プロバイダを選択する際のデューデリジェンス

1）なぜデューデリジェンスプロバイダー

• 製品/国/データによって固有のリスクを特定します。
• 契約賞受賞前にコンプライアンスと安全性を確認します。
• 契約段階でSLA/SLOと監査権を記録します。
• データの整合性を維持しながら監視とオフボーディングを構成します。

2）いつ、何をカバーするか

ポイント：予備選択、ショートリスト、契約前、大幅な変更、年間レビュー。
適用範囲：法的地位、財務安定性、セキュリティ、プライバシー、技術的成熟度、運用/サポート、コンプライアンス（GDPR/PCI/AML/SOC 2など）、地理および制裁リスク、ESG/倫理、下請け業者。

3）役割とRACI

（R-責任がある；A-説明責任がある；C-コンサルティング；I-Informed）

4）スコアカード（私達が点検するもの）

4.1法務・企業情報

登録、受益者（KYB）、訴訟、制裁リスト。
規制されたサービスのライセンス/証明書。

4.2財務と持続可能性

監査された声明、債務負荷、主要な投資家/銀行。
単一のクライアント/地域依存性、継続性プラン（BCP）。

4.3セキュリティとプライバシー

ISMS（政治家、RACI）、外部テスト結果、脆弱性管理。
Encryption At Rest/In Transit、 KMS/HSM、秘密管理。
DLP/EDRM、ジャーナリング、リーガルホールド、保持および削除。
インシデント管理：SLA通知、プレイブック、死後。

4.4コンプライアンスと認証

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR（タイミングとスコープ）。
GDPR/local norms：役割（コントローラ/プロセッサ）、DPA、 SCC/BCR、 DPIA。
AML/制裁ループ（該当する場合）。

4.5技術的な成熟度と統合

アーキテクチャ（マルチテナンシー、アイソレーション、SLO、 DR/HA、 RTO/RPO）。
API/SDK、バージョン管理、レート制限、Observability （logs/metrics/trails）。
変更管理、リリース（青緑/カナリア）、下位互換性。

4.6オペレーションとサポート

24 × 7/Follow-the-sun、反応/短縮時間、オンコール。
オンボーディング/オフボーディング手順、ペナルティなしでデータをエクスポートします。

4.7サブプロセッサとサプライチェーン

下請け業者のリスト、管轄区域、その管理および変更通知。

4.8 倫理/ESG

腐敗防止政策、行動規範、労働慣行、報告。

5）デューデリジェンスプロセス（SOP）

1.開始：デマンドカード（目標、データ、管轄、重大性）。
2.資格：ショートアンケート（プリスクリーン）+制裁/ライセンスチェック。
3.ディープアセスメント：アンケート、アーティファクト（ポリシー、レポート、証明書）、インタビュー。
4.テクニカルチェック：セキュリティレビュー、環境デモ、ログ/メトリックの読み取り、PoC。
5.スコアリングとリスク：固有のリスク→制御プロファイル→残存リスク。
6.修正：契約前の用語/修正（期限付きのギャップリスト）。
7.DPA/SLA/監査 権/責任/IP/終了/終了計画。
8.オンボーディング：アクセス/SSO、データカタログ、統合、モニタリングプラン。
9.継続的監視：年間レビュー/トリガー（インシデント、サブプロセッサ変更）。
10.オフボーディング：エクスポート、削除/匿名化、アクセスの取り消し、破壊の確認。

6）プロバイダアンケート（質問の中核）

（美咲）うん。人、受益者、制裁チェック、3年間の紛争。
認証（SOC 2タイプ/期間、ISO、 PCI）、最新レポート/スコープ。
セキュリティポリシー、データインベントリ、分類、DLP/EDRM。
技術的な分離：テナント分離、ネットワークポリシー、暗号化、キー。
ログと監査：ストレージ、アクセス、WORM/不変性、 SIEM/SOAR。
24か月のインシデント：種類、インパクト、レッスン。
保持/削除/法的保持/DSARストリーム。
サブプロセッサ：リスト、国、機能、契約保証。
DR/BCP： RTO/RPO、最近のテスト結果。
サポート/SLA：反応/意思決定時間、エスカレーション、クレジットスキーマ。
終了計画：データのエクスポート、フォーマット、コスト。

7）採点モデル（例）

軸：法律/金融/セキュリティ/プライバシー/エンジニアリング/オペレーション/コンプライアンス/チェーン/ESG。
各軸のスコア1-5；サービスの重要性およびデータ型による重量。

