『金融分野におけるサイバーセキュリティに関するガイドライン』から読み解くサードパーティリスク管理の新常識（3）

近年、金融機関が導入するシステムやソフトウェアは複雑になり、これに伴ってサプライチェーンも複雑化しています。また、こうした金融機関のサプライチェーンを標的としたサイバー脅威も増加の一途をたどる状況であり、そのリスク管理は難易度が上昇しています。

こうした背景から、昨年金融庁が公表した『金融分野におけるサイバーセキュリティに関するガイドライン¹』（以下、本ガイドライン）では、新たにサードパーティリスク管理について明記されています。

シリーズ3回の2回目である前稿では、金融機関がサードパーティリスク管理を行う上で捉えるべき、従前の「外部委託先管理」から「サードパーティリスク管理」への変化について解説しました。

これを踏まえ本稿では、サードパーティリスク管理を行う上で理解すべき重要な2つの観点について整理します。

観点①：集中リスク

サードパーティリスク管理と関連して重要度が上がっているのが「集中リスク」です。このリスクは、金融機関からの依存度の高い一つの組織等で発生した問題が原因となり、金融機関の業務に影響を与えるリスクを指します。

集中リスクは、金融セクターに影響を与えるものとして既に、欧米のサイバーセキュリティ関連法においてその対応が求められています。一例として、EU金融業界のデジタルオペレーショナル・レジリエンスに関する規制であるデジタルオペレーションレジリエンス法（DORA）においては、フォーカスする5つの分野の一つである「ICTサードパーティのリスク管理」の一部として集中リスクが取り上げられ、2025年初頭までに準拠することが要請されてきました。

（DORAに関する詳細は『デジタルオペレーションレジリエンス法（DORA）の概要―EUの金融業界のレジリエンスに関する新しい規制―』をご参照ください。）

ここで、想定される集中リスクの例を3点示します（図表1）。

図表1：想定される集中リスク例

^{出典：PwC作成}

1点目は、多数の組織からの委託が一つの組織に集中するケースです。これは、複数の金融機関からの委託が一つのサードパーティに集中する場合や、複数のサードパーティからの委託が一つのフォースパーティに集中する場合などが想定されます。特に後者については、金融機関側から見れば自行からの委託はサードパーティに対してのみ成されている形に見えるため、適切なサードパーティリスク管理を行わないと、フォースパーティの集中リスクを認識できません。

2点目は、一つの組織からの多数の委託が特定の組織に集中するケースです。金融機関からサードパーティへの委託、サードパーティからフォースパーティ以降への委託、どちらにおいても発生する可能性があります。この場合は一件の委託先が原因で多くのサービスが停止する可能性があり、多大な影響を被る可能性があります。

3点目は、多数の委託が「カントリーリスク」の高い特定の国を拠点とする組織に集中するケースです。このケースは一見すると集中リスクがあるようには見えないため、捉えにくいのが特徴です。しかし、カントリーリスクは当局の一つの動向（法改正や規制強化など）により多数の組織が同時に影響を被る可能性があるため、集中リスクとして捉える必要があります。

集中リスクを認識するためには、「委託状況の可視化」が必要です。先行事例として、欧米では既に委託先を可視化するツールが用いられている状況があることからも、この「集中リスク」は決して侮れない重要なものとなっていることが分かります。サードパーティリスク管理においては、この「集中リスク」がどういった状況で顕在化するのかを正しく理解し、委託状況を的確に把握することが重要です。

観点②：オペレーショナル・レジリエンス

サードパーティリスク管理を行う上で捉えるべきもう一つの観点が、オペレーショナル・レジリエンスの考え方です。本ガイドラインにおいて何度か出現する「重要なサードパーティ」という表現を正しく捉えるためには、オペレーショナル・レジリエンスの考え方を理解する必要があります。まず、「重要なサードパーティ」の定義ですが、本ガイドラインの注釈において以下のように示されています。

重要なサードパーティとは、自組織として業務運営上重要と認識しているサードパーティをいう

本ガイドラインでは、この「重要なサードパーティ」に関する基本的な対応事項として、「特に重要なサードパーティに対しては、サイバーセキュリティ管理態勢、サイバーインシデント対応計画、コンティンジェンシープランについても、評価を行うこと」を求めており、「重要なサードパーティ」への対応レベルを一段階上げていることがうかがえます。この背景には、日本でも2022年頃から議論されているオペレーショナル・レジリエンスに関する動向があると考えます。

オペレーショナル・レジリエンスとは、既存のリスク管理やBCPなどの未然防止策を尽くしてもなお、業務中断は必ず起こることを前提に、利用者目線で代替手段等を通じた早期復旧や影響範囲の軽減を担保する枠組みを指します。2021年3月にバーゼル銀行監督委員会が国際原則を策定したことを皮切りに、各金融機関において対応が進められています。金融庁のディスカッションペーパー²で提示されたオペレーショナル・レジリエンスの管理プロセスは以下の通りです（図表2）。

