サードパーティーリスクへの対応－保険会社は、外部委託に係るリスクを、どのように管理すべきか?

保険研究部主席研究員兼気候変動リサーチセンターチーフ気候変動アナリスト兼ヘルスケアリサーチセンター主席研究員篠原拓也

3｜契約の構成と確認 : 必要事項の契約書への記載
サードパーティーを選定した後、金融機関とサードパーティー双方の、期待と義務が契約書に具体的に記載されていることの確認が必要となる。契約締結前には、取締役会の承認や、弁護士による確認を行うべきである。なお、デュー・デリジェンス基準に合致しない場合、サードパーティーから他者への義務の譲渡、移転、下請契約を禁止する必要がある。

契約条項の詳細は、サードパーティーとの関係の範囲とリスクによって異なる。以下の諸点が、契約の構成項目となる。これらは、サードパーティーとの関係性と重要性に依存する。

(1) 範囲
契約書には、次の事項を含め、契約の各当事者の権利及び責任を明確に記載すべきである。

(2) 費用と報酬
契約書は、金融機関とサードパーティーの双方について、固定報酬、変動手数料、経常外項目や特別な要求に対して支払われるべきものなど、いかなる手数料の概要も示しておく必要がある。事業活動に関連する装置、ハードウェア、ソフトウェアその他を購入、維持するための費用や責任がある場合には、その他の項目として対処すべきである。また、法定費用や監査費用を支払う責任についても、明らかにしておくことが必要となる。

金融機関は、健全な銀行の慣行や顧客保護法制に合致した報酬制度を採用すべきである。報酬体系は、安全かつ健全な方法で良好な長期的業績を促進するよう構成される必要がある。一方、定量的で短期的なインセンティブ報酬については、厳格な品質管理の対象とすべきである⁷。

⁷ このことは、特に、融資を組成する事業分野に当てはまる。FDICは、サードパーティーが、借り手を不適切に高額な費用の商品に誘導することを助長するような報酬制度を、明確に禁止している。

(3) パフォーマンス基準
サードパーティーのパフォーマンスを測定するための基礎として、パフォーマンス基準を明確に定義して、契約書に含める必要がある。これを、報酬取り決めの要素として、使用することもありうる。なお、特定の機能のために参考として業界標準を用いたり、サードパーティーと金融機関の間の特定の関係を反映するように基準を設定したりすることもできる。経営者は、全体目標との整合性を確保するために、パフォーマンスを定期的に確認すべきである。

(4) 報告
契約書には、サードパーティーから受け取る報告書の種類と、報告頻度を明記すべきである。通常の報告には、パフォーマンス報告、監査、財務報告、セキュリティ報告、ビジネス再開テスト報告などがある。また、経営者は、取引関係の性質に影響を及ぼしたり、金融機関にリスクをもたらす可能性があったりする変更や問題の通知のための、不定期の報告を義務付けることを検討すべきである。

(5) 監査
契約書には、金融機関がサードパーティーから受け取る監査報告書の種類と頻度に加えて、契約の下でのパフォーマンスを監視するために、必要に応じて、金融機関がサードパーティーを監査する権利(または会計監査人を置くこと)を明記すべきである。経営者は、金融機関に提供される商品・サービスに関して、サードパーティーの内部統制が十分に監査されていることを保証すべきである。契約上重要な場合には、サードパーティーが維持すべき具体的な内部統制を契約書に定める必要がある。

(6) 機密性とセキュリティ
契約で指定された機能を行う場合を除いて、サードパーティーやその代理人が、金融機関の情報を使用したり、開示したりすることは禁止しなくてはならない。金融機関の顧客に関する非公開の個人情報は、金融機関自身の個人情報保護方針と、適用される個人情報保護関連法令に従って、取り扱われなくてはならない。情報のセキュリティや機密性の侵害(不正侵入よる潜在的な侵害を含む)が生じた場合、金融機関は、完全かつ迅速に、そのことを開示することが求められる。

(7) 顧客の苦情
契約書には、金融機関やサードパーティーが、顧客から受けた苦情に対する責任を負うか否かを明記しなくてはならない。サードパーティーが責任を負う場合は、苦情や対応を金融機関に連携しなくてはならない。契約書には、苦情の状況と解決策を詳述した定期的な要約報告書についても記載すべきである。

(8) 事業の再開とコンティンジェンシープラン
人為災害と自然災害の両方を含む、業務上の障害が発生した場合、契約上の取り決めに規定されたサービスを継続するためのサードパーティーの責任に対処すべきである。サードパーティーは、情報をバックアップするための適切な保護を準備しておく必要がある。また、詳細な運用手順を備えた災害復旧プランとコンティンジェンシープランを保持しておく必要もある。これらのプランのテスト結果は、金融機関に提供されなくてはならない。

(9) 債務不履行と契約終了
債務不履行や契約終了に伴うリスクを軽減するために、契約は両方の問題に対処すべきである。契約書には、どのような状況が債務不履行を構成するかを明記し、改善策を特定し、それを是正するための妥当な機会を考慮すべきである。

