュリティ態勢に直結する重要なテーマです。業務の外部委託が常態化する中で、個々の取引先に潜むリスクを見逃さず、全体として一貫性のある対策を講じることが、今後の組織運営において不可欠だと考えます。本記事で取り上げた内容が、皆さまの会社におけるサードパーティリスク管理の見直しや改善の一助となれば幸いです。