（オペレーショナル・レジリエンスに関する詳細は、『オペレーショナルレジリエンス態勢の構築支援 | PwC Japanグループ』をご参照ください。）

図表2：オペレーショナル・レジリエンスの総合的な管理プロセス

^{出典：金融庁『オペレーショナル・レジリエンス確保に向けた 基本的な考え方』を基にPwCが作成}

この管理プロセスを見ると、「重要なサードパーティ」がオペレーショナル・レジリエンスとどのように関係しているのかが明らかです。オペレーショナル・レジリエンス管理プロセス①において『「重要業務」の特定』とあります。「重要な業務」については上記ディスカッションペーパーにおいて以下のように定義されています。

重要な業務とは、その中断が金融システムの安定や利用者の日常生活に著しい悪影響を生じさせるおそれのある金融サービスをいう

金融機関はオペレーショナル・レジリエンスにおいて、まず「重要な業務」を特定します。「重要なサードパーティ」とは、金融機関が特定した「重要な業務」であるビジネスサービスを支える、重要なリソースの一つを指していると考えることができます。

「重要な業務」を特定した後は、その業務が維持すべき水準（「耐性度」）を設定し、その耐性度を実現するためのリソースを確保することが求められます。サードパーティリスク管理においても、「重要なサードパーティ」を金融機関のビジネスサービスを支える重要なリソースであることを認識し、「耐性度」を実現するための対応を実施します。

サードパーティリスク管理における考え方をオペレーショナル・レジリエンスの考え方と整合させることは、その実効性の観点で有効だと言えます。先述の通り、現在のオペレーショナル・レジリエンスに関する金融庁から主要な金融機関への要請においては、重要業務における「耐性度」の実現に関わるリソース確保が求められます。サードパーティリスク管理からオペレーショナル・レジリエンスの考え方を取り入れることで、その後のオペレーショナル・レジリエンス対応の際にも、より実効性のある重要リソースの確保を検討することができます。

全体のまとめ―今後の対応における注意点と「協調」

ここまでシリーズ3回にわたり、サードパーティリスク管理をテーマに取り上げてきました。サードパーティリスク管理は従前の外部委託先管理と比べ、各サードパーティのリスクに応じて軽重の差をつけた対応がポイントとなりますが、それぞれの金融機関への負担は依然として大きいのが現状です。外資金融機関では、数百人単位のサードパーティリスク管理担当部門部隊が存在するケースもありますが、日本国内の金融機関において、それだけの人員を配置することは現実的ではありません。よって、本ガイドラインにおいても言及されているように、特に「重要なサードパーティ」に対してより実効性の高い管理を実施できるよう、外部のリソースやサービスを活用しながら管理を高度化することが現実的だと思われます。

サードパーティリスク管理を実施する上で留意すべき点は以下3つです（図表3）。

図表3：サードパーティリスク管理において留意すべきこと

1つ目に、各金融機関の業務におけるサードパーティのリスクは絶えず変化することを念頭に置かなければなりません。サードパーティのリスク評価は一度行えばよいというものではなく、業務内容の拡大や社会情勢の変化に左右されることを考慮し、定期的に実施することが重要です。

次に、先述のように外部サービスを用いたサードパーティリスク管理を行う場合、外部サービスによる評価結果のみに左右されることなく、最終的な判断はあくまでも金融機関自身が行うことが重要です。特に、「重要なサードパーティ」については、外部サービスによる評価結果と金融機関自身が行う実地調査結果を踏まえて総合的に判断するなど、相応のコストをかけて管理することが推奨されます。

もしも、サードパーティにおいてサイバーインシデントの発生が懸念される状況が発見された場合、発見された要対応事項について継続的に改善を促すコミュニケーションを取ることが重要です。サードパーティリスク管理の目的は、金融機関の業務を滞りなく行うことにあります。改善が見受けられない場合、そのサードパーティとの契約を解除することも視野に入れなければなりません。

最後に、サードパーティリスク管理を行う上で最も重要なことは「協調」だと考えます。2025年6月に金融庁が公表した『金融分野におけるITレジリエンスに関する分析レポート³』では、「金融機関にとってサイバーセキュリティは、競争分野ではなく協調分野である」と述べられており、ここからも金融庁の考え方がうかがえます。サイバーセキュリティは金融機関だけでなく、サードパーティ、金融サービスの利用者、当局など、ステークホルダー全体での強化が欠かせません。サードパーティリスク管理においても、金融機関が一方的にサードパーティを管理するものだと捉えるのではなく、業界を超えてステークホルダー全体でのサイバーセキュリティ強化を目指し、サードパーティとコミュニケーションを行うことが重要です。そしてサードパーティにも理解を求め、適切な管理に必要な協力を促すことで、リスクベースかつ実効性のあるサードパーティリスク管理を実現することが望ましいと言えます。

以上

¹ 金融庁，2024.『金融分野におけるサイバーセキュリティに関するガイドライン』（2025年6月25日閲覧）
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

² 金融庁，2023.『オペレーショナル・レジリエンス確保に向けた基本的な考え方』（2025年6月25日閲覧）
https://www.fsa.go.jp/news/r4/ginkou/20230427/02.pdf

³ 金融庁，2025.『金融分野におけるITレジリエンスに関する分析レポート』（2025年7月1日閲覧）
https://www.fsa.go.jp/news/r6/sonota/20250630-2/20250630.html