経済安全保障推進法とサードパーティ・リスク管理

はじめに

現在の企業は、業務をサポートしたり、顧客に製品やサービスを提供するために、様々なサードパーティ(委託先、再委託先を含む)のサービスを利用し、その恩恵を受けています。その一方、企業はサードパーティのサービスやリソースに依存することでサードパーティとの関係に伴うリスクも抱えています。こうしたリスクの多くは、データの不正アクセス(情報漏洩)、コンプライアンス違反、財務的損失、詐欺、事業の中断、風評被害による企業イメージやブランドの棄損など、企業にとって重大な問題をもたらす可能性があり、企業はサードパーティに関連するリスクを適切に管理し、対処していくことが求められています。

こうしたサードパーティに対するリスク管理は、企業だけの問題ではありません。経済安全保障の面においても、国⺠の⽣存や、国⺠⽣活・経済活動に甚⼤な影響のあるサービスやインフラを提供する企業に対し、関連するサードパーティも含めたリスク管理の仕組みを構築し、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防ぎ、サービスの安定的な提供を確保していくための対策が求められています。

こうした背景から、経済安全保障法では、「第三章 特定社会基盤役務の安定的な提供の確保第四十九条第五十九条」において、サードパーティに関連するリスクや脅威に対する措置として、特定重要設備の導入・維持管理等を委託する場合の導入計画書の提出と主務省庁による事前審査が制度に組み込まれています。

同法自体は、中国からのレアアースなどの輸出制限に対処するための重要物資の安定確保や先端的な重要技術の開発⽀援に関する制度など、広範囲にわたりますが、今回のブログでは同法の柱の1つである基幹インフラ役務の安定的な提供の確保に絞って紹介します。

経済安全保障推進法とは?

内閣府のサイトによると、経済安全保障推進法は、「国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大していることに鑑み、安全保障の確保に関する経済施策を総合的かつ効果的に推進するため、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本方針を策定するとともに、安全保障の確保に関する経済施策として、所要の制度を創設する」ことを目的とし、2022年5月11日に成立、2022年5月18日の公布日から6月以内~2年以内に段階的に施行が予定されています。

法律は、4つの柱でできており、同じく内閣府のサイトでは「法制上の手当てが必要な喫緊の課題に対応するため、(1)重要物資の安定的な供給の確保(2)基幹インフラ役務の安定的な提供の確保(3)先端的な重要技術の開発支援(4)特許出願の非公開に関する4つの制度を創設するもの」としています。

内閣府 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)(令和4年法律第43号)

基幹インフラ役務の安定的な提供の確保

4つの柱の中で、「(2)基幹インフラ役務の安定的な提供の確保」については、内閣府が公開している「経済安全保障推進法の概要」において「基幹インフラの重要設備が我が国の外部から⾏われる役務の安定的な提供を妨害する⾏為の⼿段として使⽤されることを防⽌するため、重要設備の導⼊・維持管理等の委託を事前に審査、勧告・命令等を措置」することを目的とし、審査対象となる対象分野、対象事業者ならびに審査方法の概要の他、妨害⾏為を防⽌するための必要な措置として勧告・命令について言及しています。

※上記の「我が国の外部」の定義には、外国政府に限らず、テロリスト等の政府ではない主体も含まれます。

対象分野の事業者は、各事業を主管する「主務大臣」によって「特定社会基盤事業者」として指定された場合、特定重要設備の導入・維持管理等を委託する場合、主務大臣に導入等計画書を届け出るとともに主務省庁による事前審査を受ける必要があります。

出典:経済安全保障推進法の概要, P3 基幹インフラ役務の安定的な提供の確保に関する制度の概要, 内閣府

重要設備の導⼊・維持管理等の委託を事前に審査、勧告・命令等を措置」の施行時期について

内閣府の「経済安全保障推進法の概要」によると、「重要設備の導⼊・維持管理等の委託を事前に審査、勧告・命令等を措置」の施行時期について、それぞれ公布後(2022年5⽉18日公布)の期間として以下のように定められています。

