Lens Blog
2025/5/28
#ガイドライン

【バーゼル委員会文書解説】変化する委託先管理・サードパーティリスク管理(TPRM)の新たな原則

金融サービスのデジタル化が進み、企業が外部の専門知識や技術を活用する機会が増える中、サードパーティ(取引先、サービス提供事業者など)への依存度は高まっています。コスト削減や効率化といったメリットがある一方、委託先を通じたリスクも多様化・複雑化しており、委託先管理・サードパーティリスク管理(TPRM)の重要性が増しているのです。

このような背景から、バーゼル銀行監督委員会(BCBS)は、銀行セクターにおけるサードパーティリスク管理(TPRM)の健全化を目的とした市中協議文書「第三者リスクの健全な管理のための諸原則」(Principles for the sound management of third-party risk)を2024年7月に公表しました。日本では金融庁がこの文書を公開しています。

本記事では、この新しい原則の概要と、それが企業の委託先管理やサードパーティ管理に与える影響、そして企業が取るべき対応について解説します。

バーゼル委員会「第三者リスクの健全な管理のための諸原則」の概要

本原則の目的と位置づけ

本原則は、銀行が第三者サービス提供者(Third-Party Service Provider:TPSP)との取り決め(TPSP Arrangement)に伴うリスクを適切に管理し、業務中断に対する耐性・適応・回復能力(オペレーショナル・レジリエンス)を高めることを目的としています。従来の「アウトソーシング」の概念を超え、より広範なTPSPとの関係性に焦点を当てている点が特徴です。

本文書は、銀行セクターを主な対象としていますが、TPSPへの依存度が高い他の金融機関や一般事業会社にとっても、リスク管理体制を見直す上で有益な示唆を与えます。原則の適用にあたっては、銀行の規模、複雑性、リスクプロファイル、TPSPとの取り決めの性質や重要性に応じた「プロポーショナリティ(相応性)」が考慮されます。

主要な概念

本原則を理解する上で重要な概念は以下の通りです。

  • 第三者サービス提供者(TPSP): 銀行に対し、サービス、活動、機能、プロセス、タスクを直接提供する外部の事業体または個人を指します。
  • TPSP取り決め: TPSPが銀行にサービス等を提供する際の正式な取り決め(アウトソーシングを含む)。グループ内企業からのサービス提供も含まれます。
  • 重要サービス(Critical Service): 提供が中断された場合に、銀行の存続可能性、重要な業務、または法的・規制上の義務遵守能力に重大な支障を及ぼす可能性のあるサービスを指します。
  • サプライチェーンとNth Party: TPSPがサービス提供のために利用する、さらに先の事業者群(Nth Party、下請け等を含む)。サプライチェーンの管理もリスク評価の対象となります。
  • 集中リスク(Concentration Risk): 単一または少数のTPSPへの依存により生じるリスク。銀行レベルとシステムレベル(金融システム全体)のリスクがあります。
  • プロポーショナリティ(相応性): 銀行のビジネスモデルやリスクプロファイル等に応じて、リスク管理の適用度合いを調整することを指します。
  • グループ内TPSP取り決め: グループ内であってもリスクがないわけではなく、外部委託と同様のリスク管理が求められることを指します。

銀行に対する9つの原則

本文書では、銀行がTPRMを実践する上で従うべき9つの原則を示しています。これらはTPSPとの関係性のライフサイクル(リスク評価、デューデリジェンス、契約、オンボーディング・継続的モニタリング、終了)全体をカバーしています。

  • 【原則1、2】ガバナンスと戦略: 取締役会が最終責任を負い、明確な戦略とリスク許容度を承認する。経営陣は方針とプロセスを実行する。
  • 【原則3】リスク評価: TPSPとの取り決め前および期間中を通じて、包括的なリスク評価を実施する。
  • 【原則4】デューデリジェンス: 契約前に、候補となるTPSPに対して適切なデューデリジェンスを実施する。
  • 【原則5】契約: 法的拘束力のある書面契約で、全当事者の権利、義務、責任、期待を明確に規定する。
  • 【原則6】オンボーディング: 新規TPSPとの取り決めへの円滑な移行を支援し、問題を解決するための十分なリソースを確保する。
  • 【原則7】継続的モニタリング: TPSPのパフォーマンス、リスクや重要性の変化を継続的に評価・監視し、取締役会等に報告。問題には適切に対応する。
  • 【原則8】事業継続管理(BCM): TPSPのサービス中断時にも業務継続能力を確保するため、堅牢なBCMを維持する。
  • 【原則9】終了: 計画的な終了のための終了計画と、計画外の終了のための終了戦略を維持する。

