サードパーティ、第 4 の関係者、および n 番目の関係者

サードパーティとは、ユーザーとやり取りしたり、ビジネス関係を結んだりした組織または個人のことです。サードパーティは、子会社を持つことができ、第 4 の関係者と契約することができます。たとえば、部門は子会社です。第 4 の関係者は、他の関係者 (第 5、第 6 など、第 n の関係者と呼ぶ) と契約できます。すべての下流関係者 (第 4 の関係者から第 n の関係者) は、サードパーティと同じ方法でリスクを伴う可能性があります。

ベンダーは、独自の商品またはサービスを生産または配送するために使用する商品またはサービスを提供します。すべてのベンダーはサードパーティですが、すべてのサードパーティがベンダーであるわけではありません。他のタイプのサードパーティのリストを次に示します。

• サプライヤー
• 関連会社
• カウンターパーティ
• コンサルタント
• パートナー
• プロフェッショナルサービス
• アドバイザー
• フランチャイズ
• ディーラー
• リセラー
• ディストリビューター
• 顧客
• クライアント
• アウトソーシングスタッフ

エンゲージメント

エンゲージメントは、組織をリスクにさらす可能性があるサードパーティと形成する予定の非公式または契約上の関係です。エンゲージメントでは、サードパーティが提供するサービスや製品、および関係のその他の詳細について概要を説明します。これらの詳細には、支払い条件、機密性要件、および関係の期間を含めることができます。

内部および外部のアセスメントを使用して各エンゲージメントを評価できます。問題、タスク、内部アセスメント、および外部アセスメントはエンゲージメントに関連付けられています。

この例では、会社は 3 つのサードパーティとやり取りし、それらの間で複数のエンゲージメントを管理しています。

子会社

子会社は、サードパーティが所有または管理する組織であり、サードパーティの組織の一部と見なされます。これらは通常、サードパーティのリスクプロファイルの一部として管理されます。これらは、サードパーティと契約を結び、そのサードパーティによって所有または管理されていない第 4 の関係者から第 n の関係者とは異なります。

子会社のリスクアセスメントは、他のサードパーティのリスクアセスメントと同じです。子会社のリスク評価は、支配するサードパーティのスコアに寄与します。

IRQ — 固有のリスクアンケート

内部リスクアセスメントプロセスでは、組織の内部従業員が IRQ の質問に回答します。これらの回答は、サードパーティとの関わりに伴う固有のリスクを評価するのに役立ちます。固有リスクとは、リスク軽減策を実装する前のリスクのレベルを指します。IRQ は、次のアクティビティをサポートしています。

危険因子の決定

• サードパーティが提供するサービスの性質。
• 関連するデータの機密性。
• サードパーティの地理的な場所。
• サードパーティの全体的なセキュリティ体制。

採点または評価の決定

アンケートへの回答は、サードパーティに関連する固有リスクを定量化するために、多くの場合スコア付けまたは評価されます。このスコアリングシステムは、リスク管理の取り組みの優先順位付けに役立ちます。

意思決定

IRQ の結果は、意思決定プロセスで使用されます。サードパーティリスク (TPR) アドミニストレーターとマネージャーは、質問に対する特定の回答に基づいて、特定の外部アセスメント (デューデリジェンス) アンケートをサードパーティに送信するように IRQ を構成できます。

• サードパーティとやり取りする必要がありますか？
• どのレベルのデューデリジェンスが必要ですか？
• 具体的にどのようなリスク軽減策を実施すべですか？

進行中のデューデリジェンス

IRQ は、サードパーティの運用、セキュリティ慣行、またはその他の関連要因の変更を説明するために定期的にを再アセスメントされる、継続的な管理の一部である場合もあります。

デューデリジェンス (DD)

