2020年12月08日

サードパーティーリスクへの対応-保険会社は、外部委託に係るリスクを、どのように管理すべきか?

保険研究部 主席研究員・ヘルスケアリサーチセンター兼任   篠原 拓也

米国 保険会社経営 などの記事に関心のあるあなたへ

btn-mag-b.png
基礎研 Report Head Lineではそんなあなたにおすすめのメルマガ配信中!
各種レポート配信をメールでお知らせするので読み逃しを防ぎます!

ご登録はこちら

twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

文字サイズ

1――はじめに

保険会社のERM1において、リスク管理の対象範囲は、自社やグループ会社だけにとどまらない。業務の外部委託取引などから生じる、さまざまなリスクも管理の対象となる。このリスクは、「サードパーティーリスク」と呼ばれており、よく業務の一部をアウトソーシングする金融・保険業界では重視されている。ここで、サードパーティーとは、商品・サービスを提供するために、業務上の関係や契約があり、その提供に不可欠な事業者を指す2。 

近年、特に、デジタルトランスフォーメーション(DX)の流れのなかで、IT技術を用いるフィンテックやインシュアテックの導入が隆盛となっており、銀行や保険会社から、サードパーティーへIT業務を委託したり、サードパーティーが提供するクラウドサービスやAPI接続サービス3を利用したりする機会が増えている。その結果、サードパーティーリスク管理の重要性がさらに高まっている。

サードパーティーリスクは、サードパーティーに関する諸リスクをすべて含む。そのため、その管理方法を詳細に記述していくと、長大なものとなりがちである。2008年に、アメリカ連邦預金保険公社(FDIC)は、金融機関向けに、サードパーティーリスクの手引き4(以下、「手引き」)を公表している。この手引きは10ページ程度の分量ながら、リスク管理の内容が簡潔にまとめられており、わかりやすい。保険会社向けのものではないが、今日の保険ERMにも、十分活用可能な内容と考えられる。

本稿では、その内容を参考にしつつ、サードパーティーリスクについて、みていくこととしたい。
 
1 ERM は、Enterprise Risk Management の略。リスク管理活動に関する、全社的な仕組みやプロセスを意味する。
2 日本では、IT分野で、サードパーティーという言葉がよく用いられている。他社のパソコンやOSに対応するソフトウェアや周辺機器を提供する企業を、メーカーと消費者以外の第三者という意味で、サードパーティーと呼ぶ。サードパーティーが開発・販売する製品は「サードパーティー製品」と呼ばれ、パソコンメーカーやOSの開発会社自身が提供する「純正品」とは区別されることがある。本稿では、日本のIT分野での意味にとどまらず、外部委託先等をサードパーティーと呼ぶ。
3 APIはApplication Programming Interfaceの略。あるアプリケーションの機能や管理するデータ等を、他のアプリケーションから呼び出して利用するための接続仕様等を意味する。自己のソフトウェアの仕様を一部公開して、他のソフトウェアと機能を共有できるようにし、サービス利用者の利便性を向上させることなどを指す。一例として、電子決済代行業者とAPI接続することで、電子決済のセキュリティの向上を図るケースがあげられる。
4 “Guidance for managing Third-Party Risk”(FDIC, FIL-44-2008, June 6, 2008)
 

2――サードパーティーリスクとは

2――サードパーティーリスクとは

まず、サードパーティーリスクとはどういうものか、簡単にみていこう。
1新興企業と初めて取引をする場合、サードパーティーリスクへの注意が必要
ひと口に、サードパーティーといってもさまざまなものがある。典型的なものは、業務の一部を外部委託するときの委託先だ。近年は、クラウド事業者、API接続する電子決済代行業者、業務ライセンス利用許諾先、決済サービスを提供する先の加盟店など、その範囲が拡大している。

サードパーティーリスクの軽重は、サードパーティーによって異なる。たとえば、特定顧客向けに商品関連のサービスを提供するために、同じ委託先に、長年、継続的にサービス業務を外部委託しているような場合は、これまでの豊富な委託実績からみて、リスクは限定的といえるだろう。

一方、初めて取引する新興企業と、顧客の個人情報をやり取りするようなケースは、リスクが大きいとみられる。手引きでは、サードパーティーリスクを重視する必要がある場合が示されている。
図表1. サードパーティーリスクを重視する必要があるケース
2サードパーティーの関与により、新たに発生したり高まったりするリスクもある
金融機関がサードパーティーを活用する際には、さまざまなリスクが伴う。これらのリスクのなかには、金融機関が直面するリスクと同様に、事業活動そのものに起因するものがある。一方、サードパーティーが関与することにより、新たに発生したり、高まったりするリスクもある。これらのリスクの管理が不十分な場合、金融機関は当局の規制措置、財務上の損失、訴訟の提起、風評の悪化等に直面する恐れがある。さらに、新規顧客の開拓や、既存顧客への対応に支障が出る可能性もある。
 

