デジタルレジリエンスサードパーティ登録簿の使用
ベンダー管理ワークスペース で デジタルレジリエンスサードパーティ情報登録 アプリケーションを使用して、アセスメント、支店、法人などを作成、更新、追跡し、ICTサードパーティサービスプロバイダーとの契約上の取り決めの登録を維持します。
デジタルレジリエンスサードパーティ登録
リリース 19.1.x 以降、ベンダー管理ワークスペース 内の デジタルレジリエンスサードパーティ情報登録 アプリケーションは、DORA コンプライアンスをサポートしています。
デジタルレジリエンスサードパーティ情報登録 アプリケーションは、デジタルレジリエンスサードパーティ登録 のダウンロードに使用されます。このアプリケーションには、レポート目的のすべてのタブを含む Microsoft Excel テンプレートが用意されています。これは、金融機関が個々のエンティティ、準連結、および連結のレベルで ICT サードパーティサービスプロバイダーとの契約上の取り決めの包括的な登録を維持するのに役立ちます。
デジタルレジリエンスサードパーティ登録を使用して、Microsoft Excel のアップロードおよびダウンロード機能で、アセスメント、分岐、契約、機能、法人、サプライチェーン、サードパーティ、またはサードパーティエンゲージメントのレコードを一括または個別に作成もしくは編集できます。
- エンティティによる ICT サードパーティリスクの追跡を支援します。
- 欧州連合の所轄官庁が、金融機関内の ICT およびサードパーティリスク管理を監督できます。
- EU レベルの監督の重要な ICT サードパーティサービスプロバイダー (CTPP) を特定する際に欧州監督当局 (ESA) を支援します。
- デジタルレジリエンスサードパーティ情報登録:このアプリケーションを使用して、デジタルレジリエンスサードパーティ登録アプリケーションをダウンロードします。これには、レポート目的のすべてのタブを含む Microsoft Excel テンプレートが含まれています。
- デジタルオペレーショナルレジリエンス管理:このアプリケーションを使用して、DORA テーブルをすべて個別にアップロードおよびダウンロードします。デジタルレジリエンスサードパーティ情報登録がアクティブ化されると、自動的にインストールされます。
デジタルオペレーショナルレジリエンス
デジタルオペレーショナルレジリエンスとは、金融機関が業務の完全性と信頼性を構築、保証、レビューする能力を指します。これにより、ネットワークと情報システムの保護に必要な ICT 関連の機能の全範囲をエンティティが確実に備えるようになります。こうしたシステムは、金融サービスの継続的なプロビジョンをサポートし、中断時であってもその品質を維持します。継続性は、ICT サードパーティサービスプロバイダーが提供するサービスによって直接的または間接的に達成できます。
デジタルオペレーショナルレジリエンスアクション
デジタルオペレーショナルレジリエンスはデジタルオペレーショナルレジリエンスアクション (DORA) に合わせて調整されます。これは、2023 年 1 月 16 日に施行された欧州連合 (EU) 規制であり、2025 年 1 月 17 日から適用されます。欧州監督当局 (ESA) が監督する金融機関の ICT セキュリティを強化し、欧州の金融セクターをデジタルの大規模な中断から保護します。
DORA とデジタルレジリエンスサードパーティ情報登録アプリケーションの詳細については、「https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act」と「デジタルレジリエンスサードパーティ登録の詳細」を参照してください。
デジタルレジリエンスサードパーティ登録のレコードの作成
次の例は、レコードがベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録にどのように表示されるかを示しています。
- 法人
-
ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録に移動して、法人レコードを作成できます。ここでは、既存の法人を表示し、デジタルレジリエンス情報を強化して、DORA 規制に準拠させることができます。デジタルレジリエンスサードパーティ情報登録 アプリケーションをインストールすると、サードパーティとしてまだ定義されていない既存の会社の [法人] 関連リストが追加され、それらの詳細を追加できるようになります。法人レコードには、法人識別子 (LEI) 、名前、登録国、エンティティのタイプなど、規制報告に不可欠なフィールドが含まれています。これらのフィールドは、システム内で選択リストとして提供されます。システムではエンティティ階層が確認され、最終的な親会社には追加の詳細は必要ありませんが、子会社は親エンティティを指定する必要があります。各法人の登録日も記載されます。さらに、技術サービスのアウトソーシングのために外部のサードパーティと連携するエンティティの場合は、規制機関の要求に応じて、各エンティティについて、最終更新日、統合日、削除ステータス、削除日、使用通貨、合計資産値などの具体的な詳細が文書化されます。規制当局は、技術サービスのアウトソーシングのために外部の第三者と契約する法人に対して、これらの特定の詳細を義務付けています。
注:既存のサードパーティは、法人リストには表示されません。会社レコードは、サードパーティまたは法人としてのみ定義できます。会社および法人の場合、[ベンダー (Vendor)] オプションは False に設定されています。(チェックボックスがオフ)。詳細については、「法人の作成とデジタルレジリエンスデータの強化」、「新規会社の作成フォーム」、「[新しい法人の作成] フォーム」を参照してください。
