日経ビジネスオンラインスペシャル

進む外部委託、高まるリスク リスク管理のフレームワークづくりが急務に

Managing Risks in the Age of Disruption創造的破壊の時代におけるリスク管理

インターネットに流通・蓄積される情報の飛躍的増大に伴い、個人情報がリスクにさらされ、経済的利益を得るためのサイバー攻撃が日々進化している。そうしたなか、企業が持続的に成長するためには、変化していくリスク環境へ適切に対処することが求められている。
ここでは「外部委託先のリスク管理」「サイバーセキュリティ」「個人情報のリスク管理」といったもっともホットな3つのトピックスを取り上げ、第一線のコンサルタントと理解を深めたい。

第三者への業務委託は、生産性の向上やコスト削減といったメリットが得られる半面、さまざまなリスクを抱え込むことになる。海外では第三者への業務委託(アウトソーシング)に関する法規制が強化されつつあり、特に米国では法律に違反した会社に数千万ドルという多額の罰金が科せられるケースも出てきた。日本企業はTPRM(サードパーティー・リスクマネジメント:外部委託先管理)にどう取り組めばよいのだろうか。

嶋守 今日の社会が深刻なサイバー攻撃に直面しているなか、自社内の対策だけでなく、委託先への対応が企業の大きな課題になっています。はじめに、ここで取り上げるサードパーティー(外部委託先としての第三者)とは何かについてお聞かせください。

ハラルド 一般に大企業は多くの子会社を持っていますが、グループ内部であっても業務を委託していれば、「第三者」として考えます。そのほか、プロフェッショナルサービス、つまり会計監査法人や法律事務所のほかに、個人の弁護士や社会保険労務士なども含める必要があります。

EY Japanが考える変革の時代における成長のキードライバー

嶋守 なぜ第三者に外部委託するのでしょう。

ハラルド 大きく3つの理由が考えられます。1つめは、コスト削減のためです。自分の会社でその業務を行うよりも、安いコストでサービスの提供を受けられる場合があるからです。2つめは、社内にない機能を補うためです。その業務に関する経験やノウハウ、テクノロジーがない場合は第三者に依頼する必要があります。そして3つめの理由としては、コア・ビジネスに集中するためです。コアではない業務は社内で行うのではなく、第三者に任せようという考え方です。

嶋守 業務が複雑化、多様化するにつれ、第三者に特定の業務を委託することが避けられなくなっているわけですね。それでは、第三者と関係を持つなかで、どのようなリスクがあるのでしょうか。

ハラルド 主に5つの重要なリスクが考えられます。
 1つめは、コンプライアンス対応、つまり法律上のリスクです。第三者がサービスを行ったときに、法律に十分対応していないことで、自分の会社にも影響が及ぶケースです。対応しないと当局から罰金やペナルティーが科せられるのですが、どれくらいの影響が出そうかを事前に評価するのが難しいリスクです。
 2つめは、集中リスク。少数の委託先に依存し過ぎるリスクで、何か問題が生じたときに被害が拡大します。3つめは、ファイナンシャルリスク(財務リスク)。第三者が倒産してサービスを提供できなくなったために、自分の会社に金銭面での損失が出てしまうリスクです。4つめは、情報セキュリティリスク。会社のデータやさまざまな情報を第三者に提供したところ、それが外部に漏れるとか、セキュリティが損なわれるというリスクがあります。5つめは、4つめのリスクにも関連しているのですが、評判リスクです。管理する情報やデータが外部に漏れた場合、その会社は大きく評判を落とすことになります。

第三者のリスク管理体制を自分の目で確かめる

嶋守 たくさんのリスクがあるのですね。TPRMの重要性が叫ばれ、法規制が強化されているのはこうした背景からでしょう。日本企業のTPRMへの取り組みをどう見ていますか。

