解説：「サードパーティリスク管理に関するガイダンス案」

2021-08-06

近年、グローバル化の進展やクラウド活用の拡大といったテクノロジーの高度化によって、企業活動の推進にあたってはパートナー企業、ベンダー、サービス提供会社などの委託先（サードパーティ）が拡大する傾向にあり、それらを適切に管理することは経営者にとって喫緊の課題となっています。これに伴い、各国の規制当局は金融など各業界の企業に対して、サードパーティに関する包括的な管理体制の構築を求めています。

サードパーティリスク管理に関するガイダンスの概要

米金融当局（FRB、FDIC、OCC）は2021年7月、これらの当局が監督する全ての銀行（banking organization）を対象とする「サードパーティリスク管理に関するガイダンス案」（以下、「ガイダンス案」）の市中協議を開始しました^*1（市中協議は9月中旬締切）。サードパーティリスク管理については、過去にFRB、FDIC、OCCがそれぞれ異なるタイミングで個別のガイダンスを発出していましたが、今回のガイダンス案はこれら3当局の既存のガイダンス内容の整合性を図る目的で策定されており、OCCが2013年10月に発表したガイダンスの内容を概ね踏襲しています。

ガイダンス案は、「銀行は、サードパーティの利用をもって、安全かつ健全なアクティビティの遂行または関連法規制への適合性に係る責任を免れるものではない」としています。また、「各々の銀行はサードパーティとの関係から生じるリスクや複雑性のレベルに応じてサードパーティリスク管理プロセスを構築すべきである」としたうえで、サードパーティリスク管理をライフサイクルで捉え、ライフサイクルの各局面に適用される原則を以下のとおり列挙しています。

銀行の戦略、サードパーティとの関係に内在し得るリスク、銀行がどのようにサードパーティを識別・評価・選別・監督するかなどの内容をまとめた計画の策定
サードパーティの選別時における適切なデューデリジェンスの実施
全ての関係者についての権利と責任を明記した書面形式の契約の交渉
取締役会および経営陣による銀行のリスク管理プロセスの監督、監督上の説明責任の書面化と報告体制の維持、独立したレビューへの従事
サードパーティのアクティビティおよびパフォーマンスに対する継続的モニタリングの実施
サードパーティとの関係が終了する場合における、対象となる業務の継続・終了の方針、コンティンジェンシープランの策定

ガイダンス統一化の意義と今後の展望

銀行のサードパーティの拡大や多様化に伴い、企業のリスクは変化し、同時に高まっており、米３当局によるガイダンスの統一は、サードパーティリスク管理に対する当局目線の高まりを表していると考えられます。なお、ガイダンス案はサードパーティとの関係を、必ずしも書面での契約や金銭授受の発生の有無を伴うものではない、あらゆるビジネスアレンジメントとして位置付けています。そのため、今後は日本の金融庁のスコープも、現在の外部委託からより広範な概念であるサードパーティに広がっていくことが考えられます。また、ガイダンス案では「サードパーティリスクに対しては継続的なモニタリングが不可欠な要素である」とされており、日本国内においても銀行のモニタリングのあり方が、定期的なものから継続的なものへと、あらためて議論される可能性があります。一方、サードパーティが個々の実務ごとに散らばっている現状に鑑みると、銀行の２線・３線がどのようなモニタリング態勢によってサードパーティリスクを総合的に捉えていくかも重要になってきます。