ooligo
JA
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
購読する
ツール 比較 ワークフロー スタック 学ぶ
業種
RevOps Legal Ops Recruiting & TA
言語
English Español Português (Brasil) 日本語 Français Deutsch
GitHub 購読する
ENTRY TYPE · framework

ベンダーデューデリジェンスワークフロー

Last updated 2026-05-03 Legal Ops

ベンダーデューデリジェンスとは、契約署名前にサードパーティベンダーのセキュリティ、プライバシー、財務、コンプライアンスの状況を評価し、その後定期的に再評価するプロセスです。Legal Ops、セキュリティ、IT、調達が共同で所有し、新規ベンダーの導入依頼とMSA署名の間に位置します。うまく機能すればビジネスには見えません。機能しないと90日間の調達ボトルネックになります。

5つのステージのワークフロー

ステージ担当成果物
1. インテークビジネス依頼者ベンダー名、ユースケース、データ種別、想定ARR
2. トリアージ調達 / Legal Opsリスクティア(低/中/高)、必要なデューデリジェンスの深さ
3. デューデリジェンス収集ベンダーSIG/CAIQアンケート、SOC 2報告書、保険証書、財務諸表
4. レビューセキュリティ + Legal + ITリスク所見、必要な軽減策、DPAとMSA条件
5. 承認 / 署名部門長 + 調達署名済みMSA、ベンダー管理サイクルへのベンダー登録

合計サイクルタイムは低リスクベンダーで5〜15営業日、高リスクベンダーで30〜60日であるべきです。これより長ければプロセスの失敗であり、ベンダーの失敗ではありません。

リスクティア分類

データアクセスと統合の深さに基づく3〜4つのティア:

  • 低。 個人データなし、本番システムへのアクセスなし、ARR 25,000ドル未満。例:マーケティング画像ベンダー、単発のデザイン契約者。デューデリジェンス:標準MSA、ベンダープロファイル。
  • 中。 限定的な個人データ(従業員名/メール)、本番システムへのアクセスなし、ARR 25,000〜250,000ドル。例:プロジェクト管理ツール、スケジューリングソフトウェア。デューデリジェンス:SIG-Liteアンケート、最新のSOC 2。
  • 高。 相当量の個人データまたは本番システムへのアクセス、ARR 250,000ドル以上。例:CRM、カスタマーサポートプラットフォーム、顧客インタラクションを処理するAIベンダー。デューデリジェンス:完全SIG、SOC 2 + ペネトレーションテスト、DPA、保険確認、財務確認。
  • クリティカル。 クリティカルインフラ、規制対象データへのアクセス、単一障害点。例:クラウドインフラ主要プロバイダー、決済プロセッサー、医療機関向けEHR。デューデリジェンス:完全SIG + オンサイト監査、事業継続計画、エスクロー取り決め、エグゼクティブスポンサー。

誤って低く分類されたベンダーが、ほとんどの重大なベンダーリスクイベントの原因です。疑わしい場合は高いティアをデフォルトとしてください。

SIG / CAIQの内容

標準化情報収集(SIG)アンケートとCloud Security Allianceのコンセンサス評価イニシアティブアンケート(CAIQ)は、2大ベンダーセキュリティアンケートです。SIGの方が広い(運用、規制、事業継続ディメンションをカバー)。CAIQはより絞り込まれクラウド中心です。

典型的なSIG-Liteは以下をカバーする100〜200の質問で構成されます:

  • 情報セキュリティポリシーとガバナンス
  • アクセス制御とID管理
  • 暗号化(転送中、保存中)
  • インシデント対応と侵害通知
  • 事業継続とディザスタリカバリ
  • サブプロセッサー管理
  • 人事セキュリティ(バックグラウンドチェック、研修)
  • アプリケーションセキュリティ(SDLC、依存関係管理)
  • 物理的セキュリティ(データセンター、オフィス)
  • コンプライアンス証明(SOC 2、ISO 27001、HIPAA、PCI(該当する場合))

成熟したベンダーは事前に記入済みのSIG/CAIQ回答を要求に応じて維持しており、デューデリジェンスのサイクルタイムを大幅に短縮します。

実装方法

  1. 集中型インテークポータル。 すべてのベンダーリクエストは1つのフォームを通じて行い、ビジネスとベンダーの直接接触はありません。フォームはトリアージに必要なデータを収集します。
  2. インテーク時の自動ティア分類。 データタイプ、ARR、統合の深さに基づいてデシジョンツリーロジックが低/中/高にルーティングします。四半期ごとに低ティア分類の10%をスポットチェックします。
  3. デューデリジェンス収集のためのベンダーポータル。 ベンダーはSIG、SOC 2、保険、財務諸表をメールではなくコントロールされたポータルにアップロードします。
  4. AI拡張レビュー。 ClaudeまたはSpellbookがSIG回答を顧客基準に照らしてレビューし、ギャップをフラグし、ベンダーへの質問リストのドラフトを作成します。人間のレビュアーはテキスト比較ではなく判断が必要な事案に集中します。
  5. 年次再認定。 高ティアの各ベンダーは年次で再認定。中ティアは2年ごと。サブプロセッサーの変更、SOC 2の更新、保険の更新は中間レビューをトリガーします。

よくある落とし穴

  • デューデリジェンスをゲートキーピングとして行う。 目標が「拒否する理由を探す」ではなく「軽減すべきリスクを見つける」になると、ビジネスはベンダー管理をう回します。調達のバイパスが最悪のアウトカムです。
  • ティア分けなし — すべてのベンダーに完全SIG。 ベンダーの信頼を損ない、簡単なケースを遅らせ、難しいケースに安全性を追加しません。
  • 再認定なしの一度きりのデューデリジェンス。 ベンダーの状況は変わります。手元のデューデリジェンスは古くなります。再認定期限に関わらず、インシデント後にティアを再評価してください。
  • 軽減策のトラッキングなし。 条件付きで受け入れたベンダー(「90日以内にMFAを実装すること」)はクローズまで軽減策を追跡する必要があります。なければ条件は形式だけになります。
  • AIベンダーを標準として扱う。 AIベンダーは新しいデューデリジェンスの問いを提起します。トレーニングデータの使用、モデル出力の保持、プロンプトのロギング。標準SIGはこれらをカバーしません。AI特有の補遺を追加してください。

関連

GitHubでこのページを編集