- 分岐
-
支店レコードを作成するには、ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録に移動します。支店のデジタルレジリエンス情報を強化して、DORA 規制へのコンプライアンスを確保できます。法人は、さまざまな都市または国で複数の支店を運営できます。そのような支店はすべて文書化できます。新しい支店が設立された場合は、その情報を規制報告に含める必要があります。キャプチャされる一般的な詳細には、支店の名前と説明、所有者の詳細、レポート目的の事業部門と部門、その支店が本社か別のタイプか、支店 ID、本社所在国などがあります。支店番号は自動生成され、詳細の記入が完了すると、その情報はいつでも情報登録簿でキャプチャできます。
詳細については、「支店の作成とデジタルレジリエンスデータの強化」および「[新しい支店を作成 (Create New Branch)] フォーム」を参照してください。
- 関数
-
機能レコードを作成するには、ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録に移動します。ここでは、機能識別子、ライセンスアクティビティ、機能名、重要度、重要性アセスメントなどの詳細を追加できます。各機能は、デジタルオペレーショナルレジリエンス法 (DORA) で定義されている特定のサービスまたはサービスグループを表します。機能レコードは、説明テキストなど、各機能の詳細情報をキャプチャするために使用します。機能レコードが作成されたら、そのデジタルレジリエンス情報を強化して、DORA 規制へのコンプライアンスを確保し、サードパーティが提供する ICT サービスの使用状況を効果的に文書化できます。
詳細については、「機能の作成とデジタルレジリエンスデータの強化」および「[新規機能の作成 (Create New Function)] フォーム」を参照してください。
- サードパーティ
-
ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録内の [サードパーティ] リストを選択すると、既存のサードパーティレコードにアクセスして表示できます。デジタルレジリエンスサードパーティ登録をインストールすると、サードパーティのページにデジタルレジリエンス情報関連リストが追加され、デジタルレジリエンス情報の詳細を設定できます。
ここではサードパーティの法人 ID を表示できます。法人 ID は、付加価値税 (VAT) 番号または会社登録番号 (CRN) 番号によってキャプチャできます。ID の生成に使用される登録国とそのコードを指定できます。さらに、サードパーティが最終的な親会社であるか子会社であるかを示したり、ICT サードパーティの名前と提供するサービスのタイプ (サービスとしてのソフトウェアなど) を含めたりすることができます。オプションで個人が組織を代表して行動しているかどうかを記載することができます。また、レポート通貨を選択し、このエンゲージメントの年間合計経費を入力することもできます。
詳細については、「サードパーティの作成とデジタルレジリエンスデータの強化」、「新規会社の作成フォーム」、「[新しい ICT サードパーティサービスプロバイダーの作成 (Create New ICT third-party service provider)] フォーム」を参照してください。
- エンゲージメント
-
ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録内の [サードパーティエンゲージメント] リストを選択すると、既存のサードパーティエンゲージメントレコードにアクセスして表示できます。デジタルレジリエンスサードパーティ登録 をインストールすると、サードパーティエンゲージメントページに [デジタルレジリエンス情報] 関連リストが追加され、デジタルレジリエンス情報の詳細を設定できるようになります。
ここでは、サードパーティの名前、タイプ、年間消費量、エンゲージメント階層、その他の関連情報を表示できます。ICT サードパーティサービスプロバイダーレコードを作成することで、レコードのデジタルレジリエンス情報を強化できます。サービスプロバイダーの名前、識別コード、ICT サービスのタイプ、通貨など、ICT サードパーティサービスプロバイダーの詳細を追加します。これにより、DORA 規制のコンプライアンスについて、関連するサードパーティエンゲージメントのデジタルレジリエンス情報が強化されます。
詳細については、「サードパーティエンゲージメントの作成とデジタルレジリエンスデータの強化」、「[新しいサードパーティエンゲージメントを作成 (Create New Third-party engagement)] フォーム」、「デジタルレジリエンス情報のサードパーティエンゲージメントへの追加」を参照してください。
- 契約
- 契約レコードを作成するには、ベンダー管理ワークスペース内のデジタルレジリエンスサードパーティ登録に移動します。ここでは、ベンダー名、開始日と終了日、ステータス、サブステータス、その他の関連情報などの詳細を追加できます。契約レコードが作成されたら、そのデジタルレジリエンス情報を強化して、DORA 規制へのコンプライアンスを確保できます。
