Close-up 2：サードパーティリスク管理によるレジリエンス経営

企業のサードパーティリスク管理の重要性が高まっている。サードパーティの役割や機能は、ますます重要になってきており、多くの企業ではサードパーティ抜きには業務が成り立たない。サードパーティとの連携は、外部委託に限らず様々であり、また管理すべきリスク領域も多岐にわたることから、サードパーティリスクの管理は一筋縄ではいかない。サードパーティのディスラプションが自社の業務停止を引き起こす事象も発生する中、企業がサードパーティリスク管理にどのように取組むべきか考察する。

ここ数年、金融機関のように顧客情報の管理に慎重な企業においても、クラウドを利用し、AP（I Application Programming Interface）等を通じてフィンテック企業等と連携するケースが増えている。金融機関に限らず、AI等を含むデジタル技術の進展は、特定の分野に強みを持つスタートアップ企業等との連携や、それらが提供するサービスへの依存を強めた。こうした連携は、必ずしも業務委託という形式ではなく、ジョイントベンチャーの設立や業務提携・協力、製品・サービス等の購買等、様々である。

これらにより、顧客への新たな商品の提供、コストの低減、あるいはサービス提供の迅速化等のメリットが享受できるようになった。その半面、サードパーティに起因したインシデントによって損害を受けるケースも出てきている。例えば、システム運用の委託先によるソフトウェアの更新ミスで、グループ傘下の複数の銀行に大規模なシステム障害が生じた外資系の銀行グループでは、正常化までに数ヵ月を要してしまった。また、他の事業者との連携において生じたセキュリティの隙をつかれて顧客資金の不正流出につながってしまった金融機関の事案や、委託先の社員により顧客情報が売却された事業会社の事案等、サードパーティにおけるインシデントが、自社の本業や風評に深刻な影響を与えている。取引先の不正やミスによる損害だけでなく、取引先がサイバー攻撃の被害者となったことで自社の事業やサービスを停止せざるを得なくなった事案も起きており、取引先の脆弱なリスク管理体制も自社業務に影響を与えることがある。

これらの事例でも明らかだが、企業が留意すべきリスク領域は様々あり、法規制や事業環境の変化、社会からの要請によっても更に広がり得る。近年、ESG、SDGsに関する社会の要請が急速に高まっており、強制労働や劣悪な労働環境等の人権問題、贈賄等の腐敗、気候変動・環境破壊等の問題に懸念がある企業との直接・間接取引には注意が必要だ。強制労働が疑われる地域や企業により製造された原料の使用、あるいはその疑いがある企業がサプライチェーンの変更を余儀なくされたり、批判されたりし、ウクライナ危機の発生後にロシア事業から撤退を表明したにも関わらずロシア産の資源の調達を続けたことで、批判を受けた企業もある。

では、管理すべきサードパーティが提携先や調達先等へも広がり、対応すべきリスク領域も広がる中で、企業はどのようにサードパーティリスクに対応すべきなのか。

多くの企業では、例えば、外部委託先管理、調達先・取引先管理といった部分的なサードパーティの管理の枠組み、プライバシー・情報管理、贈収賄防止、マネロン・テロ資金供与防止といったリスク管理の枠組み、新商品審査、業務提携といった特定イベントに係るリスク管理の枠組みといった中で、サードパーティリスクをバラバラに管理していることが通常ではないだろうか。

