サードパーティリスクマネジメント(TPRM).

第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。

第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。

TPRM は、ベンダー・サービス事業者・クラウドプラットフォーム・フィンテックパートナー・サブベンダーなど、外部に依存して事業成果を出すあらゆる関係を対象とします。典型的なライフサイクルは、固有リスクに基づくティアリング、デューデリジェンス(セキュリティ質問票・SOC 2・ISO 27001・現地監査)、契約上のセーフガード(監査権・違反通知・データ条項)、継続的モニタリング(レーティング・脅威インテリジェンス・アテステーション)、インシデント対応、オフボーディングで構成されます。金融(DORA、OCC、FFIEC)、医療(HIPAA)、プライバシー(GDPR)などの規制要件はますます詳細化しています。先進的なプログラムでは TPRM を ERM・購買・法務・セキュリティ運用と統合し、集中リスクとサプライチェーンリスクに重点を置きます。

サードパーティリスクマネジメント(TPRM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: TPRM, 第三者サイバーリスク。