デジタルレジリエンスサードパーティ登録は、組織内の誰が外部にアウトソーシングされた ICT サービスを使用しているか、どの機能と支店がそのサービスを使用しているか、サードパーティプロバイダーとそのエンゲージメントが誰であるかに関する詳細を提供します。契約は、これらの側面をつなぐリンクとして機能し、法人、支店、機能をサードパーティとそのエンゲージメントにバインドします。
これらの契約には、デジタルレジリエンスサードパーティ登録の [契約] リストからアクセスできます。または、特定の法人のレコードに移動し、[ 法人 ] 関連リストを開き、関連するすべての契約情報にアクセスします。法人の契約を表示するには、法人のレコードに移動し、[ 法人 ] 関連リストを開き、さまざまな契約関連タブに移動します。契約に署名しているエンティティが契約を使用しているエンティティと異なる場合、その詳細はサービスプロバイダーとともにレコードに含まれます。これらのレコードにキャプチャされる詳細には、データの保存と処理の場所、データの機密性とサービスプロバイダーの信頼性、契約と終了の詳細、年次アセスメント、契約上の参照番号などがあります。
詳細については、「契約の作成とデジタルレジリエンスデータの強化」、「[新規契約を作成] フォーム」、「[新しい契約上の取り決めを作成 (Create New Contractual arrangements)] フォーム」を参照してください。
- サプライチェーン
- サプライチェーンレコードを作成するには、ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録に移動します。ここでは、ICT サービスのタイプ、ICT サービスを提供するエンティティの法人識別子 (LEI) など、サプライチェーンの詳細をキャプチャできます。
詳細については、「サプライチェーンの作成とデジタルレジリエンスデータの強化」および「[新しい契約上の取り決めを作成 (Create New Contractual arrangements)] フォーム」を参照してください。
- アセスメント
ICT サービスレコードのアセスメントを作成するには、ベンダー管理ワークスペースのデジタルレジリエンスサードパーティ登録に移動します。ここでは、ICT サードパーティサービスプロバイダーの契約上の取り決め参照番号、識別コード、コードのタイプなどの詳細を追加できます。アセスメントが作成されたら、そのデジタルレジリエンス情報を強化して、 DORA 規制へのコンプライアンスを確保できます。契約とサードパーティは毎年レビューする必要があります。
ICT サードパーティサービスプロバイダーの契約上の取り決め参照番号、識別コード、コードのタイプなどの詳細を追加します。その後、DORA 規制に準拠するためにデジタルレジリエンス情報を強化できます。詳細については、「アセスメントの作成とデジタルレジリエンスデータの強化」および「[新しい契約上の取り決めを作成 (Create New Contractual arrangements)] フォーム」を参照してください。
デジタルレジリエンスサードパーティ登録の使用に関連するロールの詳細については、「サードパーティリスク管理 でのロール」を参照してください。
レコードのアップロードとダウンロード
TPR アドミニストレーターは、Excel のダウンロード/アップロード要求機能を使用して、レコードを一括で作成および更新できます。詳細については、「レコードの一括作成」と「既存レコードの一括更新」を参照。
次の例は、Excel のダウンロード/アップロード要求を表示および作成できる場所を示しています。
情報登録パッケージ
デジタルレジリエンスサードパーティ情報登録アプリケーションをバージョン 21.1.x にアップグレードした後、サードパーティ査定人 (sn_vdr_risk_asmt.vendor_assessor) は、ダウンロードページの Plain-CSV レポートパッケージオプションを使用して、規制当局対応の情報登録簿 (RoI) パッケージを生成できます。結果の ZIP ファイルには、規制当局の仕様に合わせて構成されたメタデータとレポートフォルダーが含まれ、ファイル名には取引主体識別子 (LEI)、取引主体 ID、およびリリースバージョンが含まれています。この形式により、EU DORA への準拠が保証され、自動化された検証ワークフローがサポートされます。ユーザーは、[ダウンロード/アップロード要求] ページの [手順] セクションに表示されるガイドに従って、ステップバイステップの手順と必要な権限を確認できます。詳細については、「」と「」を参照。
サードパーティのリスクマネージャー (sn_vdr_risk_asmt.vendor_manager) は、同じプレーン CSV レポートパッケージオプションを使用して、ダウンロードした ROI パッケージを検証できます。システムは複数のテーブルにわたって検証を実行し、ファイル形式、構造、エンコーディング、命名規則、およびフィールドレベルのデータをチェックします。検証警告が検出された場合は、[テンプレートコード]、[行コード]、[列コード] などのレギュレーターフィールドへのマッピングを含むレポートが自動的に添付されます。これらのレポートには、実際のフィールドラベル、ルール式、およびレコード識別子も含まれます。検証エラーは、CSV 構造を反映したダウンロード可能な Excel マスター テンプレートを使用して相互参照できるため、問題の特定と解決が簡素化されます。このテンプレートは、ダウンロードページの Excel マスターテンプレートオプションを使用して生成できます。その他の機能強化には、「適用外」値のサポート、ファイルサイズ制限の適用、不正な形式のデータに対するより明確なエラーメッセージなどがあります。詳細については、「」と「」を参照。