金融庁が2026年4月3日に公表した、米国・EU・英国の大手金融機関を対象とするサードパーティ・サイバーセキュリティリスク管理(TPCRM)の先進事例調査報告書(デロイトトーマツサイバーによる委託調査)。委託先管理にとどまりがちな本邦金融機関に対し、クラウド・SaaS・API連携先・再委託先まで含むサプライチェーン全体をリスクベースで管理する海外の到達点を示し、その示唆を整理している。
概要
金融機関のサードパーティとの関係は多様化・複層化し、委託先へのサイバー攻撃によって顧客情報が漏えいする事案が相次いでいる。本報告書は、対応が進むとされる米国・EU・英国の大手金融機関(数万〜数十万人規模・グローバル展開)を2025年6月から2026年2月にかけて調査し、各国当局の規制動向と先進実務を突き合わせて本邦への示唆を導いた。最大の発見は、海外ではサードパーティのサイバーリスクを独立した取り組みとしてではなく、TPRM(サードパーティリスク管理)という統合フレームワークの中の「一リスクドメイン」として位置づけ、その専門部署としてサイバーセキュリティ部門を組み込んでいる点である。各国の規制は原則(プリンシプル)ベースで具体的手順までは定めず、最終的なリスク管理責任は金融機関自身が自社のリスクアペタイトに照らして負う、という考え方が徹底されている。本邦は従来の委託先管理から、より広いTPCRMへ移行する途上にあり、その「拡張の方法」に多くの金融機関が悩んでいるのが実情である。
「サードパーティ」をどう捉えるか — 範囲と定義
本報告書の出発点は、サードパーティの捉え方を従来の委託先管理から大きく広げることにある。金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」(2024年10月)は、サードパーティを「自社がサービスを提供するために、業務上の関係や契約等を有する他の組織」と定義し、その例としてシステム子会社・ベンダー等の外部委託先、クラウド等のサービス提供事業者、資金移動業者等の業務提携先、API連携先を挙げている。重要なのは、対象が「アウトソーシング契約を結んだ相手」に限られない点である。米国の文献では契約や報酬の有無を問わずあらゆるビジネス上の取り決めが対象となり、英国でもICT製品の購入や既製の機械学習モデルの調達までを含めてリスク評価を求めている。
さらに関係は「複層化」している。ソフトウェアベンダーがクラウド基盤を利用してSaaSとして提供したり、オープンソースを組み込んだパッケージを提供したりするため、自社の直接の委託先の背後に、その委託先がさらに利用する事業者(Nthパーティ=4th・5th…パーティ、いわゆる再委託先以降)が連なる。海外金融機関は規制に従いNthパーティも管理対象とするが、直接の契約関係がないため、運用上の実効性を踏まえて可視化は4thパーティまでとする例が多い。逆に、花屋やオフィス備品供給業者など固有リスクが低く別管理される先はホワイトリストとして対象外とする運用も存在する。すべてを同じ深度で管理するのではなく、対象を網羅的に把握したうえでリスクベースに軽重を付けるのが基本思想である。
なぜ重要か — リスクの所在
サードパーティ・リスクには性質の異なる二つの軸がある。第一は機密性のリスクで、自社の重要情報の処理を委託した先がサイバー攻撃を受け、顧客情報が漏えいする経路である。第二は可用性・事業継続(オペレーショナルレジリエンス)のリスクで、機密データを預けたサービスが停止すると、漏えいの有無とは別に、そのデータや機能にアクセスできなくなり自社の業務提供そのものが止まる経路である。海外金融機関は「重要かどうか」を主に後者の観点で判定しており、機密データを扱うサービスでも、情報漏えいではなく「業務停止が継続的なサービス提供にどれだけ重大な影響を与えるか」で重要度を測っていた点は示唆に富む。攻撃の侵入口がサプライチェーン全体に広がるこの問題は、G7・BCBSの原則や欧州のDORA等でも扱われる国際共通の課題である。
管理態勢の要素 — ライフサイクルで管理する
海外の各法令・ガイドラインは、サードパーティとの関係のライフサイクル全体(選定時のリスク評価 → 契約 → 契約後の継続的な期中モニタリング → 利用の終了)を通じてリスクを管理するよう求めている。その各段階を支える要素を以下に整理する。
体制と役割分担
共通して、1線(契約所管部署)がTPRMプログラムの実行と最終責任を持ち、サイバーセキュリティ部門がリスクドメインの専門家としてサイバー評価を担当し、2線(リスク管理部署・購買部門)がプログラム全体を監督する。注目すべきは、いずれの機関でもサイバーセキュリティ部門がTPRM全体を統括するのではなく、一部門として組み込まれていた点である。サードパーティ管理は調達・契約・リスク管理の総合課題であり、サイバー部門単独の問題ではない。
