Onetrust TPRM初心者ガイド!ベンダー管理ライフサイクルを6ステップで徹底解説
~第2回:ベンダー評価の表示と送信~
Fushimi本ブログでは、OneTrust製品のセルフサービスでの導入をご検討されているお客様に対して弊社がご提供しているセルフサービス支援パックをご購入いただいたお客様がご利用いただけるコンテンツの一つである「TrustNow ナレッジ Wiki」の記事を抜粋し、シリーズ化してご紹介します。
はじめに
サードパーティリスク管理とは、組織が外部の取引先や業務委託先(サードパーティ)との関係から生じる潜在的なリスクを特定、評価、監視、軽減するためのプロセスです。サードパーティ経由のリスクを適切に管理することで、自社の事業継続性の確保や安定的な成長が期待できます。
OneTrustのサードパーティリスク管理(TPRM)は、ベンダー管理ライフサイクルを合理化し、リスクベースのアプローチを実現します。ベンダー管理ライフサイクルは、ベンダーとの取引における全てのフェーズ(選定、契約、パフォーマンス管理、契約終了)を網羅するプロセスです。各フェーズにおいて発生し得るリスクを特定し、適切な対策を講じることで、安全で効率的な取引関係を築くことができます。
ベンダー管理ライフサイクルは、大きく分けて以下のフェーズから構成されます。
本編では、全6回に分けてベンダー管理ライフサイクルの各フェーズにおいて、Onetrustのサードパーティリスク管理(TPRM)をどのように利用するかをご紹介します。
全6回内容
第1回:ベンダーの作成と追加
ベンダー管理のスタートラインとなるフェーズです。新規取引先となるベンダーの情報をシステムに登録します。自社の事業に関わる全ての外部ベンダー(外部委託先)に関する情報を一元管理するためのデータベースを構築します。
第2回:ベンダー評価の表示と送信
登録されたベンダーに対して、事前に設定された評価基準に基づいた評価を行います。納期遵守率、品質、コストなど、様々な観点から評価を行い、その結果を可視化します。評価結果は、関係者に共有され、今後の判断材料となります。
第3回:ベンダー評価の対応
第2回の評価結果を基に、ベンダーとの取引を開始するか否かを決定します。ベンダーに対して改善要求や追加情報の要求を行います。例えば、評価が低かった項目について改善計画を提出してもらうなど、ベンダーとのコミュニケーションを深め、関係性を構築します。
第4回:評価のレビューとリスクフラグ
過去の評価データを分析し、ベンダー評価プロセスに潜むリスクを特定します。例えば、特定のベンダーで納期遅延が頻発しているなど、過去のデータから傾向を捉え、今後の評価に活かします。リスクが高いと判断されたベンダーには、リスクフラグを立て、注意深く監視します。
第5回:評価に基づくベンダー承認と却下
第2回と第3回の評価結果、およびリスク評価を総合的に判断し、ベンダーとの取引を開始するか否かを決定します。評価結果が基準を満たしている場合は承認、満たしていない場合は却下となります。承認されたベンダーとの間では、契約手続きが進められます。
第6回:ベンダーの定期的な再評価
契約中のベンダーに対して、定期的に再評価を行い、継続して取引するかどうかを判断します。ベンダーのパフォーマンスが変化しているか、新たなリスクが発生していないかなどを確認し、必要に応じて契約条件の見直しやベンダーの変更を行います。
第2回では、ベンダー評価の表示と送信フェーズに焦点を当て、OneTrustのリスク評価テンプレート作成機能を解説します。
第2回 ベンダー評価の表示と送信
評価とは?
OneTrustにおける「評価」とは、ベンダー(取引先) が、自社のセキュリティ対策やプライバシー保護に関する取り組みについて、OneTrustが提供する評価テンプレートに沿って自己評価を行うことを指します。
評価を実施する会社は、定めている評価基準に基づいて、評価テンプレートを作成し、登録されたベンダーに送信します。ベンダーはテンプレートの内容に沿って自己評価を行い、時には各評価項目に対して、具体的な実績や数値データなどを添えて回答を提出します。
評価テンプレートは、簡潔に「質問票」と呼ぶこともあります。
ベンダー評価の表示
評価の表示
サードパーティリスク管理の評価テンプレートは、サードパーティリスク管理システム内の「評価」→「アクティブ」から確認することができます。この画面では、閲覧権限を持つ評価が一覧表示されます。評価名、進捗状況、結果、リスクレベル、承認者、回答者などの詳細情報を確認できます。表示内容は自由にカスタマイズ可能です。
各評価の名称をクリックすると、より詳しい内容を参照することができます。
評価の詳細
評価一覧画面で、確認したい評価の名称をクリックすると、評価の詳細ページが表示されます。画面左側の設問番号に表示されている赤いアスタリスクマーク(*)は、回答が必須であることを示しています。これらの設問には必ず回答しないと評価の提出ができません。
評価テンプレートの作成
テンプレートの作成には、2つの方法があります。
- テンプレートギャラリーから選択:OneTrustにあらかじめ用意されているテンプレートを、そのまま、またはカスタマイズして利用する方法です。テンプレート作成が初めての方におすすめです。
- 新規作成:全く新しいテンプレートを最初から作成する方法です。
今回は、より簡単に質問票を作成できるテンプレートギャラリーから選択してカスタマイズする方法についてご説明します。
テンプレートギャラリーから選択してカスタマイズする
OneTrustのテンプレートを使えば、ゼロからテンプレートを作成する手間が省け、効率的に業務を進めることができます。様々なビジネスシーンに対応したテンプレートが用意されているので、最適なものを選んで活用することができます。
サードパーティリスク管理より、セットアップ⇒テンプレートを開く。