• 'RR=Σ （weight_i × score_i）'→category： Low/Medium/High/Critical。

High/Critical：契約前の修正、強化されたSLA条件、および監視は必須です。
低/中：標準要件+年間改訂。

8）契約の必須規定（必須）

DPA：役割（コントローラ/プロセッサ）、目的、データカテゴリ、保持および削除、法的保持、DSAR支援。
クロスボーダー伝送用SCC/BCR（該当する場合）。
セキュリティ付録：暗号化、ログ、脆弱性/パッチ適用、侵入テスト、脆弱性の開示。
SLA/SLO：反応/除去時間（sevレベル）、クレジット/ペナルティ、可用性、RTO/RPO。
監査権利：監査/アンケート/証拠の権利。制御/サブプロセッサの変更の通知。
違反通知：通知の条件（例えば、24-72時間≤）、形式、調査への協力。
サブプロセッサ条項：リスト、通知/契約による変更、責任。
Exit&Data Return/Deletion：エクスポート形式、日付、破壊の確認、移行サポート。
責任/賠償：制限/例外（PI漏洩、ライセンス違反、規制上の罰金）。
IP/ライセンス-開発/構成/データ/メタデータの権利。

9）モニタリングとレビューのトリガー

証明書（SOC/ISO/PCI）の有効期限/更新、報告ステータスの変更。
サブプロセッサ/ストレージの場所/管轄の変更。
セキュリティインシデント/SLAの大幅な停止。
合併・買収、業績悪化。
分離/暗号化/アクセスに影響を与えるリリース。
規制の問い合わせ、調査結果の監査。

10）ベンダーのリスクMgmtメトリクスとダッシュボード

カバレッジDD：本格的なDDを通過した重要なプロバイダの％。
Time-to-Onboard：入札から契約までの中央値（リスクカテゴリ別）。
Open Gaps：プロバイダによるアクティブな修復（タイムライン/所有者）。
SLA違反率：時間/可用性によるSLA違反の割合。
インシデント率：プロバイダと重症度によってIncidents/12ヶ月。
Audit Evidence Readiness：最新のレポート/証明書の入手可能性。
サブプロセッサドリフト-予告なしに変更（ターゲット0）。

11）分類と検証レベル

12）チェックリスト

DDの開始

• 要件カードとサービスリスククラス。
• プリスクリーン：制裁、ライセンス、基本プロファイル。
• アンケート+アーティファクト（ポリシー、レポート、証明書）。
• セキュリティ/プライバシーレビュー+統合のためのPoC。
• 期限と所有者とのギャップリスト。
• 契約：DPA/SLA/監査権/責任/終了。
• 初期登録とモニタリングプラン（メトリック、アラート）。

年間レビュー

• 証明書とレポートを更新しました。
• サブプロセッサ/所在地/管轄区域がチェックされます。
• 修復状況、新たなリスク/インシデント。
• DR/BCPテストと結果。
• ドライラン監査：「ボタンで」証拠を収集します。

13）赤旗（赤旗）

SOC/ISO/PCIまたはレポートの材料セクションの提供を拒否する。
データ暗号化/ログ/削除のためのあいまいな答え。
DR/BCP計画がないか、テストされていません。
死後とレッスンのないクローズドインシデント。
保証なしでサブプロセッサ/海外への無制限のデータ転送。
PI漏洩に対する責任の積極的な制限。

14） Antipatterns

PoCと技術検証のない「紙」DD。
普遍的なリスクフリー/管轄チェックリスト。
DPA/SLA/監査権および終了計画のない契約。
プロバイダレジストリと変更監視の欠如。
「永遠に」発行されたアクセス/トークンは、ローテーションと再証明なし。

15）関連するwiki記事

コンプライアンスとレポート作成の自動化

コンプライアンス継続監視（CCM）

法的保留とデータの凍結

ポリシーとプロシージャのライフサイクル

KYC/KYBと制裁審査

データの保存と削除のスケジュール

継続計画（BCP）とDRP

［結果］

リスク指向のデューデリジェンスはダニではなく、管理されたプロセスです。正しい分類、重要な軸に沿った深い検証、明確な契約保証、継続的な監視です。だからサプライヤーはあなたのチェーンの信頼できる部分になり、あなたのビジネスを遅らせることなく、予測的に要件を満たします。