デューデリジェンスは、潜在的なビジネスパートナー、サプライヤー、またはベンダーの完全性、評判、財務の安定性、法令遵守、運用能力、サプライチェーン、およびその他の関連要因の徹底的な調査または調査を実施するプロセスです。サードパーティに対してデューデリジェンスを実施することは、包括的なサードパーティリスクプログラムの重要なコンポーネントです。デューデリジェンスを実施してサードパーティに関連するリスクを認識し、関係を形成する方法を安心して決定できるようにします。 デューデリジェンスワークフローを使用して、新しいエンゲージメントをオンボーディングしたり、既存のエンゲージメントを再評価または廃止したりします。デューデリジェンスワークフローには、内部アセスメント、外部アセスメント、およびリスクインテリジェンスを通じた情報の収集が含まれます。これらのステップのすべてのスコアは、エンゲージメントのオンボーディング、再評価、または廃止のいずれを行うかを決定するために、サードパーティリスクマネージャーによって分析されます。デューデリジェンスには、デューデリジェンスワークフローをクローズする前に行われる、オプションの契約交渉プロセスもあります。

「デューデリジェンスを実施する理由」および「デューデリジェンスのタイプ」を参照してください。

サードパーティのリスクアセスメント

サードパーティリスクアセスメント (TPRA) は、サードパーティおよびエンゲージメントのリスクを評価するために、サードパーティの連絡先または内部ユーザーに送信できる一連のアンケートです。内部ユーザーに送信するアセスメントは、内部アセスメントとして分類されます。サードパーティの連絡先に送信するアセスメントは、外部アセスメントと呼ばれます。

内部アセスメントは、サードパーティ階層とエンゲージメント階層を計算するために使用します。アンケートテンプレートテーブルで内部アンケートを識別するために使用する分類は、固有のリスクに関するアンケートテンプレート [irq_template] です。内部アセスメントから受け取った回答に従って、外部アセスメントに必要なアンケートを自動的に添付できます。このオプションは、アンケートから質問へのマッピングテーブル [sn_tprm_dd_m2m_question_to_questionnaire] で設定できます。

外部アセスメントは、サードパーティ連絡先から受け取った回答に従って、サードパーティとエンゲージメントに関連するリスクを評価するために使用します。外部アセスメントからのリスク評価は、アセスメントに添付されているすべてのアンケートを使用して、アセスメントレベルで計算されます。これらのアセスメント評価は集計され、サードパーティとエンゲージメントにロールアップされます。集計は、最小値、最大値、または平均値のいずれかで、スコアリング設定で構成できます。サードパーティポータル https://<myCompany>.service-now.com/svdp からのサードパーティ連絡先 (外部ユーザー) が、これらの外部アセスメントに回答します。

スコアリングの詳細については、「サードパーティのリスク評価とリスクスコアリングの計算」を参照してください。

リスクインテリジェンスプロバイダー

リスクインテリジェンスプロバイダーは、さまざまなサードパーティリスクドメインのリスクスコアを生成します。組織は、個人のクレジットスコアに類似したデータを返すプロバイダーからサービスを購入できます。スコアは、特定のサードパーティがどの程度信頼でき、安全であるかについての洞察を提供します。

「リスクインテリジェンスプロバイダーからのスコアの統合」を参照してください。

リスクインテリジェンススコア

リスクインテリジェンススコアは 、特定の組織に関連するリスクのレベルを評価する数値によるアセスメントです。これらのスコアは、幅広いデータソースを収集および分析するリスクインテリジェンスプロバイダーによって生成されます。スコアには、評価や数値など、あらゆる形式を使用できます。スコア値はシステムによって適切な TPRM 評価にマッピングされます。これらのスコアは、サードパーティとの関わり、コンプライアンスの管理、潜在的なリスクの軽減について、組織が十分な情報に基づいた意思決定を行う上で役立ちます。リスクインテリジェンススコアは、Washington DC リリースの時点でサードパーティに利用可能です。リスク評価は、スコアリングセットアップでエンゲージメントに関連付けられているスコアリングルールによって計算されます。

サードパーティスコア

これらのスコアは、組織がサードパーティとの関係を選択および管理する際に、十分な情報に基づいた意思決定を行うことに役立ち、自社のリスク許容度とコンプライアンス要件に適合できるようにします。サードパーティスコアを評価することで、組織は潜在的なリスクを特定し、デューデリジェンスに優先順位を付け、適切なリスク軽減戦略を実施することができます。

