Onetrust TPRM初心者ガイド! ベンダー管理ライフサイクルを6ステップで徹底解説
~ 第1回:ベンダーの作成と追加 ~
Fushimi本ブログでは、OneTrust製品のセルフサービスでの導入をご検討されているお客様に対して弊社がご提供しているセルフサービス支援パックをご購入いただいたお客様がご利用いただけるコンテンツの一つである「TrustNow ナレッジ Wiki」の記事を抜粋し、シリーズ化してご紹介します。
はじめに
サードパーティリスク管理とは、組織が外部の取引先や業務委託先(サードパーティ)との関係から生じる潜在的なリスクを特定、評価、監視、軽減するためのプロセスです。サードパーティ経由のリスクを適切に管理することで、自社の事業継続性の確保や安定的な成長が期待できます。
OneTrustのサードパーティリスク管理(TPRM)は、ベンダー管理ライフサイクルを合理化し、リスクベースのアプローチを実現します。ベンダー管理ライフサイクルは、ベンダーとの取引における全てのフェーズ(選定、契約、パフォーマンス管理、契約終了)を網羅するプロセスです。各フェーズにおいて発生し得るリスクを特定し、適切な対策を講じることで、安全で効率的な取引関係を築くことができます。
ベンダー管理ライフサイクルは、大きく分けて以下のフェーズから構成されます。
本編では、全6回に分けてベンダー管理ライフサイクルの各フェーズにおいて、Onetrustのサードパーティリスク管理(TPRM)をどのように利用するかをご紹介します。
全6回内容
第1回:ベンダーの作成と追加
ベンダー管理のスタートラインとなるフェーズです。新規取引先となるベンダーの情報をシステムに登録します。自社の事業に関わる全ての外部ベンダー(外部委託先)に関する情報を一元管理するためのデータベースを構築します。
第2回:ベンダー評価の表示と送信 ※近日公開予定
登録されたベンダーに対して、事前に設定された評価基準に基づいた評価を行います。納期遵守率、品質、コストなど、様々な観点から評価を行い、その結果を可視化します。評価結果は、関係者に共有され、今後の判断材料となります。
第3回:ベンダー評価の対応
第2回の評価結果を基に、ベンダーとの取引を開始するか否かを決定します。ベンダーに対して改善要求や追加情報の要求を行います。例えば、評価が低かった項目について改善計画を提出してもらうなど、ベンダーとのコミュニケーションを深め、関係性を構築します。
第4回:評価のレビューとリスクフラグ
過去の評価データを分析し、ベンダー評価プロセスに潜むリスクを特定します。例えば、特定のベンダーで納期遅延が頻発しているなど、過去のデータから傾向を捉え、今後の評価に活かします。リスクが高いと判断されたベンダーには、リスクフラグを立て、注意深く監視します。
第5回:評価に基づくベンダー承認と却下
第2回と第3回の評価結果、およびリスク評価を総合的に判断し、ベンダーとの取引を開始するか否かを決定します。評価結果が基準を満たしている場合は承認、満たしていない場合は却下となります。承認されたベンダーとの間では、契約手続きが進められます。
第6回:ベンダーの定期的な再評価
契約中のベンダーに対して、定期的に再評価を行い、継続して取引するかどうかを判断します。ベンダーのパフォーマンスが変化しているか、新たなリスクが発生していないかなどを確認し、必要に応じて契約条件の見直しやベンダーの変更を行います。
今回は、ベンダー管理ライフサイクルの最初のフェーズとなる
「ベンダーの作成と追加」についてご紹介します。
第1回:ベンダーの作成と追加
ベンダーインベントリとは
OneTrust上では、事業に関わる全ての情報を一元管理するためのデータベースを構築することができます。これを「インベントリ」と呼びます。サードパーティリスク管理では、インベントリとして「ベンダーインベントリ」と「アセット」があります。
ベンダーインベントリとは、ABC株式会社、DEF商事などの「ベンダーに関する情報」が保管されます。ベンダーインベントリには、会社名、所在地、連絡先などの会社の基本情報や提供される製品・サービス、及び、契約内容やリスク評価など様々な情報が登録されます。
