デジタルレジリエンスのサードパーティ登録簿の使用

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:13分

    • ベンダー管理ワークスペースデジタルレジリエンスサードパーティ情報登録 アプリケーションを使用して、アセスメント、支店、法人などを作成、更新、追跡し、ICTサードパーティサービスプロバイダーとの契約上の取り決めの登録を維持します。

    デジタルレジリエンスサードパーティ登録

    リリース 19.1.x 以降、デジタルレジリエンスサードパーティ情報登録 アプリケーションは ベンダー管理ワークスペースDORAコンプライアンスでサポートされています。

    デジタルレジリエンスサードパーティ情報登録 アプリケーションは、デジタルレジリエンスサードパーティ登録のダウンロードに使用されます。アプリケーションには、レポート用のすべてのタブを含む Microsoft Excel テンプレートが含まれています。これは、金融機関が個々の取引主体、準連結、および連結レベルで ICT サードパーティサービスプロバイダー との契約上の取り決めの包括的な登録を維持するのに役立ちます。

    デジタルレジリエンスサードパーティ登録を使用して、Microsoft Excelアップロードおよびダウンロード機能を使用して、アセスメント、支店、契約、機能、法人、サプライチェーン、サードパーティ、またはサードパーティエンゲージメントのレコードを一括または個別に作成または編集できます。

    注:
    IRM Professional ライセンスのユーザーは、オペレーショナルレジリエンスワークスペース内のデジタルレジリエンスサードパーティ登録にアクセスできます。ライセンスユーザーがアクセスできるTPRMライセンスデジタルレジリエンスサードパーティ登録TPRM ワークスペース
    デジタルレジリエンスサードパーティ登録アプリケーションは、エンティティに対して次の複数の機能を果たします。
    • エンティティがサードパーティリスク ICT 追跡するのを支援します。
    • 欧州連合の管轄当局に、金融機関内のICTおよびサードパーティリスク管理を監督する権限を与えます。
    • 欧州監督当局 (ESA) がEUレベルの監督のための重要な ICT サードパーティサービスプロバイダー (CTPP) を特定するのを支援します。
    デジタルレジリエンスサードパーティ登録の構成とその考えられるユースケースの詳細については、「デジタルレジリエンスサードパーティ登録の構成情報登録簿を更新するユースケース」を参照してください。

    デジタルオペレーショナルレジリエンス

    デジタル オペレーショナルレジリエンス とは、金融機関が運用の完全性と信頼性を構築、保証、およびレビューする能力を指します。これにより、エンティティは、ネットワークと情報システムを保護するために必要なすべての ICT 関連機能を確実に備えることができます。これらのシステムは、金融サービスの継続的な提供をサポートし、混乱時でもその品質を維持します。継続性は、 ICT サードパーティサービスプロバイダーが提供するサービスで直接的または間接的に実現できます。

    デジタルオペレーショナルレジリエンスアクション

    デジタル オペレーショナルレジリエンスデジタルオペレーショナルレジリエンスアクション (DORA)と一致しています。これは、2023 年 1 月 16 日に発効した 欧州連合 (EU) 規制で、2025 年 1 月 17 日から適用されます。欧州監督当局(ESA)が監督する金融機関のICTセキュリティを強化し、欧州の金融セクターを大規模なデジタルディスラプションから保護します。

    DORAデジタルレジリエンスサードパーティ情報登録 アプリケーションの詳細については、「https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-actデジタルレジリエンスサードパーティ登録 の探索」を参照してください。

    のレコードを作成しています デジタルレジリエンスサードパーティ登録

    サードパーティリスク (TPR) 査定人 [sn_vdr_risk_asmt.vendor_assessor] と TPR マネージャー [sn_vdr_risk_asmt.vendor_manager] は、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動して、これらのレコードを作成および更新できます。これらのレコードは、特定の順序で作成または更新する必要があります。このシーケンスの詳細については、「 レコードの作成とレビュー」を参照してください。
    注:
    TPR 査定人と TPR マネージャーは、サードパーティ、サードパーティエンゲージメント、契約のレコードを削除できます。TPR アドミニストレーター [sn_vdr_risk_asmt.vendor_risk_admin] は、個々のレコードに移動して [削除] を選択することで、すべてのレコードタイプを削除できます。

