第三者リスク管理（TPRM）

第三者リスク管理（TPRM）とは、ひとことで言えば、外部委託先・ベンダー・パートナー企業に起因するセキュリティリスクを管理するプロセスです。たとえば、クラウドサービスやSaaSベンダーに自社データを預ける場合、その事業者の管理体制が自社のリスクに直結します。SOC 2レポートの確認、セキュリティアンケート、契約での監査権確保などを通じて継続的に評価します。サプライチェーンリスクの一部ですが、特にサービス・データ処理の委託関係に焦点を当てる点が特徴です。多くの侵害事例で第三者経由が原因となっています。