サードパーティリスク管理を使用する為には、まずベンダーインベントリを作成します。「アセット」には、データベース、あるいはファイルキャビネットなど、「データの保管や処理に使用する場所の情報」が記録されます。
まずはサードパーティ管理のベンダー情報を登録するために、ベンダーインベントリに登録してみましょう。
ベンダーインベントリの4つの作成方法
サードパーティー管理にベンダーインベントリを追加する方法は4つあります。ニーズに合わせて、最適なものを自由に選択してください。
- 手動で追加する 最も基本的な方法で、ベンダーに関する情報を一つずつ入力していきます。
- 一括インポート 大量のベンダー情報を一度に登録する際に有効な方法です。Excelファイルなど、事前に作成したデータファイルをOneTrustにアップロードします。
- 評価テンプレートを使用する 共通の評価基準に基づいて、複数のベンダーを効率的に評価する際に役立ちます。複数のベンダーを、事前に作成した評価テンプレートを用いて効率的に評価できます。
- サードパーティーリスクエクスチェンジを利用する 外部のデータベースからベンダー情報を取得し、OneTrustに自動的に登録する機能です。
1. 手動で追加する
インベントリを手動で追加するのは、最もシンプルで基本的な方法です。いつでも好きな時に、必要な情報を追加できます。
サードパーティリスク管理より、インベントリ⇒ベンダーを開く。
画面右上の「新規追加」ボタンより、必要情報を記入した後「保存」ボタンを押す。
ベンダーインベントリの一覧に追加されていることが確認できます。
2. 一括インポート
スプレッドシートの一括インポート機能を使えば、ベンダーインベントリの登録作業を一気に済ませることができます。OneTrustでは、ベンダーの作成や属性の設定など、面倒な作業をテンプレートにまとめておき、ボタン一つでまとめて登録できます。
設定⇒データインポート⇒インポート用テンプレートより「ベンダーを作成する」テンプレートをダウンロードする。
ダウンロードしてテンプレートをEXCELで開き、ベンダーの情報を追加する。
テンプレートの各項目に、登録したいベンダーの名前、どの組織下に作成するか、タイプなどの情報を記入し、保存します。
設定⇒データインポート⇒一括インポートより「新規インポート」ボタンを押し、インポートを開始する。
インポート名を記入、インポートタイプを選択し、先ほど作成したバルクインポート用のEXCELファイルをアップロードします。
アップロードが完了すると、ステータスに結果が表示されます。
ベンダーインベントリの一覧に「EFG株式会社」、「HIJ株式会社」、「KLM株式会社」が追加されていることが確認できます。
3. 評価テンプレートを使用する
サードパーティリスク管理の「評価」とは、簡単に言うと、会社が取引している他の会社(ベンダー)が、個人情報に関する約束事を守っているかどうかを調べることです。
評価テンプレートは、この調べ方をあらかじめ決めておいたものです。OneTrustでは、様々な業界や規制に対応した評価テンプレートが用意されており、企業は自社の状況に合わせてテンプレートを選んだり、カスタマイズしたりすることができます。テンプレートを使うことで、評価に必要な項目や手順が事前に定義されているため、評価作業を効率化することができます。
今回は、Onetrustのセルフサービスポータルを使用して評価テンプレートに回答し、ベンダーインベントリを追加する方法を簡単にご紹介します。
セルフサービスポータルとは、OneTrustの機能の一部で、従業員や関係者が、プライバシーに関する様々な手続きを自分自身で行えるようにできるプラットフォームです。このプラットフォームを通じて、従業員は自身の担当するプロジェクトや業務に関する評価にアクセスできます。
セルフサービスポータルより評価を開く
