イメージ(写真:Shutter Stock)

効率的な企業活動を実現するために仕事の一部をアウトソーシングすることが日常化しているし、その量もアウトソース先も多様化、複雑化している。当然、企業活動と言えば、こうしたアウトソース先の行動を含めて捉えることが当たり前になっている。事業継続計画といった社内的な管理ではもちろんのこと、環境対策、人権対応などの企業の社会的な責任に関しても、企業のバリューチェーンの一部として含まれている。取引先など、いわゆるサードパーティーを対象としたリスク管理は、全社的なリスク管理においても重要性を増している。

サードパーティーが業務上ネットワークでつながっているときには、特にサイバーリスク対策が大きな課題となる。そのため、サイバーリスク対策の管理担当である情報システム部門がサードパーティーリスク管理(TPRM)も担うことになっている。

こうした状況を受けて、サーバーリスクを専門とするリスクレコン社(RsikRecon)(マスターカードが買収して子会社化している)は企業のTPRMを調査して、実態を踏まえたアドバイスを提示している。それによれば、回答者(サードパーティリスク担当者154人)のうち79%はTPRMプログラムを運営していて、そのうちの53%は情報部門が責任を負っている(ベンダー部門は14%)。規制強化に対応して3分の2以上が取締役会に報告義務を負い、このリスク対策の優先順位が高まっていると答えた者は63%と、サードパーティーリスクを管理することの重要性が高まっていることが示唆される。収集された回答が少ないことからデータには多少のバイアスがあるかもしれないが、専門家からの情報に基づくという意味で、実態を知るためには貴重なものである。

平均で31%のベンダーがサイバーリスク・インシデントを起こすリスクがあると認識していて、回答者の25%はサードパーティー・ネットワークに参加するベンダーの半分が重大な影響を及ぼす可能性があると考えている。ただし、過去3年間で実際にインシデントを経験した企業は9%と少ない。経験していないとの回答が60%で、その他は回答したくないということなので、実際にはインシデントはもっと多いと思われる。10社で1社というインシデント発生が多いのか少ないのかは判断が分かれるところであろう。

■ベンダー関連のセキュリティインシデントを報告した回答者の割合

出典:STATE OF THIRD-PARTY RISK MANAGEMENT 2020