インベントリ(台帳)の整備
サードパーティとの関係・契約・リスク情報を一元的に台帳管理することが、すべての起点になる。対象数が膨大で関係者も多岐にわたるためExcel管理には限界があり、多くがTPRMツール(GRCツールの一機能を含む)を用いて、調査票の送付・回収・集計やワークフローを効率化していた。台帳が整って初めて、集中度の可視化も重要度評価も可能になる。
重要度・固有リスク評価
初期段階で、取引がもつ固有リスク(機密情報を渡すか、自社システムと接続するか等)と、その事業者が重要な機能を支えるかという重要性を評価する。この結果がリスクベース管理の起点となり、統制評価の深度やモニタリング頻度を決める。判定軸は、EU・英国がオペレーショナルレジリエンス(RTO、顧客・財務・認可への影響)を重視するのに対し、米国は固有リスクレベルを軸に総合判断する傾向があった。注目すべきは、1万社超を抱える機関でも「重要」と判定するのは全体の1%〜10%、数十〜数百社に抑えていた点で、重点管理を実効的にするための意図的な絞り込みである。
導入前デューデリジェンス・契約・監査権・SLA
各社は標準契約のひな形に、関連法令に加え監査権・情報取得権・関連施設やシステム/ネットワークへのアクセス権と、最低限遵守すべきセキュリティコントロール(データ暗号化、情報漏えい防止、ネットワークセキュリティ、アクセス制御、脆弱性管理、IT資産管理、物理セキュリティ等)を盛り込んでいた。SLAやインシデント通知義務、Nthパーティ利用の事前承認も条項化する。交渉に備えて法務部門にサイバー担当者を配置し、監査権を拒む先は残余リスク高として取引不可と判断する運用も見られた。リスクの高い先には現地調査を実施する一方、画面共有での代替に切り替えた機関もあった。SOC2等の第三者報告は参考にとどめ、それのみに依拠した評価はしていない。
継続モニタリングとNthパーティ管理
年次の再評価だけではサイバー脅威の変化に追従できないため、サイバー脅威インテリジェンス(リスクスコアリングツール、OSINT、ASM=攻撃対象領域管理、ダークウェブ監視、ネガティブニュース監視)を併用していた。これらは過検知(False Positive)を含むため、結果を取捨選択できる専門人材が前提となる。Nthパーティについては、デューデリジェンス段階で再委託先をリスト化させて台帳に登録し、自社が課すのと同等のコントロール水準を契約で再委託先にも波及させていた。直接契約のないNthパーティのリスクは、第一義的にはサードパーティ自身の委託先管理能力を評価することで担保する考え方である。
インシデント発生時の連携・報告
多くの機関が、サードパーティでのインシデントを想定した詳細手順書(プレイブック)を整備していた。報告のSLAやRTO/RPO、報告フロー、当局へのエスカレーション、ネットワーク遮断と再接続の条件・承認プロセスを定める。体制面では、サイバー対応の専門チームが技術対応を、契約所管の1線部門がビジネス窓口を担い協働するのが特徴で、自社かサードパーティかを区別せず対応する。重要な先やクラウド事業者とは少なくとも年次で共同訓練(机上演習)を行い、再発防止策が不十分な場合は契約を終了した事例もあった。
集中リスクと出口戦略
集中リスクは、金融セクター全体に波及するシステミックな集中(当局が管理)と、個々の金融機関レベルの集中(各社が管理)に区分される。後者についてEU・英国・BCBS等は、オペレーショナルレジリエンスの観点から次の3類型を識別・評価・管理するよう求めており、海外各社はTPRMツールで集中度を台帳化・ダッシュボード化し、閾値超過時にアラートを上げる仕組みを実装していた。
| 集中の種類 | 内容 | 測定方法の例 |
|---|---|---|
| サービス集中 | 単一のサードパーティへの依存。その1社が停止すると多くの業務が影響を受ける。 | 特定カテゴリへの総支出金額/総取引件数に占める特定先の割合 |
| 地理的集中 | 単一の国・地域への依存。自然災害・政情不安・制裁・規制変更等で多くの業務が影響を受ける。 | 高リスク国に所在し契約のあるサードパーティ数 |
| 重要なNthパーティの集中 | 直接取引先は分散していても、それらが単一の再委託先(4thパーティ等)に依存している場合の集中。 | 特定カテゴリへの総支出金額/件数に占める特定の再委託先の割合 |
