第 4 以上の関係者の監視

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • サードパーティリスク管理 アプリケーションを使用して、第 4 以上の関係者のサービスに依存するサードパーティリスクを特定して管理できます。第 4 以上の関係者を監視することで、第 4 以上の関係者がプライマリサードパーティと同じセキュリティおよびコンプライアンス基準に準拠していることを確認できます。

    第 4 以上の関係者

    第 4 以上の関係者は、サブサプライヤー、サービスプロバイダー、コンサルタント、またはサードパーティが製品またはサービスを提供するために依存しているその他の組織など、さまざまなエンティティを含みます。これらの関係者は、機密データ、システム、またはプロセスにアクセスできる可能性があり、潜在的なリスクの原因になります。

    第 4 以上の関係者のリスクの例を以下に示します。
    部品
    会社ではサードパーティの物品を定期的に使用していますが、その物品は別のサプライヤーのハードウェア部品に依存しています。この場合、追加部品を提供する組織は第 4 の関係者であり、サードパーティによって提供される物品のダウンストリームリスクの潜在的な原因となります。
    サービス
    会社は、Automatic Data Processing (ADP) サービスを使用して給与アプリケーションを保存しています。ADP サービスは、Amazon Web サービス (AWS) を使用してデータを格納するサードパーティのサービスです。ADP サービスは、データを保護し、安全性を維持するためのセキュリティ対策とプロセスの導入に AWS に依存しています。多くの場合、AWS はプライマリサービスのサードパーティですが、この場合、AWS サービスはサードパーティ ADP の第 4 の関係者に当たります。

    2 つの第 4 の関係者を相互にリンクできます。たとえば、追加の部品を提供する組織が、ハードウェア部品の配送について別の第 4 の関係者に依存している場合に、リンクが発生する可能性があります。ただし、2 つの第 4 の関係者をリンクする場合は、ループを作成できません。開始ポイントは、サードパーティまたは第 4 の関係者のいずれかです。たとえば、第 4 の関係者 A に子の第 4 の関係者 B があり、さらに第 4 の関係者 B に子の第 4 の関係者 C がある場合です。第 4 の関係者 C は、第 4 の関係者 A に戻る子を持つことはできません。この制限により、第 4 の関係者間で循環依存関係が形成されないことを確認できます。

    第 4 以上の関係者のアクション

    リスク管理プログラムの一部として、第 4 以上の関係者の情報を手動で追加するか、第 4 の関係者の登録アンケートを使用してサードパーティから回答を収集して追加することができます。サードパーティにアンケートを送信する時間がない場合、または 1 つのレコードのみを作成する必要がある場合は、第 4 以上の関係者のレコードを手動で作成できます。これらの第 4 以上の関係者のレコードを確認して登録するか、手動で作成すると、ベンダー管理ワークスペース を使用して監視できるようになります。ビジネス関係が変化しても、第 4 以上の関係者のレコードをサードパーティレコードに昇格させることで、関連情報を最新の状態に保つことができます。このサードパーティレコードには既存の情報がすべて組み込まれており、その後既存の第 4 以上の関係者を既知の第 4 の関係者として指定します。

    第 4 以上の関係者を管理および監視するために実行できるさまざまなアクションを次に示します。

    第 4 以上の関係者を登録する
    サードパーティリスク (TPR) 査定人またはマネージャーは、第 4 の関係者登録アンケートを使用して、サードパーティから回答を収集した後、第 4 以上の関係者を登録できます。第 4 の関係者登録アンケートは、サードパーティにのみ送信でき、エンゲージメントには送信できません。詳細については、「第 4 以上の関係者を登録する」を参照してください。
    サードパーティに関連付けられている第 4 以上の関係者を表示する
    関連するすべての第 4 以上の関係者を表示するには、ベンダー管理ワークスペース のサードパーティページの [ダウンストリームサプライヤー] タブに移動します。サードパーティにリンクされているすべての第 4 の関係者を表示することは、エンゲージメントとの関係を開始または継続するかについて、情報に基づいた意思決定を行うのに役立ちます。たとえば、サードパーティに関連付けられている第 4 の関係者が自動車業界においてリスクが高いことがわかっている場合でも、別の業界でのエンゲージメントを進めることは許容できるかもしれません。しかし、同じサードパーティとのエンゲージメントに自動車業界が関連している場合、リスクが高すぎると見なされる可能性があります。

    関連するすべての第 4 以上の関係者を表示する方法の詳細については、「第 4 の関係者に関する情報の表示」を参照してください。

    第 4 の関係者の概要セクションを表示する
    ベンダー管理ワークスペース のホームページに移動すると、既知の第 4 の関係者 (サードパーティに関連付けられている子会社)、および不明な第 4 の関係者を表示できます。この概要ビューは、第 4 の関係者について利用できる情報の量と、それが他のサードパーティやエンゲージメントとどのように関連しているかを理解するのに役立ちます。たとえば、既知の第 4 の関係者である場合、サードパーティとして評価されている間に収集された既存のデューデリジェンス情報をすべて活用できます。
    注:
    既知の第 4 の関係者は、リスク管理プログラムでサードパーティとして既に使用されている組織です。不明な第 4 の関係者は、サードパーティとして使用されていないまたは識別されていない第 4 の関係者としてのみ分類されます。

    既知の第 4 の関係者 (サードパーティに関連付けられている子会社)、および不明な第 4 の関係者の表示の詳細については、「TPRM ホームページへ。」を参照してください。

    第 4 以上の関係者のレコードを手動で作成する
    TPR 査定人またはマネージャーは、第 4 以上の関係者のレコードを手動で作成できます。

    第 4 以上の関係者のレコードを作成する方法の詳細については、「第 4 以上の関係者のレコードを作成する」を参照してください。

    注:
    既存のサードパーティを第 4 以上の関係者として別のサードパーティに追加するには、ベンダー管理ワークスペースのサードパーティページの [ダウンストリームサプライヤー] タブに移動し、[追加] を選択します。追加後、既存のサードパーティは、選択したサードパーティのサードパーティおよび第 4 以上の関係者の両方として分類され、収集されたすべての情報が含まれます。
    第 4 以上の関係者をサードパーティに昇格させる
    TPR 査定人またはマネージャーは、第 4 以上の関係者のレコードをサードパーティに昇格させることができます。第 4 以上の関係者をサードパーティに昇格させると、サードパーティレコードが作成され、既存の第 4 以上の関係者は既知の第 4 の関係者として識別されます。

    第 4 以上の関係者のレコードをサードパーティレコードに昇格させる方法の詳細については、「第 4 以上の関係者をサードパーティに昇格させる」を参照してください。