リスク評価コンポーネント

コンポーネントは、リスクを評価できるエンティティです。ベースシステムには、エンゲージメント、外部モニタリング、子会社、およびサードパーティのリスクアセスメントが含まれます。コンポーネントごとにリスクが計算されてから、リスクが集計され、ロールアップされてサードパーティリスク評価が計算されます。

コンポーネント基準は、コンポーネントがサードパーティによってどのように使用されるかの定義です。「コンポーネント基準」は、特定のタイプのサードパーティまたはエンゲージメントに適用する必要があるコンポーネントのグループです。

リスク領域またはドメインは、サードパーティのために評価するリスクのタイプを定義します。これは通常、サードパーティが事業を行っている、またはサードパーティが製品/サービスを提供する分野/ドメインに沿っています。たとえば、セキュリティリスクの観点からデータ管理サードパーティを評価し、財務リスクの観点から銀行を評価することができます。

リスク領域基準は、サードパーティによってリスク領域がどのように使用されるかの定義であり、リスク領域基準で定義されます。サードパーティリスク領域基準は、特定のタイプのサードパーティに適用されるリスクドメインまたは領域のグループ (またはグループ) です。たとえば、セキュリティ、財務、評判のリスクドメインは、サードパーティに適用する必要があるリスク領域基準にグループ化できます。リスクを評価するビジネスのドメインを特定し、各ドメインの重要性 (重み付け) を定量化することで、サードパーティが組織にもたらすリスクをよりよく理解して軽減できます。

採点ルール

採点ルールは、コンポーネント基準とリスク領域基準をサードパーティおよびエンゲージメントのリスク領域基準に適用するメカニズムを提供します。

サードパーティの場合、コンポーネント基準によって、適用可能な特定のコンポーネントと各コンポーネントに関連する採点方法が決まります。これらのコンポーネントには、地理的な場所、全体的なセキュリティ体制、内部および外部のアセスメントの結果が含まれる場合があります。これらのコンポーネントのスコアリング方法は、スコアリング設定で構成されます。たとえば、地理的な場所と全体的なセキュリティ体制に関する内部アセスメントは内部アセスメントプロセスの一部ですが、外部アセスメントでは最小、最大、平均などの方法を使用してリスク評価を計算します。さらに、外部プロバイダーからのリスクインテリジェンススコアが適切な評価にマッピングされ、外部アセスメントスコアと組み合わされて、サードパーティ全体のスコアが形成されます。

サードパーティの場合は、リスク領域基準によって、適用可能な特定のリスク領域 (またはドメイン) と、各リスク領域に関連する採点方法が決まります。

サードパーティ要素

サードパーティの要素とは、 サードパーティまたはエンゲージメントが商品、サービス、またはサポートの提供のために依存する外部組織のことです。これらの組織には、ベンダー、サプライヤー、請負業者、個人、またはサードパーティやエンゲージメントのシステム、データ、または設備にアクセスできるその他の外部組織が含まれます。このようなサードパーティの要素に脆弱性や障害があれば、サードパーティやエンゲージメントの運用、評判、セキュリティに重大な影響を与える可能性があります。これらの各コントロールールを実施し、関連するリスクに対処することで、組織はサードパーティとその要素による潜在的な悪影響をコントロールし、軽減できるようになります。これらのコントロールを定期的に再評価して更新することは、事業環境や規制状況の変化に適応するうえで不可欠です。

ここでは、サードパーティ要素とそれに関連するコントロール、および潜在的なリスクの例をいくつか示します。

データセンター

サードパーティまたはエンゲージメントがデータおよび IT インフラの保管、処理、管理を外部委託する設備または場所。

コントロール：

• ベンダーのセキュリティアセスメント： クラウドホスティングやデータストレージなどのサービスを提供するサードパーティベンダーのセキュリティ対策とセキュリティプラクティスを定期的に評価します。
• データ暗号化：データセンターに保存されているデータが、不正なアクセスから保護するために暗号化されていることを確認します。
• アクセス制御：厳格なアクセス制御を実施して、データセンターの設備およびサーバーへの物理的および仮想的なアクセスを制限します。
• インシデント応答計画：セキュリティインシデントに迅速に対処するために、包括的なインシデント応答計画を策定し、維持します。