  • ①審査対象:公布後1年6⽉以内 (※2022年5⽉18⽇公布)
  • ②審査・勧告・命令:公布後1年9⽉以内 

とされ、さらに「対象事業者の指定から6⽉間は経過措置として適⽤を開始しない」とあります。

特定社会基盤事業者の指定について

主務大臣が指定することとなっている特定社会基盤事業者の指定は、上記①のとおり2023年11月に各省庁より指定された特定社会基盤事業者について公示がされています。

以下のリンクでは、2023年11月16日時点で各省庁が指定した特定社会基盤事業者を確認することができます。

特定社会基盤役務の安定的な提供の確保に関する制度に関する Q & A

内閣府のサイトには、使用されている用語の定義や制度に関する疑問についてQ&A形式で解説されている資料「経済安全保障推進法の 特定社会基盤役務の安定的な提供の確保に関する制度の解説」が公開されていますので、そちらをご確認ください。

導入計画書の記載事項

経済安全保障推進法の第52条2項によると、特定重要設備の導入・維持管理等を委託する場合に、主務大臣に届け出る当該特定重要設備の導入又は重要維持管理等の委託に関する計画書(=導入計画書)には以下の事項を記載する必要があります。

 導入等計画書には、次に掲げる事項を記載しなければならない。

  特定重要設備の概要

  特定重要設備の導入を行う場合にあっては、次に掲げる事項

   導入の内容及び時期

   特定重要設備の供給者に関する事項として主務省令で定めるもの

   特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為(特定重要設備の導入又は重要維持管理等の委託に関して我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為をいう。以下この章において同じ。)の手段として使用されるおそれがあるものに関する事項として主務省令で定めるもの

  特定重要設備の重要維持管理等を行わせる場合にあっては、次に掲げる事項

   重要維持管理等の委託の内容及び時期又は期間

   重要維持管理等の委託の相手方に関する事項として主務省令で定めるもの

   重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合にあっては、当該再委託に関する事項として主務省令で定めるもの

  前三号に掲げるもののほか、特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項

引用:経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律 52条2項(特定重要設備の導入等), e-Gov法令検索

重要視されるサードパーティ・リスク管理

企業は自社だけでなく、関連するサードパーティ・リスクについても管理する必要があります。前回のブログ「金融セクターで重要視される「オペレーショナル・レジリエンス」」でも紹介したように、DORAなどの金融セクターに対する法規制をはじめ、EUのNIS2指令で求められるサードパーティを含めたサイバーセキュリティリスク管理の対策(NIS2指令21条)など、世界的にも重要インフラおよびサービスを安定的に提供するためにサードパーティも含めたリスク管理対策は近年ますますその重要性が増しています。

こうした法規制への対応はもちろんのこと、企業がサードパーティに関連するリスクを組織が許容できる範囲で効果的に管理するためには、それらに関連するリスクと、サードパーティ・プロバイダーが実施している管理やその手順を把握し、サードパーティのリスクを契約の開始から終了までのライフサイクルを通して管理するための仕組みを構築することが重要となります。

サードパーティ・リスク管理をサポートするソリューション「Archer」

ここでは、統合リスク管理ソリューションのリーディングカンパニーである「Archer」のソリューションのうち、サードパーティ・リスク管理のソリューションについて紹介します。

Archerの「サードパーティ・ガバナンス」は5つのユースケースに分かれています。

  • Third Party Catalog 
  • Third Party Risk Management 
  • Third Party Engagement 
  • Third Party Governance 
  • Third Party Security Risk Monitoring

Third Party Catalog

組織は、サードパーティに関連して自社にもたらされるリスクに対しても適切に管理・対応するための仕組みを構築する必要があります。そのためには、自社で契約しているサードパーティ事業者がどこで、どのようなリスク管理のためのガバナンスの仕組み・手順を実施しているのかについて理解する必要があります。

Archer Third Party Catalogを利用することで、すべてのサードパーティとの関係、エンゲージメント、関連する契約、および各サードパーティとのやりとりを担当する自社の事業部門と責任者を文書化することが可能です。

Third Party Risk Management

Third Party Risk Management は、サードパーティ向けにあらかじめ用意された一連のリスク評価アンケートを採用しており、サードパーティの統制を評価し、さらに分析するために関連するエビデンス文書を収集することができます。アンケートの結果は、サードパーティが提供する各業務の残存リスクの判定に反映されます。

残存リスクは、コンプライアンス/訴訟、財務、情報セキュリティ、レピュテーション、回復力、戦略的リスク、持続可能性、再委託先(委託先の委託先やその先の委託先まで)のリスクといった複数のリスクカテゴリーにわたって評価されます。内在リスクと残存リスクのレベルは、エンゲージメントごとに算出され、関連するサードパーティにロールアップされることで、ベンダーの組織に対する総合的なリスクが表示されます。リスク評価の所見は自動的に生成され、例外要求または改善計画として課題管理ワークフローで管理することが可能です。

