求められる再委託先へのリスク管理

金融機関における外部委託に関する有識者検討会が行われ、リスクベース・アプローチの採用、ITガバナンスの強化、外部委託に関するルールの整備などの内容の報告書が公表された。本稿では、外部委託に関するルールの整備について検証し、今後の企業活動における再委託での施策について考察する。

金融情報システムセンターの再委託管理

2016年7月1日、公益財団法人金融情報システムセンター（以下、FISC）が「金融機関における外部委託に関する有識者検討会」の報告書を公表した（ITR Review 2016年9月号「リスクベース・アプローチの活用」#R-216095）。報告書のポイントは、「リスクベース・アプローチの採用」「ITガバナンスの強化」「外部委託に関するルールの整備」の3点で、その中から、外部委託に関するルールの整備について解説する。

「外部委託に関するルールの整備」の要旨は、「再委託で新たに追加すべきリスク管理策」と、「再委託先の事前審査、監査権の明記」である。この背景には、金融機関においては外部委託への依存度が非常に高いことと、銀行法の改正により再委託管理の在り方を見直す必要が出てきたことがある。ここで述べる再委託管理の考え方は、金融機関だけでなく全産業において参考とすべき内容といえる。

ここで、外部委託管理における金融機関の課題認識について、FISCが行ったアンケートの結果を見ると、「再委託先などの管理」が最も回答割合が高くなっている。次いで「委託先の業務を理解し、管理できる人材の確保」「委託先の管理」と続いている。この結果から、金融機関では委託先の管理よりも再委託先の管理に苦慮している実態がうかがえる（図1）。

なお再委託は、委託元が直接把握できる範囲が狭く、統制を行える接点が限定的となる傾向にある。金融機関が委託先の管理を推進することに加え、そのような再委託先の管理を行う背景には、再委託先による不正行為などが社会的問題になっていることがあげられる（ITR Review 2015年5月号「個人情報保護の観点から考える委託先管理」#R-215054）。

図1．外部委託管理における金融機関の課題認識