現在利用可能なテンプレートの一覧が画面に表示されます。
「ギャラリーから選択する」ボタンを押す。
OneTrustには、多様な場面で使えるテンプレートが多数用意されています。各テンプレートの「プレビュー」ボタンをクリックすると、その内容を詳しく確認することができます。また、左側のフィルター機能を使って、言語やカテゴリで絞り込むことで、より効率的にテンプレートを探すことができます。
利用したいテンプレートのプレビューより、「このテンプレートを選択する」ボタンを押す。
テンプレートを作成する画面が表示されますので、テンプレートの名称と組織名を記入し、「テンプレートを作成」ボタンをクリックすると、新しいテンプレートが作成されます。
評価テンプレートをカスタマイズする。
ベンダーテンプレート一覧に、先ほどの作成したテンプレートが追加されました。「ドラフトを編集する」ボタンを押し、テンプレートを編集してみましょう。
このテンプレートには、サンプルの質問が含まれています。貴社の状況に合わせて、質問内容を自由に修正・追加・削除してください。
ここでは例として、セクション1.7 べンダー・AIの使用の後に自由記述形式のコメント欄を設置したいと思います。
質問票テンプレートにテキストの質問を追加する際は、「テキストデータとして追加」または「インベントリデータとして追加」の2つの質問タイプから選ぶことができます。
※画面左側の質問のタイプよりいずれかの質問を選択し、追加したい箇所に、ドラッグ&ドロップで追加します。
テキストデータとして追加::各評価の回答に直接テキストを追加します。評価ごとに異なる回答を記録したい場合に適しています。同じテンプレートを使った複数の評価でも、それぞれの評価の回答を個別に確認できます。
インベントリデータとして追加: ベンダーインベントリの属性として情報を登録することで、常に最新の情報を一元管理できます。他の評価でも、この属性を参照して最新の回答を確認することができます。
属性とは?
OneTrustのサードパーティリスク管理において、「属性」とは、登録されたベンダーに関する
詳細な情報を定義する項目のことです。例えば、「ABC社」というベンダーのインベントリに
は「企業名」「所在地」「主要担当者」「リスク評価スコア」といった属性が関連付けられます。
今回は例として、質問を属性として追加します。
①設問1.7の後ろに属性アイコンをドラック&ドロップします。
②どのベンダーインベントリの属性にするかを選択し、「保存」ボタンを押します。
(属性は予め作成済みのものを使用)
③設問番号が1つずれて、1.8のに新しい設問ができるので、鉛筆マークをクリックして設問内容を編集します。
④質問内容を編集し、「保存ボタン」を押します。
⑤設問1.8が更新されます。
テンプレートの保存
ドラフト中のテンプレートは、自動的に保存されます。このテンプレートを使って評価を作成する場合は、画面右上の「公開」ボタンをクリックしてください。公開すると、テンプレートの内容を修正できなくなりますので、ご注意ください。
公開すると、アイコンの下のテンプレートのステータスが「公開済み」となります。
次に公開したテンプレートを使用して評価を作成してみましょう。
評価の作成と送信
今回は、手動での評価作成方法をご紹介します。評価を開始すると、自動で評価記入依頼メールが各担当者に送信されます。
「第6回 ベンダーの定期的な再検査」では、より効率的な評価実施を可能にする自動作成方法についても詳しくご説明いたしますので、ぜひご参照ください。
サードパーティリスク管理より評価→アクティブを選択する。
評価の一覧が表示されている画面の右上の「評価を開始する」ボタンを押し、新しい評価を開始します。
テンプレートを選択する。
先ほど作成した評価テンプレートを選択し、評価の詳細を入力してください。(*印の項目は必須です。)
評価対象のベンダーとして、プライマリレコードに「AKEMA株式会社」を選択してください。 回答者は、評価に回答いただくユーザーまたはグループです。評価を開始すると、回答者へ自動で回答依頼メールが送信されます。 承認者は、評価結果を最終的に承認し、対策の実施を決定する人物またはグループです。
「開始する」ボタンを押すと、評価一覧に新しく評価が作成されます。
まとめ
本記事では、サードパーティリスク管理(TPRM)の初心者ユーザー向けに、Onetrust TPRM初心者ガイドとして全6回シリーズで基本操作について解説しています。今回は第2回目として、ベンダー評価テンプレートの表示と送信方法についてご紹介しました。
第3回以降のシリーズはTrustNow ナレッジWiki内でのご紹介となっております。ご興味がある方は、こちらよりお問い合わせください。
OneTrustの導入をご支援しているTrustNowでは、OneTrust の製品デモをご要望に応じてご提供しています。OneTrust サードパーティリスク管理 (TPRM)の機能について詳しく知りたい、実際の動作を見てみたいなどご希望がありましたら、こちらより製品デモをお申込みいただけます。
※今後サードパティリスク管理 (TPRM)の無償ハンズオンについても定期的に開催予定です。無償ハンズオンのご受講にご興味ある方は、弊社までお問合せください。
【補足情報】弊社の下記サイトでもサードパーティリスク管理関連の情報をご確認いただけます。
OneTrust 製品紹介
OneTrust サードパーティリスク管理 (TPRM) 製品紹介
TrustNow ブログ
EUサイバーセキュリティ規制とサードパーティリスク管理 Part.1
EUサイバーセキュリティ規制とサードパーティリスク管理 Part.2
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください
