サードパーティのリスク
コンプライアンスまたはセキュリティの脆弱性をもたらす可能性のある外部のデータプロバイダー、モデルベンダー、またはサービスプラットフォームへの依存から生じるリスク。
Definition
ベンダーのデータ保護慣行、セキュリティ管理、ガバナンスの成熟度に関するデューデリジェンスを含みます。契約上の措置には、SLA、監査権、補償条項が含まれます。ガバナンスチームは、第三者のレジストリを管理し、定期的なリスク評価 (SOC-2 レポートなど) を実施し、ベンダーのパフォーマンスを監視します。リスクの高いベンダーは、侵入テスト、コンプライアンス監査、ベンダーの障害に対する緊急時対応計画など、監視を強化します。
Real-World Example
銀行のAIチームは、SOC-2 Type IIレポートを確認し、セキュリティアンケートを実施し、そのモデルの倫理的AI監査を実施して、サードパーティの不正検知APIを評価します。このベンダーは「ハイリスク」に分類されており、四半期ごとの再監査と、基準が下回った場合に社内ソリューションに切り替えるためのフォールバック計画が必要です。
.svg)
