セキュアな取引関係を実現するために。客観性と効率性を両立する継続的な委託先評価の高度化

社名	株式会社伊予銀行
業種	金融・保険
従業員数	1千〜5千人
課題委託先評価の基準が曖昧で、主観的な評価になっていた委託元、委託先ともに負荷のかかる評価フローとなっていた委託先評価高度化に対応できる専門人材が限定的だった

活用中のサービス・機能

企業評価機能

導入目的

サードパーティリスク管理の高度化
客観性の低い委託先評価からの脱却
高まるセキュリティリスクに対しての客観性の担保

課題

委託先評価の基準が曖昧で、主観的な評価になっていた
委託元、委託先ともに負荷のかかる評価フローとなっていた
委託先評価高度化に対応できる専門人材が限定的だった

導入の効果

主観的な評価を排除した評価体制の構築
評価項目の改定や調査・評価業務まで、委託先評価を一任できることで業務効率化を実現
専門性の高い外部評価情報を活用することで客観性の担保を実現
統一された評価項目を活用することで業界や社会全体で委託先を同じ平仄で評価することが可能に

従来は委託先評価に恣意的な要素が含まれ、さらに委託元、委託先ともに負荷のかかるフローとなっていた

このたび、当社が新しくリリースした委託先等を対象とする企業評価サービスをご採択いただきましたが、あらためて委託先管理に対してどのような課題感をお持ちでしたか。

梶岡様：
従来はチェックシートを使い評価をしていましたが、委託先評価に恣意的な要素が含まれてしまい、客観的に評価できないことが課題としてありました。
たとえば、以前は顧客情報の受け渡しの有無、そして委託業務の代替手段の有無といった二軸で委託先を分類し、実地調査の対象を選定していました。しかし、代替手段の有無の判断において担当者がフリーテキストで上申する形にしていたため、主観が交じり適切に分類ができていないという問題が生じておりました。その状態を解消するためにフリーテキストは廃止してプルダウン形式に変更することで担当者の主観ではなくデジタルに判断できるようにしました。

また、分類だけではなく評価においても恣意的な要素が含まれておりました。これまで何かしらのインシデントや外部環境の変化に直面するたびに評価項目を増やしてきたため、最終的には140項目程度まで増え、委託先に大きな負荷をかけてしまっていました。

また、評価を行うために委託元部署の担当者から委託先にチェックシートを送付して回答をもらっていたのですが、委託元部署の担当者も通常業務がありますから、確認書の送付・回収に時間を要してしまいます。このように委託元、委託先の双方に負荷のかかる評価フローになっていたことも課題のひとつでした。

伊予銀行コンプライアンス統括部次長梶岡正樹様

そうした課題感に対して、Assuredの企業評価サービスを導入するに至った背景を教えてください。

梶岡様：
委託先でのインシデントをきっかけに委託先管理を含め、サードパーティリスク管理の高度化を進めていこうと考えていました。高度化を目指す中で外部の専門家や教授らが顧問として入られているアドバイザリーボードにて、「委託先管理の客観性を担保するために外部の評価情報を参照すべき」という意見が上がりました。
これだけサイバーリスクが高まっている昨今においては、自社だけで実施すると主観的な評価になってしまう恐れがあるため、外部のセキュリティの専門家に委託先評価を任せたほうがいいのでは、ということでした。

外部のセキュリティリスクの専門家が委託先評価を行うことで、評価の客観性及び専門性を担保することができるため、課題としてあった恣意性のある評価やセキュリティリスクの見落としも解決できることを期待しました。

委託先評価の高度化に伴うリソースや知見を補い、信頼できる第三者機関の客観的な評価や助言が魅力的だった

いくつか他にも選択肢がある中、最終的にAssuredの企業評価サービスを導入いただくことに決めた理由を教えてください。

梶岡様：
すでにクラウドのセキュリティ評価サービスを導入していたため、Assuredに信頼があったことが決め手でした。今回は客観性を求めた訳ですが、参照する評価情報が正確なものでなくては意味がありません。その点、アシュアード社にはCISSPやCISAなどを保有するセキュリティの専門家がおり、評価項目の策定やリスク評価を対応してくれます。Assuredを利用している中でその専門性や情報の正確性は理解しており、自前で実施するより高い精度で評価を行う体制が築けると考えていました。

また、Assuredの企業評価サービスは委託先への評価項目の送付から回収、その後のリスク評価までも一任できることも魅力的でした。
以前までは委託元の所管部署の担当者に大きな負荷がかかるフローとなっていましたが、Assured導入によって担当者の工数が削減され、主業務にリソースを割くことができる環境整備もできました。

特に当行の場合は委託先、再委託先が非常に多いため、それらの委託先の評価管理を行うことは非常に多くの工数が発生します。そのため、行員の工数を考えると、サービス利用料を支払ってでも十分に利点を感じられるソリューションだと感じ、Assuredの企業評価サービスを導入するに至りました。

伊予銀行コンプライアンス統括部課長代理石川尚弥様

企業によっては、セキュリティに対する理解が経営層から得られず、当社のようなソリューション導入の承認に苦労されるケースもありますが、貴行ではいかがでしたか？

石川様：
当行では元々積極的に業務にデジタルを取り入れてきているため、内部からもデジタル領域への理解があり、さらに今回はアドバイザリーボードで外部による委託先評価を取り入れるべきだという声が出たことも大きく、導入までは比較的スムーズでした。

また、委託先でのインシデントが多発するようになった状況で、今までのやり方を続けていること自体がリスクで、いかに委託先評価を高度化するかが非常に大きなテーマであったこともスムーズに進んだ要因です。例えば大切な顧客情報を預託している先でインシデントが発生すると、お客様にご迷惑をおかけしてしまいます。それによるレピュテーションリスクも非常に大きいため、そういったリスクを減らすことの重要性を強く感じていました。

そうした中、自前で実施する選択肢もありましたが、セキュリティにおける十分な知見を持つ行員が限定的であるため、自分たちで評価ロジックを考えようにも限界があります。

そして委託元部署が恣意的に委託先からの回答を変更するリスクもあることを考えると、第三者機関による正確な情報収集と、それに基づく客観的な評価が得られ、さらに専門的な知見からの助言をいただけるなど、当行の委託先評価にある意味で伴走いただけるAssuredに期待しておりました。

委託先の一元管理が可能になり、業務効率化にも繋がっている。専門家視点での情報アップデートに期待

今後Assuredの企業評価サービスをご利用いただく上で、効果として期待していることは何かありますか？

梶岡様：
以前までは委託先の管理をExcelで行っており、数百もの委託先を目視で管理していたため、非常に煩雑で負荷のかかる業務フローとなっていました。
しかしAssuredの企業評価サービスの台帳機能を用いることで、委託先がどこに再委託しているのかなど、委託関係にある会社の可視化が可能になれば、委託先を一元管理できることは業務効率化と管理の高度化の観点からも大きな効果が生まれると感じています。

加えて、リソースやセキュリティ知見の観点から、評価項目の見直しをすることも注力することができておらず、インシデントが発生したり外部環境の変化に応じて項目を足し続けた結果として、評価項目が140程度まで膨れ上がってしまいました。中には重複もあり委託先にて回答時に混乱を招いたり、多数の項目への回答負荷をかけていました。また、評価項目の考慮漏れがないかという不安も感じておりました。
一方でAssuredでは専門家がリスクベースで評価項目を厳選いただいています。これによりリスクの見抜き漏れは防げます。また、設問も非常に明瞭なため委託先も回答がしやすく負担軽減に寄与できると思います。