リサーチ・フォーカス No.2025-068

サードパーティリスク管理の重要性の高まりを受けて求められる対応

2026年03月06日　谷口栄治

生成AI やブロックチェーン、クラウドサービス、API連携など、金融サービスのデジタル化が急速に進むなか、金融機関がシステムやサービスをすべて内製化することが困難に。金融機関では、コスト削減や業務効率化を目的に業務委託やアウトソーシングを通じて、外部事業者（サードパーティ）と関わってきたが、足元では大手プラットフォーマーを含めたシステム事業者や、非金融事業者に大きく依存。

こうした状況下、システム障害やサイバーインシデント、不祥事等により、サードパーティが提供するサービスやシステムが利用できなくなったり、情報流出が発生したりして、金融機関の事業継続、金融市場や金融システム等に悪影響が及んでしまう「サードパーティリスク」の管理が重要な経営課題・政策課題に。

バーゼル銀行監督委員会は、2025年12月、「健全なサードパーティリスク管理のための諸原則（Principles for the sound management of third-party risk）」を公表。そこでは、規模やビジネスモデル等に応じたリスク管理、重要なサードパーティに対する厳格な対応、Nth パーティリスク（サードパーティが別の外部事業者を利用する際のリスク）への対処、といった基本方針を提示。そのうえで、サードパーティリスク管理に係る基準として、銀行向けに９つ（ガバナンス、リスク評価、デューデリジェンス、契約締結、オンボーディング・継続的なモニタリング、業務継続管理、契約終了）、当局向けに３つ（監督当局の役割）、計１２の原則を策定。

サードパーティリスク管理が重要となるなか、諸原則を踏まえ、以下の対応が必要。
① 金融機関は、サードパーティリスク管理を自らの競争力に直結する経営課題と位置づけ、個社の実態に即したリスク管理態勢を整備すべき。とりわけ、技術進歩の早いデジタル領域では、継続的かつ注意深いモニタリングを徹底すべき。

② 外部事業者は、金融セクターにおいてサードパーティリスク管理が求められる背景等への理解を深める必要あり。サードパーティも参画し、再委託先を含めたサプライチェーン全体でのリスク管理体制の構築や合同演習等が不可欠。

③ 金融当局は、サードパーティリスク管理に係る監督機能向上と専門的知見の蓄積が急務。デジタル分野を担う国内他省庁との連携、海外の大手プラットフォーマー等に対する監督強化を企図した海外当局や国際機関との協調も重要に。

(全文は上部の「PDFダウンロード」ボタンからご覧いただけます)