ユーザーがログインするとセルフサービスポータル画面に使用可能な「評価」が表示されています。(評価は担当者が事前に作成する必要があります。ここでは、「Vendor Onboarding」という評価を予め作成し、セルフサービスポータルの使用者は評価に回答することにより、ベンダーインベントリの追加が可能となります。)
「Vendor Onboarding」という評価を開き、質問に回答した後、承認者に提出します。(ここでは例として、「NOP株式会社」というベンダーインベントリを追加する評価に回答し、提出しています。)
設問1.1 Vendor Nameに新しく追加するベンダー名を入力
承認者に提出、承認されることにより、「NOP株式会社」がベンダーインベントリに追加されていることが分かります。
4. サードパーティーリスクエクスチェンジを利用する
「サードパーティリスクエクスチェンジ」は、サードパーティリスク管理プロセスを支援するための、OneTrustが提供する具体的な機能です。
これを自動車の運転に例えると、サードパーティリスク管理は目的地(ビジネス目標)に安全に到達するために、様々な運転技術(リスク評価、契約交渉など)が必要になります。OneTrustのサードパーティリスクエクスチェンジは、その運転をサポートするカーナビゲーションシステムのようなものです。カーナビは、ルートの案内、渋滞情報、危険な場所の警告など、様々な情報を提供することで、安全で効率的な運転を支援します。
サードパーティーリスクエクスチェンジよりベンダーインベントリを登録することで、データ侵害、評判の失墜、規制違反、金銭的損失などのリスクに関する情報を主要なリスクインテリジェンス プロバイダーからのリアルタイム データ により取得することができます。
サードパーティーリスクエクスチェンジよりベンダーインベントリを登録する
サードパーティーリスクエクスチェンジのエクスチェンジより、追加したいベンダーを検索し、「追加する」ボタンを押します。
※ 例としてAmazonを追加
メッセージの「OK」ボタンを押す。
ベンダー一覧にamazonが追加されています。
ベンダーインベントリのメリット
このようにベンダーインベントリを追加することで、すべてのサードパーティ情報を一元管理し、必要な情報に迅速にアクセスできるようになります。
ベンダーレコードには、取引先の企業が抱えるリスクの評価結果、契約内容、個人情報の取り扱いに関する詳細な情報、セキュリティインシデント発生時の履歴、そしてこれらに対応するために実施した対策などが、すべて一元管理されます。これにより、取引先との関係に関するあらゆる情報を網羅的に把握し、リスクを最小限に抑えることが可能になります。
以下画像では、「ABC株式会社」のあらゆる情報が関連付けられ一元管理されていることが確認できます。
まとめ
本記事では、サードパーティリスク管理(TPRM)の初心者ユーザー向けに、Onetrust TPRM初心者ガイドとして全6回シリーズで基本操作について解説しています。今回は、その第1弾として、ベンダー情報をOneTrustに登録する手順についてご紹介しました。
第3回以降のシリーズはTrustNow ナレッジWiki内でのご紹介となっております。ご興味がある方は、こちらよりお問い合わせください。
OneTrustの導入をご支援しているTrustNowでは、OneTrust の製品デモをご要望に応じてご提供しています。OneTrust サードパーティリスク管理 (TPRM)の機能について詳しく知りたい、実際の動作を見てみたいなどご希望がありましたら、こちらより製品デモをお申込みいただけます。
※今後サードパティリスク管理 (TPRM)の無償ハンズオンについても定期的に開催予定です。無償ハンズオンのご受講にご興味ある方は、弊社までお問合せください。
【補足情報】弊社の下記サイトでもサードパーティリスク管理関連の情報をご確認いただけます。
OneTrust 製品紹介
OneTrust サードパーティリスク管理 (TPRM) 製品紹介
TrustNow ブログ
EUサイバーセキュリティ規制とサードパーティリスク管理 Part.1
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください
