OneTrust サードパーティリスク管理 (TPRM)

企業の海外拠点への進出やデジタルトランスメーションの需要に対応するために業務の海外へのアウトソーシング、外部システムとの連携、およびクラウドの活用を積極的に進めていることにより、サプライチェーンのグローバル化および複雑化が益々加速しています。

それに伴い、企業が対応を求められるリスクについても多様化していることが、近年のパンデミックやロシアのウクライナ侵攻のサプライチェーンへもたらした影響からもわかります。

グローバルサプライチェーンが影響を受け得る代表的なリスクの例として、以下が挙げられます。※経済産業省の白書より抜粋

• 自然災害やパンデミック等の環境リスク
• テロや紛争、政治的不安等の地政学的リスク
• 経済危機や原料の価格変動といった経済リスク
• サイバー攻撃やシステム障害などの技術的リスク

これらのリスクに加えて、海外の関連会社や取引先における粉飾決済や横領などの不正のリスクについても対策を講じることが求められています。特に複雑化したグローバルサプライチェーンの中においては、この後の「ESG関連リスク」でも触れていますが、複雑なレイヤーの存在により下層部で行われた不正等を把握することが困難であると考えられています。

国内外においてサードパーティリスク管理に関連した規制およびコンプライアンスの強化が進んでおり、企業はこれらの規制に対応することが求められています。ここではその一部の規制についてご紹介します。

経済安全保障推進法

経済安全保障法は2022年5月に成立した法律で、国家の経済分野のリスクを管理し特に重要なインフラや産業を守ることを狙いとしています。
4つの制度を創設し、各制度ごとに段階的に施行されています。

4つの制度
①　重要物資の安定的な供給の確保に関する制度
②　基幹インフラ役務の安定的な提供の確保に関する制度
③　先端的な重要技術の開発支援に関する制度
④　特許出願の非公開に関する制度

サードパーティリスク管理の関連では、「②基幹インフラ役務の安定的な提供の確保に関する制度」の中で基幹的なインフラ事業を行う事業者（特定社会基盤事業者として指定された者）が特定の重要設備について、導入や重要な維持管理等の委託をしようとする際に、事前に国に届け出を行い、審査を受ける必要があることが規定されています。

また、主務大臣は届出内容を審査した上で、特定重要設備が特定妨害行為の手段として使用されるおそれが大きいと認めるときは、計画書の内容の変更その他の必要な措置、または当該導入もしくは委託の中止を勧告することができます。

EU デジタルオペレーションレジリエンス法 (DORA)

EU (欧州連合)で2023年に発効されたデジタルオペレーションレジリエンス法 (通称：DORA)では、金融業界のICTリスク管理の強化を目的に制定された法律です。

特徴的な点として、DORAの対象は銀行、投資会社などの従来の金融機関に加え、ICTシステムやサービスを提供しているプロバイダーも対象となることを規定しています。

DORAの要件
①　ICTリスク管理
②　インシデント報告
③　デジタル・オペレーショナル・レジリエンステスト
④　サードパーティリスク管理
⑤　サイバー脅威インテリジェンスの情報共有

要件の「④ サードパーティリスク管理」のポイントとしては、下記があげられます。

• 金融機関は ICT サードパーティ サービス プロバイダーへの依存を強めており、契約交渉やリスク監視において課題が生じている。
• 現行法では、重要なサードパーティプロバイダーによるシステムリスクを管理するには不十分である。
• サードパーティの依存関係を監視するには、より堅牢な監視フレームワークが必要である。

EUでは、同じく金融業界に向けて2021年にバーゼル銀行監督委員会が「オペレーショナル・レジリエンスのための諸原則」が公表されています。

これらの制度や法律について、弊社TrustNowのブログで詳しく解説していますので、こちらもご参照ください。

金融セクターで重要視される「オペレーショナル・レジリエンス」

経済安全保障推進法とサードパーティ・リスク管理

サードパーティが企業のデータやシステムにアクセスする場合、その管理や保護の方法によっては、サイバー攻撃のリスクが増大します。特に、クラウドサービスや外部のITインフラを利用している場合、サードパーティによるセキュリティの欠陥や不正アクセスが企業全体のリスクとなり得ます。