こうしたアプローチの場合、各リスク所管部が、それぞれの目線で受入基準や手続を設定しており、結果的に、手続やチェックの重複、審査内容や深度のバラツキ等、網羅性や効率性に問題が生じやすい。広がる管理領域に対応するには、現行の管理の枠組みの下で管理要員を増加させることによって解決するのではなく、現行の体制をより効率的な体制に移行していく必要がある。そのためには、サードパーティ管理の方針や各部門の役割・責任を明確化し、統一的な枠組みの中で組織横断的に管理する、効率的で効果的な態勢（サードパーティリスク管理態勢：以下「TPRM」。次ページ図参照）が求められる。管理を効率的に行うためには、リスクベースの対応が鍵となる。つまり、サードパーティが関与する業務・サービスの重要性、自社の顧客との接点、知財や顧客データへのアクセス、規制要件の有無等を勘案し、サードパーティの重要性やリスクが高いサードパーティには、深度のあるデューデリジェンスをオンボーディング時や定常的に行い、サードパーティの残存リスクに見合った低減策を導入することが必要だ。こうしたリスクベースの対応に加えて、TPRM 全体のワークフローや、継続的な不芳情報等の収集・分析を自動化するテクノロジーを活用し、マニュアル作業を減らしていくことも有効な解決策となる。

様々なリスク領域への対応が求められるのは前述のとおりだが、KPMG が実施したサーベイでは、企業がTPRMの取組みで重視する領域は「ESG」「テクノロジー・イノベーション」「サイバー」「事業継続」という結果になった。特に、事業継続については、77%もの回答者が、TPRM がより重要な役割を果たすべき領域であると回答している。

事業継続のために考慮しなければならないのが「集中リスク」である。集中リスクとは、業務が特定の部門・担当者、委託先、場所、システム等に集中することで、それらに障害があった場合に、事業全体が機能しなくなるリスクを言う。集中リスクは様々なレイヤーにおいて生じ得る。例えば、多くの金融機関が同じサードパーティを起用しているような場合には、当該サードパーティの業務停止が金融市場全体の機能を停止させてしまうといったものである。実際に、海外ではIT 事業者1 社による業務上のミスが多数の銀行のサービス提供の停止を招いた事例もある。また、企業内の様々なビジネスラインでの委託等がサードパーティ 1 社に集中し、当該業者の業務停止が企業全体の活動を停止させるといったものや、より身近な例では、委託先等における重要な業務がスキルのある1人の担当者に依存し、当該担当者の不在が企業の業務停止に繋がることもある。

集中リスクへの対応の第一歩は、バリューチェーンにおけるサードパーティを棚卸し、「人材」「テクノロジー」「プロセス」「情報」「施設・装備」等をマッピングすることである。特に、重要度の高い商品・サービス、業務等における集中リスクを把握し、集中するポイントでディスラプションが発生した場合の対応（代替先への委託やインハウス化等）の可能性を検討し、準備をしておくこととなる。

サードパーティの起用は、当該サードパーティのディスラプションが自社の事業停止につながるリスクとなる一方で、事業環境の変化等によって生じたディスラプションに対応するための解決策ともなり得る。例えば、コロナ禍でのクラウド・サービスの利用は、オンサイトでの保守・運用作業から自社職員を解放し、継続的な業務を可能とした。リモート環境に対応したコミュニケーションツール等を提供するテクノロジー企業との取引を迅速に開始した企業は、円滑に業務を継続できた。

TPRMの課題の一つとして、サードパーティの受入れにかかる時間の長さが挙げられる。サードパーティの管理がサイロ的な対応になっている場合は、より顕著になる。コロナのようなディスラプション下では、迅速な意思決定ができないと、折角条件を満たす代替先やソリューションを見つけても、社内手続を終えたころには、他社に先回りされ、代替先等を利用できない状況にもなりかねない。実際、米国同時テロ後のニューヨークでは、代替オフィスの確保が早い者勝ちという状況にもなった。こうした状況を回避するためにも、効率的なTPRM が重要なのである。

足元では、地政学リスクへの対応の必要性が急激に高まっているが、一定のリスクが想定される国・地域に展開している日本企業も多い。一部では、供給網の見直しの必要性も叫ばれているが、これは供給網以外のサードパーティであっても同様である。サードパーティの業務上の役割や重要性が増している中、レジリエンス経営には、サードパーティリスクの把握が重要であり、それを支えるTPRMの構築は不可避である。現状の管理体制を見直し、より効率的で効果的なTPRMへの移行を進めていくことが企業には求められている。