    次の例は、ベンダー管理ワークスペースデジタルレジリエンスサードパーティ登録にレコードがどのように表示されるかを示しています。


    レコードがデジタルレジリエンスサードパーティ登録にどのように表示されるかを示す例。
    次のレコードは手動で作成および更新できます。
    法人

    法人レコードを作成するには、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動します。ここでは、既存の法人を表示し、 DORA 規制に準拠するためにデジタルレジリエンス情報を強化できます。デジタルレジリエンスサードパーティ情報登録 アプリケーションをインストールすると、サードパーティとしてまだ定義されていない既存の会社に [法人] タブが追加され、その詳細を追加できるようになります。法人レコードには、取引主体識別子 (LEI)、名前、登録国、取引主体タイプなど、規制報告に不可欠なフィールドが含まれています。これらのフィールドは、システム内で選択リストとして提供されます。システムはエンティティ階層を認識し、最終的な親に追加の詳細は必要ありませんが、子会社は親エンティティを指定する必要があります。各法人の登録日も表示されます。さらに、テクニカルサービスのアウトソーシングのために外部サードパーティと連携するエンティティの規制当局の要求に応じて、最終更新日、統合日、削除ステータス、削除日、使用通貨、総資産価値などの具体的な詳細がエンティティごとに文書化されます。規制当局は、テクニカルサービスのアウトソーシングのために外部サードパーティと連携する法人に対して、これらの特定の詳細を義務付けています。

    注:
    既存のサードパーティは [法人] リストに表示されません。会社レコードは、サードパーティまたは法人としてのみ定義できます。会社および法人の場合、[仕入先] オプションは [False] に設定されます。(このチェックボックスはオンになっていません)。

    詳細については、「 法人の作成とデジタルレジリエンスデータの強化」、「 新規会社の作成フォーム」、「 新しい法人の作成フォーム」を参照してください。

    分岐

    分岐レコードを作成するには、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動します。これにより、支店のデジタルレジリエンス情報を強化して、 DORA 規制へのコンプライアンスを確保できます。法人は、さまざまな都市や国で複数の支店を運営でき、これらすべての支店を文書化できます。新しい支店が設立されたら、その情報を規制報告に含める必要があります。キャプチャされる一般的な詳細には、支店の名前と説明、オーナーの詳細、レポート用の事業部門と部門、支店が本社か別のタイプか、支店 ID、発信国などがあります。支店番号が自動生成され、すべての詳細が完了すると、情報を情報登録簿にキャプチャする準備が整います。

    詳細については、「分岐を作成してデジタルレジリエンスデータを強化」および「[新しい分岐を作成] フォーム」を参照してください。

    関数

    ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動すると、機能レコードを作成できます。ここでは、機能識別子、ライセンスアクティビティ、機能名、重要度または重要性アセスメントなどの詳細を追加できます。各機能は、デジタルオペレーショナルレジリエンス法 (DORA) で定義されている特定のサービスまたはサービスグループを表します。機能レコードは、説明テキストなど、各機能に関する詳細情報をキャプチャするために使用されます。機能レコードが作成されると、デジタルレジリエンス情報を強化して DORA 規制へのコンプライアンスを確保し、サードパーティが提供する ICT サービスの使用状況を効果的に文書化できます。

    詳細については、「機能の作成とデジタルレジリエンスデータの強化」および「新しい関数の作成フォーム」を参照してください。

    サードパーティ

    既存のサードパーティレコードにアクセスして表示するには、ベンダー管理ワークスペースデジタルレジリエンスサードパーティ登録内にある [サードパーティ] リストを選択します。デジタルレジリエンスサードパーティ登録をインストールすると、サードパーティのページに [デジタルレジリエンス情報 (Digital Resilience Information)] タブが追加され、デジタルレジリエンス情報の詳細を設定できます。

    ここでは、付加価値税 (VAT) 番号または会社登録番号 (CRN) で取得できるサードパーティの法人 ID を表示できます。登録国とそのコードを指定できます。登録国は、システムによって ID の生成に使用されます。さらに、サードパーティが Ultimate か子会社かを示し、 ICT サードパーティの名前と提供するサービスのタイプ (サービスとしてのソフトウェアなど) を含め、必要に応じて個人が組織を代表して行動するかどうかに注意することができます。レポート通貨を選択し、このエンゲージメントの年間経費の合計を入力することもできます。

    詳細については、「 サードパーティを作成し、デジタルレジリエンスデータを強化」、「 新規会社の作成フォーム」、「 [新しい ICT サードパーティサービスプロバイダーの作成] フォーム」を参照してください。

    エンゲージメント

    既存のサードパーティエンゲージメントレコードにアクセスして表示するには、ベンダー管理ワークスペースデジタルレジリエンスサードパーティ登録内にある [サードパーティエンゲージメント] リストを選択します。デジタルレジリエンスサードパーティ登録をインストールすると、サードパーティエンゲージメントページに [デジタルレジリエンス情報 (Digital Resilience Information)] タブが追加され、デジタルレジリエンス情報の詳細を設定できるようになります。

    ここでは、サードパーティの名前、そのタイプ、年間消費量、エンゲージメント階層、およびその他の関連情報を表示できます。ICTサードパーティサービスプロバイダーレコードを作成することで、レコードのデジタルレジリエンス情報を強化できます。サービスプロバイダーの名前、識別コード、ICTサービスのタイプ、通貨などのサードパーティサービスプロバイダーの詳細ICTを追加します。これにより、 DORA 規制に準拠するための関連するサードパーティエンゲージメントのデジタルレジリエンス情報が強化されます。

