パートナーコンプライアンスガイド
1)目的と範囲
このガイドでは、パートナー/請負業者/アフィリエイト/プロバイダー(支払いおよびホスティングプラットフォーム、コンテンツスタジオ、不正防止サービス、コールセンター、マーケティング代理店を含む)のコンプライアンス要件を定義します。
目的:- セキュリティ、プライバシー、規制、責任あるコミュニケーションの統一基準。
- サプライチェーンにおける運用/法的リスクを軽減します。
- 「監査準備ができた」証拠ベースと相互検証可能性。
2)利用規約
パートナー-データを処理したり、サービスを提供したりする第三者。
重要なパートナー-セキュリティ、支払い、個人データ、または規制プロセスに大きな影響を与えます。
サブプロセッサ-データ処理に関与するパートナーの取引相手。
3)原則(「デザインテネット」)
コンプライアンスによる設計要件は、プロセスとアーキテクチャに組み込まれています。
データの最小化と管轄会計(データレジデンス)。
トレーサビリティと不変性:ログ、WORMアーカイブ、ハッシュレシート。
比例:チェックの深さはリスクに依存します。
「真実の一つのバージョン」:SLAとRACIによって理解された確認されたアーティファクト。
4)役割とRACI
(R-責任がある;A-説明責任がある;C-コンサルティング;I-Informed)
5)リスクパートナーの分類
基準:データ型(PII/支払い)、取引量、本番システムへのアクセス、管轄区域、チェーン内の役割(プロセッサ/コントローラ)、インシデント履歴、証明書/監査。
レベル:Low/Medium/High/Critical→デューデリジェンスの深さとリビジョンの頻度を決定します。
6)オンボーディングとデューデリジェンス(DD)
ステップ:1.DDアンケート(所有者、サブプロセッサ、データの場所、証明書、制御)。
2.制裁/評判/受益者のスクリーニング。
3.セキュリティ/プライバシー評価:SOC/ISO/PCI/浸透テスト、保持ポリシー、DSARプロセス。
4.テクニカルチェック:SSO/OAuth、暗号化、秘密管理、ロギング。
5.支払い/AMLの側面(該当する場合):チャージバック処理、不正防止、制限。
6.リスクレポートとソリューション:入場/条件付き/拒否+CAPA/補償措置。
7.契約:MSA、 SLA/OLA、 DPA、監査権、ミラー保持、インシデント通知、オフランプ。
7)必須パートナー要件(最小)
7.1セキュリティとプライバシー
transit/at rest、 key management (KMS/HSM)の暗号化。
RBAC/ABAC、 MFA、管理ログ、再certアクセス。
ハッシュ署名付きのログとWORMアーカイブ。同期された時間。
保持ポリシー、法的保持、DSAR手順;マスキング/トークン化PI。
脆弱性レポート/侵入テスト;管理された更新ポリシー。
7.2規制とマーケティング
信頼できない/攻撃的なオファー、必須の免責事項の禁止。
責任あるプレーと年齢確認の規則の遵守(該当する場合)。
ライセンスと地域の制限に応じたジオターゲティング。
コミュニケーションのための文書化された同意/unsubscriptions、証明の保存。
7.3支払い/AML/KYC(役割別)
KYC/KYB手続き、制裁/PEPスクリーニング、トランザクション監視。
認可logs/3DS、チャージバックプロセス、リスク制限。
一貫したブロック/調査と返品のシナリオ。
8)技術的な統合
SSO/SAML/OIDC、 SCIMプロビジョニング(可能であれば)。
構造化ログ(JSON/OTel)、トレース(trace_id)。
Webhook-署名とレトラ付き。配達保証/idempotency。
API制限、契約テスト、下位互換性、バージョン管理。
隔離された環境、キーおよび秘密は秘密の貯蔵にあります。
9)契約上の義務
SLA/OLA:重要なサービスのための稼働時間、TTR/MTTR、レイテンシー、RPO/RTO。
証拠と監査:監査権、PBCフォーマット、応答時間、Data Roomへのアクセス。
インシデント:通知≤ X時間、レポートおよびタイムライン形式、CAPA。
保持と除去:TTL、破壊の確認、サブプロセッサのミラー保持。
機密性/AOIおよび下請け規制。
10)インシデント管理(共有)
単一の通知チャンネルとバトルリズムアップデート。
関連データの即時法的保持。
共同タイムライン(who/what/when)、ハッシュレシートを含むアーティファクト。
規制当局/顧客への通知-合意されたプロセスを通じて。
死後、CAPA、 30-90日の再監査。
11)報告とモニタリング
四半期ごとのレポート:証明書、インシデント、SLA、サブプロセッサ、データ場所の変更。
プライバシー/DSAR指標、顧客の苦情、マーケティング違反。
財務/支払い:チャージバック比率、不正防止効率、Win-Rateアピール。