EY Japanが考える変革の時代における成長のキードライバー

ハラルド 海外に比べると日本はまだまだ遅れているという感じがします。TPRMを行っていないわけではないのですが、インヘレントリスク(固有のリスク)が大きいものに集中している。つまり、大震災が起きたときのBCP(事業継続計画)などには取り組むのですが、日常的なリスク管理については十分な体制が取られているとは言えません。本当に大事なのは、内部統制の機能を考慮した後に残存するリスクの大きさであり、デシジョンリスク(意思決定リスク)です。たとえば、業務委託先の第三者における内部統制が有効かどうか、その結果残存リスクが許容範囲に収まっているかを確認するといった平常時のリスク管理が重要なのです。
 そのためには、自社のTPRMの方針をしっかりと定め、それを実現するためのフレームワークをつくる必要があります。先に述べた5つのリスクについて、委託先の第三者の評価を行い、リスクの特定、監視、および緩和を継続的に行うことが求められるのです。

嶋守 単純に情報漏えいのリスクがあるからといって、それをベンダーに問い合わせて、大丈夫ですかと聞くような確認の仕方ではなくて、ベンダーが情報漏えいを防止するためにどんな施策を行っているのか、その結果、どのリスクが残っているのかということまで含めて見ていかなければいけないということですかね。

ハラルド そうですね。日本の大きいベンダーは、第三者の監査法人がSOCR(受託業務に係る内部統制の保証報告書)で統制の確認をしているケースがあります。しかし、まだ多くのベンダーはSOCレポートがないので、統制が本当に有効かどうかがわかにくいのです。よくあるのは、コントロールセルフアセスメント(統制に関する自己評価)を出して、こういう統制はありますかと聞くケースです。ベンダーは、あるかないか、ないものに関してはどう対応すると回答するんですけれども、統制が本当に有効かどうかということは、まだまだ確認しきれていないところがあるんです。
 アメリカは、もっと定期的に統制の有効性を確認しています。我々も、いろいろな海外のクライアントからオンサイトの依頼を受けています。データセンターの訪問や、ベンダーからの回答が正しいか等を確認しています。

嶋守 情報漏えいなどのリスクに対して、委託先がどうやって管理しているかということを聞き取りベースで終わらせてしまって、実態がどうかという内部統制の検証までは、なかなかできていないというのが日本の実情ということですね。

ハラルド はい。全くできていないわけではないのですが、足りないと感じでいます。アメリカでは、特に重要なベンダーに対してはもっと頻繁に確認しています。

嶋守 確かにそうですね。言い換えると、日本企業は法令遵守意識が強いので、決められたことはしっかりやるけれども、一方でそれが形骸化していて、本当に健全な猜疑心を持って中身をチェックしているかというと、欧米に比べると足りないところがあるということでしょうか。

ハラルド 欧米のベンダーはリスク管理の統制が細かく要求されていますからね。それに比べて日本は、第三者の統制に関するガイドラインはあるのですが欧米ほど細かい規定はありません。

EUで2018年5月にスタートしたGDPRには注意が必要

EY Japanが考える変革の時代における成長のキードライバー

嶋守 海外におけるTPRMに関する法規制についてはどんな動きがありますか。

ハラルド 米国では2012年以降、さまざまな機関からTPRMに関する新たな規制要件が出されています。消費者金融保護局(CFPB)、通貨監督官庁(OCC)。連邦準備制度理事会(FRB)、連邦預金保険会社(FDIC)、証券取引委員会(SEC)、ニューヨーク州金融サービス局(NY DFS)などです。同様にシンガポールでは、金融庁(MAS)が最近、アウトソーシングに関する新しいガイドラインを出しました。これらは、米国やシンガポールなどで事業を展開している日本のグローバル企業にとって重要な問題であり、規制要件を満たすためのコストは増加しています。
 2018年5月からスタートした欧州連合(EU)の一般データ保護規則(GDPR)にも注目する必要があります。GDPRでは、基本的人権の保護という観点に立ってプライバシーに関する規制と違反時の制裁を厳しく取り決めており、委託先の管理、つまりTPRMについても規定しています。
 こうした数々の法律に違反したときのファイナンシャルリスクは少なくありません。米国のCFPBは、第三者への管理監督が不十分だった5社に対して、多額の罰金を科して停止命令を発したという事例があります。あるクレジットカード会社に対しては2750万ドル、別の大手銀行には3000万ドルの罰金をそれぞれ課しています。

