デロイト トーマツ サイバー合同会社が、金融セクターのサードパーティ・サイバーリスク管理に関する調査を実施

昨今、ITシステムのアウトソーシング先その他サードパーティが多様化・複雑化している中で、サードパーティ・サイバーリスク管理の重要性が高まっています。この度、本邦金融機関におけるリスク管理等への参考となる情報を得ることを目的として、その対応が進んでいるとされる米国・EU・英国の大手銀行・保険会社における管理手法（先進事例）に関する調査を実施し、報告書を取りまとめました。

具体的には、重要性が高まっているサードパーティ・サイバーリスク管理（TPCRM※）について、（1）サードパーティの分類と管理方針、（2）サードパーティの集中リスク、（3）サードパーティの期中モニタリング、（4）サードパーティに対する監査権の確保・手法を主たる調査項目とし、金融セクターのTPCRMに関連する基準やガイダンス等から関連する要素を整理した上で、米国・EU・英国大手金融機関数社を対象に、実装しているフレームワークや実際の取り組み方法等に関して質問票への回答を依頼するとともにヒアリングを行いました。調査は上記の項目に加え、（5）出口戦略・出口計画、（6）インシデント対応を主たる調査項目として追加し、「サイバー脅威インテリジェンス」、「TPRMとAI活用」、「業界における質問票の共有の枠組み」、「サイバーセキュリティに係る契約書条項」、についても補完調査を実施しました。また、（7）保険業界特有の代理店・ブローカー等や保険商品・サービスに紐づくサードパーティを追加調査項目として調査を実施しました。

金融庁は2026年4月3日に調査結果に関して発表し、委託先としてデロイト トーマツ サイバー合同会社の社名も掲載されています。

調査では、上記（1）～（7）の項目別で結果を整理し、「本邦金融機関における改善ステップの例示」も提供しております。金融機関における取り組みについてご検討される際にご参考として頂ければ幸いです。

※TPCRM: Third Party Cyber Risk Managementの略。