3――サードパーティーリスクの例

3――サードパーティーリスクの例

それでは、サードパーティーリスクにはどのようなものがあるのか? 手引きをもとに、みていこう。
1戦略リスク : 目標達成に役立たない商品・サービスの提供にサードパーティーを活用
戦略リスクとは、事業に不利益となる意思決定を行うことや、戦略目標に整合した適切な意思決定を行わないことから生じるリスクをいう。投資収益率の向上には役に立たない商品・サービスを提供するために、サードパーティーを活用すると、銀行や保険会社が戦略リスクにさらされることとなる。
2風評リスク : 顧客の苦情を招くような委託先との関係がリスクを引き起こす
風評リスクとは、世間における否定的な論調から生じるリスクをいう。たとえば、顧客の苦情を招くような委託先との関係、金融機関の経営方針に反する提携先との関係、顧客に対する不適切な商品・サービスの推奨、顧客情報の流出につながるセキュリティ違反、各種の法令等遵守違反などは、金融機関の風評と地位の毀損を引き起こす可能性がある。また、サードパーティーについて、マイナスイメージとなる情報が流布すると、実際にそのサードパーティーの活用に関するものかどうかにかかわらず、風評リスクが生じる可能性がある。
3オペレーショナルリスク : 業務プロセスの統合により業務の複雑さが増してリスクが増大することも
オペレーショナルリスクとは、 業務プロセス、人材活用、システム運用が、不適切であったり、機能しなかったり、何らかの外部の事象を引き起こして損失を招いたりするリスクをいう。サードパーティーとの関係により、金融機関と他の事業者の業務プロセスが統合されることで、業務の複雑さが増して、オペレーショナルリスクの増大につながることもある。
4取引リスク : 技術面の障害などから期待どおりにサードパーティーが機能しない
取引リスクとは、商品・サービスや提供に関連して発生するリスクをいう。能力不足、技術面の障害、人為的ミス、詐欺行為のために、顧客や金融機関の期待どおりにサードパーティーが機能しないと、金融機関は取引リスクにさらされる。また、効果的な業務再開プランや、適切なコンティンジェンシープラン5がないと、取引リスクは増大することとなる。さらに、サードパーティーが提供する技術への管理が弱いと、セキュリティや、システム・リソース面の問題も生じる。これらの問題により、不正な取引が行われたり、予定どおりに事業処理ができなかったりすることもある。
 
5 予期せぬ事態に備えて、あらかじめ定めておく緊急時対応計画のこと。企業は、この計画を定めておくことで、災害や事故など、不測の事態が生じたときに、事業が中断する範囲を最小限にとどめるとともに、迅速かつ効率的に業務を復旧することが可能となる。
5信用リスク : サードパーティー自身の財務状況に関連する
信用リスクとは、サードパーティーやその他の債権者が、金融機関との契約上の取決めを履行できなかったり、合意していた通りに財務パフォーマンスを達成できなかったりするリスクをいう。信用リスクの基本形態は、サードパーティー自身の財務状況に関連する。一部の契約では、サードパーティーが、ローンの組成プログラムなど、一定の債務履行を保証することを規定している。このような状況では、サードパーティーの財務状況が信用リスクを評価するための要素となる。また、信用リスクは、特定ローンのマーケティングや組成、顧客の勧誘や紹介、引受分析の実施、金融機関の商品設計において、サードパーティーを利用することからも発生する。信用リスクを把握し、その水準を取締役会の承認限度にとどめるために、サードパーティーの活動を適切にモニタリングする必要がある。
6法令等遵守リスク : サードパーティーによる欺瞞的商品や顧客情報保護基準違反
法令等遵守リスクとは、法令・規則等に違反することにより発生するリスクをいう。これには、委託等の契約、業務プロセス、組織の事業基準を遵守しないケースも含まれる。たとえば、サードパーティーが、法令違反の欺瞞(ぎまん)的商品のマーケティングを行ったり、差別的な貸付を行ったりする場合が該当する。また、サードパーティーが顧客の個人情報の保護や開示を適切に実施するかどうかも、法令等遵守に関する懸念事項となる。サードパーティーが、顧客情報保護基準に反してセキュリティ違反を犯した場合、その責任が金融機関に及ぶ可能性がある。法令等遵守リスクは、金融機関に対する監督や監査が不十分な場合には悪化する傾向がある。
 

4――サードパーティーリスクの管理プロセス

4――サードパーティーリスクの管理プロセス

サードパーティーリスクを適切に管理するには、どうすればよいだろうか。手引きでは、(1)リスク評価、(2)サードパーティー選定におけるデュー・デリジェンス、(3)契約の構成と確認、(4)監視 の4つの要素をあげている。それぞれ、順番にみていこう6
 
