変化する脅威とガイドライン対応を見据えて。
リスクベースアプローチで実現する持続可能なサードパーティ管理体制

社名	巣鴨信用金庫
業種	金融・保険
従業員数	500〜1千人
課題委託先評価の項目に具体性、網羅性が不足していた金庫内リソースのみでは、専門的かつ客観的な視点での評価項目の改善に限界があった現場担当者とのコミュニケーションに負荷がかかっていた

活用中のサービス・機能

Assured企業評価

導入目的

クラウドサービスを含む外部パートナーのリスク管理強化に伴う、個人情報取扱事業者に対するセキュリティ評価の高度化
リスク対応へのリソース集中に向けた、リスクの特定・分類業務の工数削減
第三者機関による客観的な評価を活用した、委託先評価の体制強化および金庫内コミュニケーションの円滑化

課題

委託先評価の項目に具体性、網羅性が不足していた
金庫内リソースのみでは、専門的かつ客観的な視点での評価項目の改善に限界があった
現場担当者とのコミュニケーションに負荷がかかっていた

導入の効果・期待

最新のセキュリティ動向を考慮した最適な委託先評価の実現
クラウドサービスから委託先まで、外部パートナーのセキュリティ評価を一任できることで業務効率化を実現
第三者機関による客観的な評価により、説得力のある金庫内コミュニケーションを実現
評価項目の改定等、最新状況に合わせたアップデートにも期待

客観的な評価レポートが生み出すリスク対応の高度化

このたび、弊社が提供する取引先企業のセキュリティ評価「Assured企業評価」をご採択いただきましたが、導入以前は委託先管理に対してどのような課題感をお持ちでしたか。

当金庫リスク管理部では、リスク統括部署としてサードパーティのリスク評価を行っています。以前は、個人情報の委託を行うサービス事業者様宛てに、当金庫が定めたチェックシート（Excelファイル）を用いて評価を行ってきました。しかし、形式的なチェックに留まっており、本来的な企業評価ができていなかったことが大きな課題としてありました。

たとえば、以前のチェックシートでは、個人情報に関する安全管理措置の設問を設けていましたが、「データ漏えいの防止策をとっているか」との問いかけに対し、「はい」「いいえ」の二択での回答方式であり、仮に「はい」の回答であっても具体的な防止策については把握できていませんでした。
そのため、必要に応じてリスク管理部からサービス導入部署に対し、委託先へ追加情報を提示してもらうよう依頼を出すケースがありましたが、導入部署の担当者としてもサービス事業者様に何をどう伺えばよいのかわからず、部署間にコミュニケーションコストが発生していました。

そうした課題感に対して、Assured企業評価を導入するに至った背景や決め手を教えてください。

ＤＸ化の推進により、業務・事務を外部に委託するケースは年を追うごとに増えています。これに対して、サイバーセキュリティガイドラインが求めるサードパーティリスク管理を実現する上で、これまでの手法は全く追いついていませんでした。リスク管理部として、これを改善したいという強い思いがあり、このことがAssured企業評価導入のきっかけでした。
いくつかの企業評価サービスを検討する中で、Assured様の「調査レポート」が最も活用しやすく、当金庫が求めるリスクベースの対応に寄与すると考えたというのが、導入の一番の決め手です。

Assured様はセキュリティ評価において業界に先駆けてサービスを展開されており、当金庫は企業評価導入に先立って、クラウド評価も導入しております。
Assured様は豊富かつ専門的な知見をお持ちですし、チェック項目に的確性、十分性があって客観性が担保されることから、リスク評価に大いに寄与すると判断しました。併せて、評価情報を共有管理するプラットフォームであるからこそ、公平性が担保されていると感じています。

また、提供いただく「調査レポート」は読み取りやすく、部署間で情報共有を行う際にも、よりスムーズな情報伝達が可能となっています。
そのうえ、当金庫が独自に調査を行うよりも、調査に係る工程をAssured様にお任せできるため、工数削減の観点からも大きなメリットを感じています。

第三者機関による客観的な評価で、現場からの納得感も得られやすい

今後Assured企業評価をご利用いただく上で、どのような運用を想定されていますか。

当金庫では、一定の契約関係にある全ての提携先（ビジネスパートナー）をリストアップしています。そして、個人情報の外部委託の有無、クラウドサービス提供事業者か否か、を踏まえてセグメントしました。Assured企業評価は個人情報の外部委託先に利用していく予定です。新たな取引先と提携する際、個人情報を取り扱う事業者であればAssured企業評価を活用するというワークフローを想定しています。なお、クラウドサービス提供事業者についてはAssuredクラウド評価により継続して評価を行う予定です。

Assured企業評価における信用評価レポートは、実務でどのような観点で役立ちそうでしょうか。

評価レポートによってリスク対応の強化に期待しています。Assured企業評価によって網羅的にリスク特定ができるようになることはもちろん、評価レポートによって対応すべきリスクが明確化されるため、リスク "特定"だけではなく、リスク "対応"に工数を割けられるようになります。

また、サービス導入部署に対しては、評価レポートをもとにどのような対話をサービス事業者様と行うとよいか、伝達しやすくなります。第三者機関による客観的な評価があるからこそ、導入部署の担当者もリスクの重要性を理解しやすく、リスク対応の必要性について納得感を得られやすいと感じています。

リスクベースアプローチが可能になることが大きな価値。最新動向等をふまえたアップデートにも期待

あらためて、Assured企業評価はサプライチェーン全体のリスク低減にどう寄与するとお考えですか。

Assured企業評価によって、リスクベースアプローチ、すなわちリスクに対して効率的に管理・対策できるようになったことは大きな価値であると捉えています。

たとえば、個人データ等を取り扱う管理区域においては入退室管理の措置を講じることが求められており、以前までは必要に応じて現地まで訪問し、実態調査を行うこともありました。
チェックシートの設問を細かくして対応するという方法もありましたが、現場担当者との折衝もあり、現実的には難しい状況でした。

しかし、Assured企業評価を導入したことで、網羅的にセキュリティリスク評価をお任せできるようになり、当金庫としてリスクの特定・分類に関して大幅な工数削減を実現できます。

やはり、委託先に対する評価の一番の目的はインシデントを未然に防ぐために事前にリスク対策を講じることであり、セキュリティリスクの特定や分類だけではありません。
Assured企業評価導入により、リスクの特定ではなく、特定されたリスクに対してどうアプローチすべきかに工数を割けられるようになることは、当金庫のサプライチェーン全体のリスク低減に寄与すると考えています。

最後に、リスク管理部としての今後の展望、また今後のAssuredに期待する点を教えてください。

サイバー攻撃の巧妙化に伴い、セキュリティ対策においてもリスク管理部だけでなく、職員全体のスキル向上を図り、より属人化をなくしていきたいと考えています。そこで当金庫では、職員の資格取得の推進のほか、e-ラーニングの活用やセキュリティに関するトレンド情報の発信などの啓蒙活動を行っております。
少しでもセキュリティに関して身近に感じてもらうことが大切で、職員全員が「ここにセキュリティリスクが潜んでいるかもしれない」といった感覚を得られる形を目指していきたいと考えています。

Assured様とは定期的な打合せを通じて最新情報の共有等をいただいております。今後とも金融業界のセキュリティ動向も含め、トレンドの共有、そしてガイドラインの変化を踏まえた評価項目の継続的なアップデートをいただけますと幸いです。