リスク：

• データ漏洩：サードパーティのデータセンターでの情報漏洩は、不正アクセスや機密情報の流出につながる可能性があります。
• ダウンタイム：サードパーティのデータセンターに依存すると、サービスプロバイダーに技術的な問題が発生した場合、組織はダウンタイムのリスクにさらされます。
• コンプライアンス違反：データセンターが業界または規制のコンプライアンス標準を遵守しなかった場合、組織に法的および財務上の影響が生じる可能性があります。

製造設備

サードパーティまたはエンゲージメントが製品の製造または組み立てを外部委託する設備または場所。

コントロール：

• サプライヤー監査：製造プロセスに重要なコンポーネントやサービスを提供するサプライヤーのセキュリティプラクティスを定期的に監査し、評価します。
• 品質保証基準：原材料とコンポーネントの完全性と安全性を促進するために、サードパーティサプライヤーに対して品質保証基準を施行します。
• サプライチェーンの可視化：サプライチェーン全体の可視化を維持し、潜在的な脆弱性を特定して対処します。
• 契約上の合意：サプライヤーとの間で、セキュリティ要件と非準拠の場合の結果について概説した明確な契約上の合意を締結します。

リスク：

• サプライチェーンの混乱：サードパーティサプライヤーに依存することで、組織はサプライチェーンが寸断され、生産に影響を及ぼすリスクにさらされます。
• 偽造部品：サプライチェーンでのコントロールが不十分な場合、偽造コンポーネントや規格外コンポーネントが使用され、製品の品質が損なわれる可能性があります。
• 法令遵守の問題：サプライヤーが規制基準を遵守しなかった場合、製造設備に法的および規制上の影響が生じる可能性があります。

受益者

事業関係や取引に関与する組織を最終的に所有またはコントロールする個人のことです。これらの個人は、組織の登記上の所有者または法的所有者でなくても、組織の運営、意思決定、財務に対して重大な影響力またはコントロールを及ぼすことができます。

コントロール：

• デューデリジェンス：必要に応じて、身元調査、書類調査、面談を含む、受益所有者を特定し確認するための堅牢なデューデリジェンスプロセスを組み込みます。
• 契約上の義務：サードパーティとの契約に、受益所有権の変更を開示し、適用される法律および規制の遵守を確認することを義務付ける条項を盛り込みます。
• 監視と報告：サードパーティのリスクプロファイルに影響を与える可能性のある変更や事態の進展を検出するために、受益所有者を継続的に監視するシステムを確立します。
• トレーニングと意識向上：危険フラグや報告手順など、受益所有権の理解と監視の重要性について、関連スタッフにトレーニングを実施します。
• 法令遵守プログラム：報告および開示の要件を含む、受益所有権に関連するすべての関連法規の遵守を検証するプログラムを開発して維持します。
• エスカレーション手順：受益所有権に関連する懸念や不正が特定された場合の明確なエスカレーション手順を確立し、時宜を得た適切な対応を促進します。

リスク：

• 持ち分の隠蔽：受益所有者が意図的に所有権を隠蔽し、サードパーティへの影響力に関連する潜在的なリスクを評価することを困難にしている場合があります。
• 風評被害のリスク：受益所有者に疑わしい評判がある場合、彼らと関わると組織の評判が損なわれる可能性があります。
• 規制コンプライアンス：受益所有権の報告と透明性に関する規制を遵守しなかった場合、法的および規制上の影響が生じる可能性があります。
• 財務リスク：受益所有者が財務的に不安定であったり、不正行為に関与している場合、サードパーティ、ひいては組織に財務上のリスクをもたらす可能性があります。