6 手引きによると、これらの4要素は、あらゆるサードパーティーに適用されるが、このプロセスの適切な使用は、サードパーティーとの関係の性質、活動の範囲と影響度、特定されたリスクに依存する。さらに、これらを含む包括的なリスク管理プロセスにより、自己資本が金融機関のベースとなるリスク・エクスポージャーを支えるのに十分であることや、サードパーティーが顧客保護を含めて各種法令等を遵守しつつ業務を遂行していることを確保できる、とのことである。
1リスク評価 : サードパーティーによる欺瞞的商品マーケティングや顧客情報保護違反
リスク評価は、そもそもサードパーティーと関係を持つかどうかを決めるための基本となる。その関係が、金融機関の戦略計画や全体的な事業戦略と整合的であることが、最初のステップとなる。次に、サードパーティーに関連する収益、費用、法的側面、リスク等を分析する。商品・サービスが、金融機関にとって新しいものである場合、より幅広い分析が求められる。経営者が、その関係により達成されるものや、サードパーティーの利用により利益が最大化される理由を、十分に理解することがカギとなる。その際、重要な項目については、サードパーティーとの関係を、他の事業者の活用や、社内組織での実行等の他の方法と比較して、分析すべきである。

リスク評価を担当する職員は、分析を適切に行うために、必要な知識とスキルを持つ必要がある。あるリスク評価の局面では、内部監査役、コンプライアンスオフィサー、テクノロジーオフィサー、弁護士を活用する場合もある。この局面では、リスクの継続的な評価と管理に必要なパフォーマンス基準、内部統制、報告ニーズ、契約要件も定めることが求められる。たとえば、その活動が顧客の商品・サービスに関するものである場合、経営者は、パフォーマンスの評価と途中での修正を可能にするよう、戦略を確立すべきである。さらに、この段階では、情報セキュリティを保持し、顧客のプライバシー要件を満たすための評価を見落としてはならない。

組織の全体的な戦略計画に関連する一般的なリスク評価を終えた後、経営者は、サードパーティーとの関係を継続して適切に監視し、管理していく能力について確認すべきである。サードパーティーに関するリスクを特定し認識することは当初から重要だが、その関係を長期的に管理していくことは、成功に不可欠となる。サードパーティーとの重要な関係について、取締役会は、デュー・デリジェンス、履行、継続的な監視、および取締役会への定期的な報告などの責任者として、上級管理職を任命することがある。この上級管理職は、サードパーティーとの関係のあらゆる側面を批判的に検討するのに必要な知識と技能を有すべきである。また、サードパーティーとの関係に効果的に対処し、新たに生じた問題や法令等遵守上の不備に適切に対応するために、金融機関のコンプライアンス管理システムが適用されることを保証すべきである。

初期リスク評価段階の最後には、サードパーティーとの関係の長期的な財務面の影響を、慎重に見積もることが含まれる。取締役会は、関係の長期的な可能性のあらゆる側面と、サードパーティー活用の決定から生じる経営上の専門知識およびその他の関連費用を考慮に入れるべきであり、短期的な費用削減の取り組みを過度に見積もりに影響させるべきではない。初期費用の会計処理が不十分であったり、収益の過大評価があったりして、長期的な財務リスクが生じると、リスク管理プロセスの他の段階において、適切な意思決定が損なわれる可能性がある。
2サードパーティー選定におけるデュー・デリジェンス : 事業者選定時の評価
経営者は、活動や計画を実施しうる事業者を選定しなければならない。サードパーティーとの関係が金融機関の戦略目標と財務目標の達成や、リスクの軽減に役立つかどうかを判断するために、デュー・デリジェンスを行う。デュー・デリジェンスは、サードパーティーの選定時だけでなく、契約の更新の際にも、定期的に実施する必要がある。

デュー・デリジェンスを行う範囲と深度は、サードパーティーとの関係の重要性や規模に関係する。たとえば、大規模で世間の注目を引く事業や、機密データを取り扱う計画では、詳細なデュー・デリジェンスが求められる。一方、サードパーティーの活動が低リスクだったり、リスクが限定的であったりする場合、包括的なデュー・デリジェンスは不要といえる。

包括的なデュー・デリジェンスには、企業の財務状況、業務関連の実績、適用法令に関する認識、企業の風評、業務管理の範囲と有効性に焦点を当てながら、すべての情報を確認することが含まれる。評価には、つぎの項目を含めることが考えられる。
図表2. サードパーティーの評価項目の例
twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

保険研究部   主席研究員・ヘルスケアリサーチセンター兼任

篠原 拓也 (しのはら たくや)

研究・専門分野
保険商品、保険計理

アクセスランキング

レポート紹介

【サードパーティーリスクへの対応-保険会社は、外部委託に係るリスクを、どのように管理すべきか?】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

サードパーティーリスクへの対応-保険会社は、外部委託に係るリスクを、どのように管理すべきか?のレポート Topへ