集中が確認された先は、選定プロセスの中で代替可能性を判別し、代替先がいればリストアップ、いなければ内製化等の方向性を明確にして出口計画につなげる。なお海外には「集中は必ずしも悪ではない」という見方もあり、レジリエンス向上・効率化・関係強化といった便益と天秤にかける例もあった。また、データの集中を情報漏えいの観点ではなく、預けたサービスの停止で業務が止まるというレジリエンスの観点で捉える傾向が一貫して見られた。
出口戦略・出口計画は重要なサードパーティを優先して策定される。名称や使い分けに統一基準はないが、傾向としては「戦略」がサービス終了・中断時の基本方針(発動条件、終了か継続かの判断、内製化か代替先への切替か、代替先リスト)を、「計画」が移行手順の詳細(スケジュール、役割と責任、移行コスト、データの返却・廃棄手順)をまとめる。重要かつ代替困難な先では100ページを超える計画を策定する例もあった。従来の自然災害を主眼としたBCPだけではサイバー起因の業務停止に対応しきれないという問題意識が背景にあり、定期的な机上テストで実効性を維持していた。
現状の課題と海外が示す期待水準
本邦金融機関は、銀行法・監督指針・個人情報保護法に基づく委託先管理は実施してきたものの、委託先以外まで含む広範なTPCRMへの移行は途上にある。具体的な課題として、管理対象とすべきサードパーティ・Nthパーティの範囲や分類方法が未確立であること、「重要なサードパーティ」の定義・判定基準が部署や担当者で揺れること、年1回の一斉再点検に業務が集中し現場と2線の負荷が高まること、契約に最低限のサイバーセキュリティ要件を明確に規定できていないこと、などが挙げられている。一方で、本邦には再委託先を末端までリスト化させたり階層数を制限したりするなど、海外より厳格な面もあり、課題は一様ではない。
海外の実務が示す期待水準は次のように整理できる。第一に、原則として全サードパーティを対象としつつリスクベースで軽重を付けること。第二に、一元化した台帳の整備と最新化を起点とし、全体像を把握したうえで集中度の測定や重要度評価に進むこと。第三に、重要な先を少数に絞って重点管理(深掘り評価、高頻度の再評価、出口戦略・計画、集中リスク監視、脅威インテリジェンス)すること。第四に、監査権と最低限のコントロール要件を標準契約に組み込み、Nthパーティにも契約で波及させること。第五に、年次点検への偏りを脅威インテリジェンスで平準化し、インシデント計画と共同訓練で有事に備えること。AI活用は研究・準備段階だが市販ツールへの実装が進みつつある。なお報告書は、すべてを一度に対象化するのは非現実的であり、リスクの高い先から優先順位を付けて段階的に拡大することを現実解として強調している。
- まず「一元台帳」を作る。 クラウド・SaaS・API連携先・再委託先まで含めた全サードパーティの台帳整備と最新化が、すべての高度化の前提になる。全体像が見えて初めて集中リスクの測定も重要度評価も可能になるため、ツール化より先に網羅的に把握できる状態を作ることを第一歩とし、既存の購買システムの取引先マスタ分類を活用すれば社内の理解も得やすい。
- 「重要」を自行で定義し、少数に絞る。 何をもって重要とするかが部署で揺れている限り重点管理は機能せず、海外は1万社超でも重要先を1%〜10%・数十〜数百社に抑えていた。事業継続(停止時の早期復旧の必要度、顧客・財務・認可への影響)を主軸に判定基準を明文化し、対象を意図的に絞って人とコストを集中させることが実効性の鍵となる。
- 契約条項とNthパーティ波及を標準化する。 個別評価で見つかった対応を都度契約に反映する運用では水準が担保されないため、標準契約に監査権・アクセス権・最低限のコントロール要件(暗号化、脆弱性管理、アクセス制御等)を組み込み、同水準を再委託先にも契約で波及させる。直接管理が難しい再委託先は、委託先自身の管理能力を評価することで担保するのが現実的である。
- 年1回一斉点検の負荷を平準化する。 定期点検に加え、リスクスコアリングやOSINT、ダークウェブ監視といった脅威インテリジェンスで継続的に兆候を検知すれば、特定時期への業務集中を緩和できる。ただし過検知を扱える人材が前提となるため、中小規模では対象を重要先に絞り、業界での質問票標準化や共同の枠組み活用も検討する価値がある。
- 出口戦略とインシデント計画を「動くもの」にする。 重要なサードパーティから出口戦略・出口計画とサイバーインシデント対応手順を整備し、自然災害前提のBCPでは届かないサイバー起因の業務停止に備える。サイバー部門だけでなく契約所管の1線部門に有事の役割を持たせ、重要先との共同訓練と定期的な机上テストで、文書を実際に機能する状態に保つ。