※上記の他に、監督当局向けの原則が3つ示されています。

委託先管理・サードパーティ管理への影響と企業が取るべき対応

この新しい原則は、金融機関だけでなく、広く一般事業会社における委託先管理やTPRMのあり方にも影響を与えると考えられます。特に、重要インフラ、個人情報、機密情報などを扱う委託先を持つ企業にとっては、これらの原則を踏まえた管理態勢の強化が求められます。

企業が具体的に取るべき対応は以下の通りです。

強化されたガバナンスと戦略の確立

  • 経営層の関与: 取締役会や経営層がTPRMの重要性を認識し、最終的な責任を持つ体制を明確にする。
  • 全社的な方針策定: TPSP利用に関する全社的な戦略、方針、リスク許容度を文書化し、関係者に周知する。
  • 体制整備: TPRMに関する役割と責任を明確にし、必要に応じて専門部署や担当者を設置する。
  • 網羅的な台帳管理: すべてのTPSP契約に関する最新の台帳を整備し、重要度、依存度、リスク情報などを一元管理する。

包括的かつ継続的なリスク評価の実施

  • 初期リスク評価: 新規契約前に、委託する業務の重要性、潜在リスク(戦略、評判、コンプライアンス、オペレーショナル、情報セキュリティ、集中リスク等)を網羅的に評価する。
  • デューデリジェンスの徹底: 候補となるTPSPの能力(技術力、財務健全性、リスク管理体制、BCP等)を詳細に調査・評価する。Nth Partyのリスク管理能力も評価対象とする。
  • 継続的なリスク再評価: 契約期間中も、定期的にリスク評価を見直し、環境変化やインシデント発生に応じて評価を更新する。

明確かつ実効性のある契約管理

  • 契約内容の具体化: サービスレベル(SLA)、責任分担、監査権、データ管理、セキュリティ要件、BCP/DR要件、インシデント報告義務、終了時の取扱い等を具体的に契約に盛り込む。
  • 監査権の確保: 自社および規制当局が必要に応じてTPSP(および重要なNth Party)の監査を実施できる権利を契約に明記する。
  • Nth Partyに関する条項: 重要なNth Partyの利用・変更に関する事前通知や、同等の管理水準を求める条項を検討する。

継続的なモニタリングと事業継続管理

  • パフォーマンス監視: SLAや契約上の義務の遵守状況を継続的に監視し、評価する仕組みを構築する。
  • インシデント管理: TPSPに起因するインシデントの報告体制を確立し、迅速な対応と再発防止策の実施を管理する。
  • BCP/DRP連携: 自社のBCP/DRPと連携し、TPSP側のBCP/DRPの実効性を定期的に確認・テストする。

実効性のある終了計画と戦略

  • 終了計画の策定: 契約満了等による計画的な終了に備え、データ移行、アクセス権限削除、知識移転等の具体的な手順を定めた計画を策定・更新する。
  • 緊急時対応策: TPSPの倒産や重大な契約違反等、計画外の終了に備えた代替策や移行手順を含む戦略を準備する。

「第三者リスクの健全な管理のための諸原則」は、委託先管理・サードパーティリスク管理(TPRM)におけるスタンダードに

バーゼル委員会が示した「第三者リスクの健全な管理のための諸原則」は、今後の委託先管理・TPRMにおけるスタンダードとなる可能性があります。企業は、これらの原則を参考に自社のリスク管理態勢を見直し、サプライチェーン全体にわたるリスクへの対応力を強化していく必要があります。特に、デューデリジェンスの徹底、契約管理の強化、継続的なモニタリング、そして実効性のある事業継続・終了計画の策定が重要となります。

Lens RMでは、委託先管理・サードパーティリスク管理ソリューションを提供しています。本記事で解説した対応について、お気軽にご相談ください。

← 記事一覧に戻る

AIの力で委託先・サードパーティ管理に革新を。

AIの力で委託先・サードパーティ管理を高度化・効率化しませんか? Lens RMは、煩雑な業務を削減し、リスク評価を強化し、包括的なリスクの所在を確かめた上で本質的な対応策や残存リスクの管理に集中することができます。 まずは、お気軽にお問い合わせください。

お問い合わせ