嶋守 米国企業は強化されつつあるTPRM規制に対してどう取り組んでいるのでしょう。最近のトレンドを紹介していただけますか。

ハラルド EYでは、過去6年間毎年、米国の金融サービス会社を対象に、TPRMに関する調査を実施しています。 2017年の秋には、54のグローバルな金融機関を調査しました。そのなかから主なトピックをご紹介しましょう。

貴社のサード・パーティー・リスク管理の主な所管部署はどこですか

サード・パーティー・リスク管理プログラムはどのような体制で管理されていますか

EY Japanが考える変革の時代における成長のキードライバー

 1つめは TPRMの運用プロセスにおいて、管理の集中化が進むとともに、より明確に役割と責任が定義されつつあるということです。米国では、TPRMの責任部署がリスク管理部門やコンプライアンス部門ではなく、プロキュアメント(購買部門)であることが多いのです。調達する部署自らがリスク管理も実施するということで、非常に効果的な仕組みといえます。

米国の大手5行がコンソーシアム設立、管理コストを抑制

嶋守 とても示唆的なトピックですね。私たちEYがリスク管理のお手伝いをさせていただくときには、第1線、第2線、第3線という分け方をします。第1線は現業部門、第2線はリスク管理部門、第3線は内部監査部門で、おのおのがリスク管理の機能を独立して持っているわけですが、まずは第1線の現業部門のところでリスクをきっちり管理していく必要があります。そうした考えに基づいてEYでは支援を行っており、米国企業のTPRMの仕組みは理にかなっていると思いますね。

ハラルド 2つめのトピックは、TPRMそのものをアウトソースするためのコンソーシアムがつくられる動きがあることです。非常に興味深い取り組みではないかと思っています。大企業といえども一般的にはTPRMのテクノロジーを持っていないし、十分なスタッフも持てない。だからアウトソースするわけです。TPRMというマネージドサービスをアウトソースする傾向がみられます。もちろんTPRMの最終的な責任は委託した会社が負うわけですけれども。

嶋守 大きな企業になると、対象になるベンダーも何万社ということになりますからね。

ハラルド ええ。一方で、委託される側のベンダーについても、効率化が図れるのです。例えば大手5社が同じベンダーを使った場合、5社が5回、別々に同じベンダーに統制を確認するより、1回で確認してその結果を5社で共有できるほうが効率的で、コストも削減できます。
 実際のケースをご紹介しましょう。American Express、Bank of America、Bank of New York Mellon、JPMorgan Chase、Wells Fargoの5つの大手銀行は、最近、TPRMをアウトソースするために、TruSightというコンソーシアムを共同で成立しました。TruSightは5つの銀行が関わっているサービスプロバイダーに対してTPRMを行い、その結果を各銀行に報告しています。
 そして、このTruSightに対して、TPRMサービスを行うための人材やノウハウ、知識、テクノロジーを提供しているのが、私たちEYです。言ってみれば、EYが大手銀行5社の共同体に対してサードパーティーのリスクをマネジメントする(TPRM)機能を提供している形になっています。長い間、TPRMの支援に取り組んできたEYの実績が評価されたのだと思います。

嶋守 大きな会社になるほど、委託先の管理責任が複雑化するのも課題ですね。つまり、委託先がさらに別のところに委託して、さらにその委託先が別のところに委託してという、いわゆる孫請といった構造が見られます。そうした場合においても委託した会社は、委託先がさらに委託したところの行為についても責任を持たなければいけないということですよね。