    詳細については、「 サードパーティエンゲージメントを作成し、デジタルレジリエンスデータを強化します」、「 新しいサードパーティエンゲージメントの作成フォーム」、「 サードパーティエンゲージメントへのデジタルレジリエンス情報の追加」を参照してください。

    契約
    契約レコードを作成するには、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動します。ここでは、ベンダー名、開始日と終了日、ステータス、サブステート、その他の関連情報などの詳細を追加できます。契約レコードが確立されたら、デジタルレジリエンス情報を拡張して、 DORA 規制へのコンプライアンスを確保できます。

    デジタルレジリエンスサードパーティ登録は、組織内の誰が外部アウトソーシングされた ICT サービスを使用しているか、どの機能と支店がそれらを使用しているか、およびサードパーティプロバイダーとそのエンゲージメントが誰であるかについての詳細を提供します。契約は、これらの側面間のリンクとして機能し、法人、支店、および機能をサードパーティとそのエンゲージメントに拘束します。

    これらの契約には、 デジタルレジリエンスサードパーティ登録の [契約] リストからアクセスできます。または、特定の法人のレコードに移動し、[ 法人 ] タブを開いて、関連するすべての契約情報にアクセスします。法人の契約を表示するには、法人のレコードに移動し、 法人 タブを開いて、さまざまな 契約 関連のタブに移動します。必要な契約を選択し、[ デジタルレジリエンスの情報 ] タブに移動します。次に、[契約 の詳細 ] タブに進み、必要な情報を表示します。このフォームでは、 ICT サービスを使用するユーザーを指定します。契約に署名するエンティティがそれを使用するエンティティと異なる場合、その詳細はサービスプロバイダーとともにレコードに含まれます。これらのレコードにキャプチャされる詳細には、データのストレージと処理の場所、データの機密性とサービスプロバイダーの信頼性、契約と終了の詳細、年次アセスメント、契約参照番号などがあります。

    詳細については、「 契約を作成し、デジタルレジリエンスデータを強化」、「 [新規契約を作成] フォーム」、「 [新しい契約上の取り決めを作成 (Create New Contractual Arrangement)] フォーム」を参照してください。

    サプライチェーン
    サプライチェーンレコードを作成するには、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動します。ここでは、 ICT サービスのタイプ、 ICT サービスを提供する取引主体の取引主体識別子 (LEI) など、サプライチェーンの詳細をキャプチャできます。

    詳細については、「サプライチェーンの構築とデジタルレジリエンスデータの強化」および「[新しい ICT サービスサプライチェーンを作成 (Create New ICT service supply chain)] フォーム」を参照してください。

    アセスメント

    ICTサービスレコードのアセスメントを作成するには、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動します。ここでは、 ICT サードパーティサービスプロバイダーの契約上の取り決め参照番号、識別コード、コードのタイプなどの詳細を追加できます。アセスメントが作成されたら、デジタルレジリエンス情報を強化して、 DORA 規制へのコンプライアンスを確保できます。契約とサードパーティを毎年レビューする必要があります。

    ICTサードパーティサービスプロバイダーの契約上の取り決め参照番号、識別コード、コードタイプなどの詳細を追加します。その後、 DORA 規制に準拠するためにデジタルレジリエンス情報を強化できます。

    詳細については、「アセスメントを作成し、デジタルレジリエンスデータを強化」および「ICT サービスの新しいアセスメントを作成」を参照してください。

    デジタルレジリエンスサードパーティ登録の使用に関連するロールの詳細については、「サードパーティリスク管理 でのロール」を参照してください。

    レコードのアップロードとダウンロード

    個々のレコードの作成に加えて、TPR 査定人と TPR マネージャーは、Excel のダウンロード/アップロード要求機能を使用してレコードのダウンロードを要求できます。詳細については、「 Microsoft Excelダウンロード要求の作成」および「 Excel のダウンロード/アップロード要求フォームの新規作成」を参照してください。
    注:
    Excel のダウンロード/アップロード要求を編集および削除するには、TPR アドミンロールが必要です。

    TPR アドミニストレーターは、Excel のダウンロード/アップロード要求機能を使用して、レコードを一括で作成および更新できます。詳細については、「レコードの一括作成」と「既存のレコードの一括更新」を参照してください。

    次の例は、Excel のダウンロード/アップロード要求を表示および作成できる場所を示しています。


    Excel のダウンロード/アップロード要求を表示および作成できる場所を示す例。
    注:
    サードパーティアセスメントレビュー担当者 [sn_vdr_risk_asmt.vendor_assessment_reviewer] ロールを持っている場合は、ベンダー管理ワークスペースデジタルレジリエンスサードパーティ登録で必要なレコードリストに移動して、各レコードタイプのリストをエクスポートできます。