Third Party Engagement

Third Party Engagement は、サードパーティが組織に提供している製品やサービスをカタログ化します。また、製品やサービスのエンゲージメントを、そのサポート対象であるビジネス・プロセスやビジネス・ユニットに関連付けることで、各サードパーティに対する依存度を全体的に把握することができます。

エンゲージメントの透明性・説明責任を確保し、複数のリスクカテゴリーにわたる固有のリスクアセスメントを実施し、各サプライヤーの保険のカタログを作成して妥当性および各サードパーティーの財務的実行可能性(Financial Feasibility: )を評価し、すべてのエンゲージメント単位のリスクをその上位の製品やサービスを提供するサードパーティーにロールアップすることができます。これにより、組織は、各サードパーティごとに関連する全体的な固有のリスクを理解することができます。

Archer Third Party Governance

Third Party Governance は、サプライヤーのエンゲージメント・パフォーマンスをモニタリングします。メトリクスは、品質、イノベーション、パフォーマンス、リレーションシップの4つのカテゴリーで設定可能です。

各業務ごとに評価指標を作成し、サードパーティにロールアップすることで、すべての製品またはサービスの業務におけるパフォーマンスを測定し、サードパーティに対して改善を促すよう働きかけることができます。

Archer Third Party Security Risk Monitoring

サードパーティの多くは、セキュリティ義務を含む正式な契約関係を結んでいますが、そうでないサードパーティもあります。サードパーティが別のサードパーティに委託している場合もあります。サードパーティとの関係に伴うリスクを許容範囲内で管理するためには、サードパーティに内在するリスクを理解することは重要です。

Third Party Security Risk Monitoring は、透明性の高いセキュリティ測定、分析、アナリストレベルの洞察を提供し、サードパーティの情報セキュリティ・リスク管理プログラムを劇的に改善します。人工知能(AI)を使用して、さまざまなサードパーティのIT資産のリスク態勢を自動的に評価し、サードパーティが情報セキュリティをどの程度管理しているかを把握します。

Third Party Security Risk Monitoringは、スタンドアローンのソリューションとしても有効ですが、Archerの提供するほかの機能とセットで導入することで、より広範なITおよびサード・パーティのリスク管理プログラムを実施するための基盤として機能します。

さいごに

サードパーティリスクや組織全体のリスクの透明性を高めるには、Archerのような統合リスク管理ソリューションによりデジタル化し、関連するリスクやその詳細情報、さらに影響範囲をすぐに把握できる仕組みが必要不可欠です。

Archerの「サードパーティ・ガバナンス」には、サードパーティのリスク管理に必要な機能がすべて提供されており、サードパーティのガバナンスを担保するための仕組みとしてどういった機能が必要でそれを実現するための仕組みが用意されています。

GRC領域のあらゆる課題をサポート: Archer の統合リスク管理ソリューション

今回のブログでは触れませんでしたが、「第二章 特定重要物資の安定的な供給の確保(第六条―第四十八条)」では、レジリエントな組織を構築するために、ビジネスに混乱をきたす可能性のある事象やその他の状況を予測・計画し、潜在的なリスクを緩和するために対策を講じることが必要となります。

顧客やサプライチェーン、組織のさまざまな分野に起こる事業の混乱を予測するのは難しいことですが、事前にどのようなリスクが発生しうるかを検討し、それに対処するための計画を立てることにより、混乱を抑え、より良い結果を手に入れることができる可能性があります。

こうしたビジネス・レジリエンスのための計画を立てるには、個々にサイロ化されたビジネスのオペレーション、リスク管理、ビジネス・レジリエンス、サードパーティ管理等、関係するチームや組織が連携し、組織全体として協調して取り組むことが重要です。

Archer の統合リスク管理ソリューションを使用すれば、サイロ化された組織やリスクマネジメントの方針・アプローチを組織全体で一貫性のある仕組みへと統合するとともに、法規制、スタンダードやガイダンスなどのフレームワークを組みこむことで、オペレーショナル・レジリエンスを構築するためのプラットフォームを構築することが可能です。

この記事をシェアする