2023年12月に発表されたMIT Professor Stuart E. Madrickのレポートの中で、新たなサイバーセキュリティのリスクとして ①クラウド環境の構成ミス ② 新しいタイプのランサムウェアの出現、そして ③ ベンダーシステムの悪用の増加（サプライチェーンブリーチ）の3つをあげています。

③のベンダーシステムの悪用の増加というポイントについては、実際に国内においてもIPA(情報処理推進機構)が2024年行った調査結果で、「サプライチェーンの弱点を悪用した攻撃」が2位としてあげられいることから、企業は取引のあるサードパーティと協力し適切に対処することが不可欠であることがうかがえます。

これらの動向を背景に主要経済国ではEUを中心に、上記でご紹介したEUデジタルオペレーションレジリエンス法 (DORA)を始め、サイバーレジリエンス法 (CRA)、重要事業体のレジリエンスに関する指令 (CER) など次々ににサイバーセキュリティ規則や指令が発効されています。ここでは、2023年1月に発効され今年の10月までにEU加盟国は国内法の整備を整備することが求められているネットワークおよび情報システムに関する指令 (NIS2指令)の概要をご紹介します。

ネットワークおよび情報システムに関する指令 (NIS2)指令概要

EUでは、2023年にEU全体のサイバーセキュリティ強化を目的とした指令、NIS２指令が発効されました。本規制は、2016年に発効されたNISを基盤としながら厳格な内容に改正されています。2024年10月17日よりEU域内の国は、NIS2を国内法に適用しサイバーセキュリティ法の施行を開始することが求められています。
NIS2指令の改正のポイントとしては、主に次のことがあげられます。

• 適用対象事業体の拡大
• 罰則の強化
• インシデント発生時の早期通知
• セキュリティ要件の強化

上記の「セキュリティ要件の強化」の中には、サードパーティセキュリティの強化の確保について規定されています。

適用対象となる組織・企業は、サードパーティの管理と監視を強化するため、、現行のサードバーティとの技術的要件やセキュリティ要件に関する契約条項の見直し、サプライチェーンセキュリティポリシーの策定、ベンダーリスク評価の実施、そして定期的なモニタリングなど多岐にわたり対応が求められることになります。

NIS2指令については、同じく弊社のブログで適用対象および罰則の詳細について解説していますので、こちらもご参照ください。

EUのサイバーセキュリティに関する法律：NIS2指令について

ESGは、環境 (Environment)、社会 (Social)、ガバナンス(Governance)をあらわし、ここ数年で企業が取り組むべき課題であるとの認識が広がっています。ESGの要素を考慮したESG投資についても欧米を中心に市場規模が拡大し、国内外の投資家は企業がESG投資を重視した経営を行っているかという点を重要視しています。

これについては、企業は自社のみならず、サプライチェーン内のESGの課題に対して適切な対策をとっているかという点も評価されるということも含まれています。

ボストンコンサルティンググループ（以下、BCG) のレポートによると、サプライチェーン内に起因したESG関連のリスクとして、企業はこれまでレピュテーションリスク（評判リスク）を中心に対策を講じてきていましたが、昨今ではサプライチェーン内で働く人々の「人権」に関連する課題を重要視する傾向にあると報告しています。（レピュテーションリスクについても人権リスクと相関関係にあることを補足しておきます）

背景として、欧米諸国を中心にサプライチェーンに関わる人々を保護するためより厳格な法律や規定を制定しているまた制定を急速に進めていることが挙げられます。実際に、2024年EUではコーポレート・サステナビリティ・デューデリジェンス指令(CSDDD)が発効されました。本指令では、サプライチェーン内の人権及び環境のデューデリジェンスの実施や開示等を義務付けています。

BCGによると、人権関連の課題およびサプライチェーン内で発生するESG課題は、通常サプライチェーンの下位層のサプライヤーと下請け業者に関連するケースが多く、特に労働者に関わる問題については構造的に把握することが難しい状況にあると指摘しています。

そのため、企業に求められる対策としてはサプライチェーン内の透明性の確保が不可欠と考えられます。また、各階層のプロセスを適切に理解し、サプライチェーン内のリスク特定ための評価を実施することも重要なポイントとなります。