12)制御および監査の権利
リスククラスによる定期的な監査;予期しない-インシデント/重大な変更のため。
Data Room(データルーム)、PBC-mm、 ToD/ToE/Walkthrough/Reperform。
CAPA→結果、タイムラインおよびクロージャの証拠(WORM)。
13)パートナーのオフボーディング
移行/交換計画、アーティファクトとキーの転送。
パートナーとサブプロセッサのデータ破壊を確認します。
アクセス/秘密を取り消し、統合チャネルを閉じます。
最終監査/レポートと証拠のアーカイブ。
14)メトリクスとKRI
リードタイムの初期登録(リスククラス別)
ベンダー証明書の鮮度(ターゲット:100%クリティカルパートナー)。
パートナーによるSLAコンプライアンスとインシデント率。
プライバシー/DSAR SLAおよび顧客の苦情。
チャージバック率/詐欺損失%(支払い役割用)。
CAPAオンタイムリピート調査結果。
ローカリゼーション/管轄ドリフト(ロケーション/サブプロセッサの一貫性のない変更)。
15)ダッシュボード
ベンダーのリスクヒートマップ:リスク率、証明書、インシデント、国。
コンプライアンスカバレッジ:DPA/SLAの可用性、監査権、保持/法的保持。
SLA&インシデント:稼働時間、TTR/MTTR、未接続インシデント。
プライバシー&DSAR:用語、ボリューム、苦情、トレンド。
支払い/詐欺:チャージバック率、理由、Win-Rateアピール。
CAPAと再監査:ステータス、遅延、繰り返しコメント。
16) SOP(標準的なプロシージャ)
SOP-1: パートナーのオンボーディング
DDアンケート→スクリーニング→それら/プライバシー/セキュリティ評価→リスクレポート→契約(MSA/DPA/SLA)→統合とロギングの設定→パイロット→Go-live。
SOP-2: パートナーの変更
変更通知(サブプロセッサ/ロケーション/アーキテクチャ)→リスクアセスメント→契約/ポリシー更新→テスト→Prod。
SOP-3: インシデント
シングルチャンネル→リーガルホールド→共同タイムライン/アーティファクト→通知→CAPA→再監査。
SOP-4: 定期的な改訂
年間/四半期のリスクサイクル→PBC→ToD/ToEサンプル→レポート/CAPA→メトリクス出版。
SOP-5: オフボーディング
移行計画→輸出・移転→破壊の確認→アクセスの取り消し→最終報告。
17)アーティファクトパターン
17.1ベンダーDDチェックリスト(スニペット)
(美咲)うん。データ/受益者;制裁スクリーニング
証明書/監査、セキュリティ/プライバシーポリシー
データの場所/サブプロセッサ/保持
24か月のインシデント、CAPA
それは……統合: SSO、ロギング、暗号化、Webhook
17.2 DPA/SLA-必須項目
データ処理、目的、法的根拠
インシデント通知のタイミング、レポートの形式
監査権、PBCフォーマット、データルーム
TTL/除去、法的保持、破壊の確認
サブプロセッサと承認命令
17.3証拠パック
アクセスログ/管理アクション(構造化、ハッシュレシート)
脆弱性/浸透/スキャンレポート
DSARレジストリ/削除/保持
SLA/インシデント/リカバリ (RTO/RPO)
契約/添加物の署名付きバージョン
18) Antipatterns
不透明なサブプロセッサ/データの場所。
「エンド・ツー・エンド」は再発行とログなしでアクセスします。
不変性とハッシュ確認なしの手動アップロード。
inauthentic/禁止された約束とのマーケティング。
オフボーディング時のデータ破壊の証拠はありません。
期限と補償措置のない永遠の免除。
19)成熟度モデル(M0-M4)
M0ヘルホック:ワンタイムチェック、パートナーによるリスクレジスタはありません。
M1ディレクトリ:パートナーのリスト、基本的なDD/契約。
M2 Managed:リスククラス、SLA/DPA、ダッシュボード、スケジュールされたリビジョン。
M3統合:ロギング/証拠バス、再監査、CAPAリンク、「監査対応」。
M4連続保証:リアルタイム監視、推奨チェック、PBC/証拠パッケージの自動生成。
20)関連するwiki記事
プロバイダを選択する際のデューデリジェンス
リスクのアウトソーシングと請負業者の管理
外部監査人による外部監査
証拠と文書の保管
ロギングと監査証跡
修復計画(CAPA)
再監査とフォローアップ
ポリシーとコンプライアンスリポジトリ
チーム内のコンプライアンスソリューションのコミュニケーション
合計
「パートナーコンプライアンスガイド」は、サプライチェーンを一様な要件、予測可能なチェック、不変のエビデンス、透明な取り決めというマネージドエコシステムに変えます。これにより、リスクを軽減し、統合を迅速化し、コラボレーションをスケーラブルかつ検証可能にします。