金融庁は4月3日、デロイト トーマツ サイバー合同会社に委託した「金融機関のサードパーティ・サイバーセキュリティリスク管理強化に関する調査」の報告書等を公表した。
同報告書では、重要性が高まっているサードパーティのサイバーセキュリティリスク管理(TPCRM)について、その対応が比較的進んでいるとされる米国・EU・英国の大手銀行および大手保険会社における管理手法(先進事例)を調査し、特に日本の金融機関におけるTPCRMへの示唆について考察している。
同調査では、米国、EU、英国の金融機関のTPCRM の「(1)サードパーティの分類と管理方針」、「(2)重要なサービスや機能等の提供が特定のサードパーティに集中することによるリスク」、「(3)サードパーティと契約後の期中のモニタリング」、「(4)サードパーティに対する監督権の確保・手法」、「(5)出口戦略・出口計画」、「(6)インシデント対応」を主たる調査項目とし、金融セクターのTPCRMに関連する各法令やガイドラインなどから関連する要素を整理した上で、米国・EU・英国の金融機関数社を対象に、質問票への回答を依頼するとともにヒアリングを実施している。また、「(7)保険代理店・ブローカーや保険商品・サービスに紐づくサードパーティなど保険業界特有のサードパーティの管理」を追加項目として、調査を行っている。
