ベンダーを活用することで自社のリソースを効率良く運用することができますが、近年ではベンダーを起因とした不正アクセスや情報漏えいが発生しており、ベンダーの管理が課題となっています。
本記事では、ベンダーリスクマネジメントの概要から必要な理由、ポイントまで解説します。
1. ベンダーリスクマネジメント(VRM)とは
ベンダーリスクマネジメントとは、委託先や販売先、仕入先などの取引先を起因として発生するリスクに対するリスクマネジメントです。Vendor Risk Managementの頭文字を取ってVRMと表記される場合もあります。
リスクマネジメントでは、社内で発生するリスクや発生したリスクが自社に与える影響など、自社を中心としたリスクを分析・対策するケースが一般的です。
ベンダーリスクマネジメントでは、自社ではなく業務の委託先や仕入先、サードパーティーツールを提供する企業など、自社が関わる企業で発生するリスクを中心に管理します。
ベンダーリスクマネジメントが注目されているのは、ベンダーが事業を継続できなくなってしまうことで自社が大きな影響を受ける恐れがあるからです。ビジネスのグローバル化やDX化を促進することで業務の効率化や事業の拡大が可能になりましたが、ビジネスを自社だけで完結できなくなった結果として、外部企業との関係性が自社に与える影響も増大するようになっています。
弊社が2023年12月に実施した調査では、5年以内の委託先でのインシデント発生率は66%となっており、多くの企業が何かしらの委託先にまつわるインシデントを経験しています。
ベンダーで発生した不正アクセスや不正行為などのリスクに対して委託元が無関係でいることは難しい状況になっていることから、ベンダーリスクマネジメントが不可欠となっているわけです。
【関連記事】
【委託先リスク管理の実態を調査】過去5年間で66%の企業が委託先に関するインシデントを経験 ~7割の企業がチェックシートでリスク評価を行うも、人手不足が課題~
■ベンダーとは
ベンダーとは、売り手や販売業者、仕入先などを指すビジネス用語です。
小売業の場合では仕入先、製造業であれば販売業者といったように、業界によってベンダーの意味が異なります。
ベンダーリスクマネジメントにおいては、自社が関わる外部の企業全般を対象とする広義の「ベンダー」が用語として使用されています。
仕入先や販売業者だけでなく、業務を委託する個人事業主や、自社で使用するサードパーティーツール・IT機器を提供する企業、商品を配送する物流業者、広告代理店などもベンダーリスクマネジメントの対象です。
■リスクマネジメントとは
リスクマネジメントとは、自社のビジネスに影響を与えるリスクに対し、リスクが発生する前の段階から対応する準備を行い、リスクが発生した際に自社へ与える影響を最小限に抑える取り組みです。リスク自体が発生しないようにしたり、リスクを受け入れるかどうかを判断したりすることもあります。
リスクが発生した場合でも自社が事業を継続できるようにすることや顧客や投資家などのステークホルダーからの評価を高めることが、リスクマネジメントを実施する目的です。
【関連記事】
2.ベンダーリスクマネジメントが必要な理由
ベンダーリスクマネジメントが必要な理由は以下の2つです。
- ベンダーを経由した不正アクセスが増加している
- ベンダーを経由した情報漏えいが増加している
それぞれの理由について詳しく解説します。
■ベンダーを経由した不正アクセスが増加している
ベンダーリスクマネジメントが必要な1つ目の理由は、ベンダーを経由した不正アクセスが増加しているからです。
従来のサイバー攻撃ではターゲット企業に対して直接攻撃を仕掛けるケースが多いですが、近年ではセキュリティ対策が充実した大手企業を直接攻撃するのではなく、セキュリティ対策が不十分な取引先に対してサイバー攻撃を仕掛け、ターゲット企業のネットワークへ侵入するサプライチェーン攻撃が増加しています。
2022年2月にはトヨタ自動車の仕入先である小島プレスが不正アクセスを受け国内の全14工場を停止、LINEヤフー株式会社では委託先企業の従業員が使用するパソコンを経由してLINEヤフーのシステムが不正アクセスを受け約44万件の個人情報が漏えいしました。
自社で十分なセキュリティ対策を実施していてもベンダーを経由したサイバー攻撃を完全に防ぐことは難しいため、ベンダーリスクマネジメントを実施して事前に対応できる体制を構築することが重要です。
【関連記事】
■ベンダーを経由した情報漏えいが増加している
ベンダーリスクマネジメントが必要な2つ目の理由は、ベンダーを経由した情報漏えいが増加しているからです。
外部の企業・個人に個人情報を扱う業務を委託する場合、委託元企業は委託先企業を監督する義務があります。(個人情報保護法第25条)委託先が個人情報を漏えいした場合、意図的に行ったのか過失なのかに関わらず、委託元企業も責任を負う必要があるということです。
2023年3月には株式会社NTTドコモの業務委託先企業の従業員が不正に個人情報を外部へ流出させ、約596万件の個人情報が漏えいしています。また、トヨタ自動車株式会社では委託先企業の人的ミスにより29万6,019件のメールアドレス・お客様管理番号が漏えいしており、顧客への対応とセキュリティ機能の強化、個人情報保護・管理の徹底を行いました。
上記のような事態を防ぐためにも、外部へ業務委託を行う企業においてはベンダーリスクマネジメントが必要です。
【関連記事】
業務委託における委託元と委託先の個人情報の取扱いについて解説
3. ベンダーリスクマネジメントのポイント
ベンダーリスクマネジメントのポイントは以下の2つです。
- 選定する基準を設定する
- 契約後もリスク管理が行われているか継続的にモニタリングする
それぞれのポイントについて解説します。
■選定する基準を設定する
ベンダーリスクマネジメントの1つ目のポイントは、選定する基準を設定することです。
委託先を選定する際には、委託する業務ごとに選定基準を設け、委託先が自社の基準を満たしているかを調査する必要があります。選定基準を設けずに委託先を選定すると、選定作業に時間がかかったり、選定する担当者ごとに差が生じたりするからです。
委託先の主な選定基準
- 依頼する業務に関する十分な実績があるか
- 信用できる相手なのか
- 依頼する業務に関する知見や経験が豊富な人材がいるか
- 依頼する業務に対応できる規模なのか
- 高い費用対効果が期待できるか
- セキュリティ対策を実施しているか
- 必要な認証を取得しているか
- 十分なコミュニケーションが取れるか
- コンプライアンスに対する意識は十分か
【関連記事】
■契約後もリスク管理が行われているか継続的にモニタリングする
ベンダーリスクマネジメントの2つ目のポイントは、契約後もリスク管理が行われているか継続的にモニタリングすることです。
契約時に選定基準を満たしていたとしても、委託先が継続して適切なリスク管理を行うとは限りません。年に1回アンケートに回答してもらう、チェックシートに記載してもらうなど、契約後にも継続して委託先のリスク管理体制をチェックするようにしましょう。
4. まとめ
今回は、ベンダーリスクマネジメントについて解説しました。
リスクマネジメントにおいては、仕入先や売り先、業務委託先などのリスク管理体制をチェックすることも重要です。サプライチェーン攻撃に代表される取引先を経由した不正アクセスや委託先企業の従業員による不正行為などに対しても、委託元企業が積極的に管理・監督するようにしましょう。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。