特に重要なサードパーティーとの取り決めや、急速に変化する技術や状況に関連する関係については、契約の中に、契約終了権を明記しておく必要がある。契約終了権には、管理の変更、費用の大幅な増加、履行基準の不履行、契約上の義務の不履行、法令違反防止の不能、破産、会社の閉鎖、支払不能など、さまざまな条件を盛り込んでおくことが求められる。契約書には、過度の費用をかけずに他の事業体への秩序ある移行を可能にするための要件と期間とともに、契約終了と通知要件を記載しておく必要がある。また、金融機関のデータ、記録、その他リソースの返却についても記載しておくべきである。

(10) 紛争解決
金融機関は、問題を迅速に解決するために、紛争解決手続を契約に含めることを検討すべきである。また、紛争中の当事者間の取り決めの継続についても、記載すべきである。

(11) 所有権と使用許可
契約には、所有権の問題や、データ、機器、ソフトウェア、知的財産(金融機関の名称、ロゴ、商標、その他の著作権等)といった金融機関の財産を使用するサードパーティーの権利について、規定をおく必要がある。また、サードパーティーによって作成されたすべての記録の所有権と管理についても記載すべきである。

(12) 損害賠償
損害賠償規定は、サードパーティーの過失により、金融機関に損害を与えないことを求めるもので、その逆も同様である。これらの規定を契約に組み込むことにより、サードパーティーの過失から生じた賠償請求について金融機関が責任を負う可能性を低減することができる。しかしながら、そのような規定があるからといって、安全かつ健全に、法令や健全な銀行原則を遵守して銀行業を行っている金融機関の最終責任をサードパーティーに転嫁できるわけではないことを、繰り返して認識しておく必要がある。また、損害賠償規定があるからといって、是正が必要な欠陥が軽減されるわけでもない⁸。

⁸ 手引きでは、顧客保護その他の法令、規則、健全な銀行の原則に対する違反がある場合や、銀行業及びそれに関連する活動が安全かつ健全に行われていない場合には、損害賠償命令を含む救済措置についてのFDICの検討は、サードパーティーとの契約における補償条項の有無にかかわらず行われる、としている。

(13) 責任の制限
サードパーティーは、金融機関との関係の結果、生じる可能性のある負債の額を、契約により制限するよう望むことがある。このような契約を締結する際には、金融機関の経営者は、提案された損害限度額が、サードパーティーが適切に履行しなかった場合に金融機関が被る可能性のある損失額と比較して妥当であるかどうかを慎重に検討すべきである。

4｜監視 : サードパーティーの活動の監視
金融機関は、サードパーティーの活動に対する適切な監視と、サードパーティーとの取り決めを通じて提供される商品・サービスに対する適切な品質管理を維持し、重大な財務上の損失、風評被害、監督措置の発生を最小限に抑える必要がある。取締役会は、少なくとも年に1回、重要なサードパーティーとの取り決めを承認、監視、確認する。また、計画に重要な変更があったときは、これらの取り決めと、書面による合意を確認する。経営者は、定期的にサードパーティーの業務を確認し、リスクが契約書の条件と整合的に管理されていることを確かめる。金融機関のコンプライアンス管理システムは、連邦法、州法、規則、規制、内部の方針や手続きの継続的な遵守を保証する必要がある。

経営者は、重要なサードパーティーとの関係を監視し、必要な監督を行うために、十分な資格を持つ職員を配置すべきである。特に、重要な関係については役員を指名すべきであり、法令等遵守はもとより、必要に応じて、監査やIT技術のような他の業務分野を監視プロセス含めるべきである。サードパーティーの監視の程度は、潜在的なリスクと、契約の範囲及び規模に依存する。

監視内容には、通常、サードパーティーのサービス品質、リスク管理慣行、財務状況、適用可能な管理および報告の監視が含まれる。重要なサードパーティーとの取決めに対する監視活動の結果は、金融機関の取締役会や指定された委員会に定期的に報告される必要がある。また、特定された弱点は、文書化して、迅速に対処すべきである。

パフォーマンスの監視には、必要に応じて、以下を含めるべきである。

適切な文書化を行うと、サードパーティーリスクの監視と管理が容易になる。したがって、金融機関は、有効な契約、事業計画、リスク分析、デュー・デリジェンス、監視活動(取締役会または委任された委員会への報告を含む)などの、サードパーティーとの関係のあらゆる面で、文書と記録を保持しておく必要がある。また、いかなる紛争解決に関する文書も保管しておくべきである。⁹

⁹ 手引きでは、この後に「FDICによるサードパーティーとの関係の監督」という節を設けて、監督方針等をまとめているが、本稿では割愛する。

5――おわりに (私見)

金融機関や保険会社では、以前からサードパーティーリスクが存在している。特に、DXが進むなかで、デジタル技術を有する新興のIT会社等との関係が必要となってくると、サードパーティーリスクの影響も多様化する可能性がある。

本稿で取り上げたFDICの手引きは、10年以上前に公表されたものではあるが、いまでも活用できる部分が多いものと考えられる。こうした手引きなどを参考に、実際に、サードパーティーリスクへの対応がどのように進められていくか、引き続き、注視していくこととしたい。