ハラルド そうですね。委託先が3次請け、4次請けになっていても、自分の会社のデータを持っている第三者については、きちんとコントロールしなければならない。先ほどお話したがGDPR、ヨーロッパの個人情報の規制でもそうした委託先の管理を求めています。
 そうした複雑な管理を効率化するため、最近、アメリカではTPRMのためにテクノロジーを積極的に活用しています。ベンダーはクラウドにいろいろなデータを載せていますから、委託する会社は自分たちのデータが本当に大丈夫なのかという確認が難しくなってきています。ですから、TPRMのテクノロジーとベンダーが扱っているテクノロジーとをもっとリンクさせる必要があるのです。
 これが、委託するベンダーの数を減らそうという傾向につながっています。これは、我々の行っているTPRMに関する調査を見ても明らかです。規制への対応が難しくなるなか、ベンダーを絞り込んでいこうというトレンドがあります。

嶋守 優良なベンダーに絞っていくわけでしょうか。

ハラルド そうです。規制が増えて、管理するのが困難になっていきているため、ベンダーの数を絞っている。この傾向は、一昨年、昨年の調査を見ると明らかで、契約するベンダーの数は着実に減っています。

費用対効果の高いTPRMプログラムを提供するEY

嶋守 日本のTPRM規制が、米国やシンガポールなどのレベルまで強化されるのは時間の問題ですね。

ハラルド はい。すでに日本企業の中でもグローバルに活動しているところは、海外現地法人が各国の厳しいTPRM要件を満たすために対応を強化しています。これが日本国内のTPRMガバナンスと統制を強化するように働くでしょう。

嶋守 TPRMの必要性は金融業界以外でも高まっているようです。今後、日本企業はTPRMにどう取り組むべきでしょうか。

ハラルド 特に自動車や医療などの会社は、非常に多くの委託先があるので、TPRMは非常に大事です。最近は、調達したものの中身、部品や材料にまでトレーサビリティが要求され、最終製品の製造者としてそれらに対する責任から免れ得ないところがあります。
 ですからどんな業界であっても、取引先、委託先がコンプライアンス違反をしていないか、契約どおりのスペックで納品しているか、情報漏えいを起こしていないかを、十分にチェックしていくことが重要です。
 それには委託先に対するリスク評価を行い、現状を把握することが必要です。評価の結果を理解し、委託先の管理が本当に十分かを考え、十分でなければギャップを埋めなくてはいけない。もし社内にそれだけのリソースがない場合は、TPRMのノウハウや知識を持つ第三者に依頼するというアプローチが考えられます。
 EYは、費用対効果の高いTPRMプログラムを実施するための人材、プロセス、テクノロジーを提供していますので、ぜひご相談していただければと思います。

  • ハラルド デロップ

    EYアドバイザリー・アンド・コンサルティング株式会社
    サードパーティ・リスクマネジメント リーダー
    エグゼクティブディレクター

    ボストン大学でMBAを取得、日本に24年間在住。米国系の保険会社の日本支店で会計及びシステムのプロジェクトマネジメントを経験した後、EYに移り、金融機関に対して、ITに関連する監査とアドバイザリーの業務に15年以上従事。 EYジャパンのTPRM(サードパーティ・リスクマネジメント)のリーダーであり、EYグローバルネットワークを駆使し、外部委託先管理に関わるサービスを広範囲に提供している。

  • 嶋守 浩之(Hiroyuki Shimamori)

    EYアドバイザリー・アンド・コンサルティング株式会社
    リスク・トランスフォーメーション リーダー
    パートナー

    大手電機メーカーで国際的な人事業務を経験後、会計士に転身、監査法人で会計監査業務に従事。その後1990年代より20年以上にわたり、リスクマネジメントと内部統制を専門とする。官公庁及び日本を代表する多くの企業で、様々な規制リスク及びITリスク、特にシステム導入プロジェクトのリスク管理に携わっている。

Future Work Now

Managing Global Competitive Position

Maximizing Supply Chain Value

Managing Risks in the Age of Disruption

PAGE TOP