Banking and Financial Services Update

U.S. Office of the Comptroller of the Currency Updates Third-Party Relationships Risk Management Guidance

March 23, 2020

このSIDLEYアップデートは、COVID-19リスクから生じる問題を貴社が克服するための一助となるよう、米国と欧州における雇用とプライバシー法の観点から解説したものである。

新規コロナウイルス（COVID-19）は、従業員にとっても克服するのが困難な問題を示している。消費者支出を減少させ、サプライチェーンを混乱させることで産業を横断して従業員にとって重大な結果をもたらす。また、グローバル化した従業員の管理に大きな課題をもたらす。経営者は自己の責任を認識し、この大型化する問題に対処する行動計画を積極的に実施しなければならない。このような計画を立案し、従業員の業務に関する要求または義務に基づく休業もしくはその他の制限に対処することは、各国の法制度によって異なる可能性のある無数の雇用法の問題を顕在化させる。また、経営者は、従業員等の健康に関する情報や渡航情報の収集にあたり、プライバシーの問題に直面する可能性もある。経営者は、計画の策定にあたり、このような問題を総合的かつ調和のとれた形で検討したい。

雇用法の問題

経営者には、従業員に安全で健康的な職場環境を提供するという積極的な法的義務がある。現在のCOVID-19を取り巻く環境においては、主に次のような行動が含まれる。

・関連する公衆衛生ガイダンスと情報伝達手順の監視

経営者は、重要な推奨事項を従業員に確実に伝え、状況の変化とともに更新していく必要がある。公衆衛生当局は世界的に、職場での感染のリスクを最小限にとどめるためにとるべき措置に関する詳細な助言を公表している。これらには、手洗いと手指消毒剤の提供、病気の報告、高リスク地域の渡航の報告、特定の状況下での自己隔離の要件、家族や友人関係からの感染のリスクの報告が含まれる。たとえば米国であれば、疾病対策予防センター（CDC）および地方当局による公開情報について従業員に注意喚起することから始めるとよい。

・職場のリスク評価

リスク評価の対象には、（特に往来の多い場所の）清掃手順の見直し、仕事場の間隔、年齢や既往症等により高リスクの可能性がある従業員の保護、在宅勤務の実行可能性、罹患の疑いについての報告システムおよび従業員の隔離または帰宅の手順、（もしあれば）来客からの遮蔽、一般人と接触する従業員についてはその仕事場、高リスクの一般人への暴露の可能性、その他導入可能なすべての追加的防衛措置が含まれる。

・米国障害者法

従業員の障害認定に関して経営者の取るべき行為は、米国連邦障害者法だけでなく州の障害者法律にも関係する。一部の州では、経営者は一般的に従業員の診断について問い合わせることができない。経営者はこれらの法律の意味に注意する必要がある。一部の管轄区域では、経営者による医療情報を提供が制限されており、厳格に必須とは言えない医療情報の保有は、将来のビジネス上の問題を生じさせる可能性がある。

・出張ポリシーの確認

経営者は現在の出張基準を見直し、特に高リスク地域への出張の制限または禁止の必要性を再検討する必要がある。経営者は、出張の必要性を評価し、また、出張の多い従業員の場合には、追加的な予防措置を講じて適切に監視する必要がある。一部の出向または入国管理プログラムの見直しが必要な場合がある。また、海外出張を伴う場合は大規模な会議をキャンセルするのが賢明かもしれない。

・渡航制限問題の検討

大統領令および関連するCDC規則の下で、米国への渡航者は、ビザの拒否、強制的な検疫要求、および指定された米国の空港を経由した帰国要求の対象となる場合がある。状況の変化に応じて渡航制限が追加される可能性があり、経営者は、すべての従業員、特に外国人従業員に対して、立ち往生させる危険性のある高リスクの国に渡航させることに慎重でなければならない。経営者は、渡航先の渡航制限を確認するとともに、従業員がそれらの地域から米国に帰国した際に従うべき手順を慎重に検討する必要がある。一部の国では、従業員が米国に戻ることを禁止する渡航制限が実施されており、米国も含め各国は渡航制限ポリシーをいつでも更新できる。したがって、経営者と従業員の両方が、従業員が帰国時に追加の障害に直面した場合の準備をする必要がある。期限切れが迫ったビザの更新のため米国外へ渡航することを計画している従業員の場合、経営者は弁護士に相談して、ビザの更新申請のための渡航が本当に必須であるか確認する必要がある。渡航が避けられない場合は、従業員は、米国の近くの領事館に行くようにして、航空機での移動およびそのリスクを最小限にする必要がある。期限切れが迫る労働許可証を持つ従業員は、渡航する代わりに、米国市民権・移民局（USCIS）を通じて米国内で延長を申請できる場合がある。

・支払い義務を理解する

現在病気でなくてもCOVID-19に感染する（または感染した）リスクを高める個人的またはビジネス活動の結果として他人に感染させる可能性があるという理由で経営者から在宅を命令された従業員に対してその欠勤の間も給与を支払い続ける必要があるか否かは、管轄地の法律および経営者の病気その他の休業ポリシーに依存する。従業員が職場不在のすべての時間に対して支払いを求める強い権利を有していない場合でも、経営者は、これらの状況下で経営者がより柔軟に給与ポリシーを適用することを推奨する公衆衛生ガイダンスの適用がある場合があることを認識すべきである。経営者は、これらの問題への自身のアプローチについて、従業員に対してより詳細なガイダンスを提示することを望むかもしれない。

・差別の回避

経営者は、従業員が、自身またはその家族の病気により、もしくは自身が開示した健康情報により、不利益を被ることのないように対策を講じることを確実にする必要がある。場所、病気または障害に対する差別に反対する法律は多くの管轄区域で存在し、経営者は彼らがこれらの義務を周知されていることを確認する必要がある。特定の従業員に対する待遇の違い（例えば、移動、休暇、または給与ポリシーなど）は、ビジネスに関する理由のみに基づかなければならない。規則を一貫して適用することが重要だ。

・ポリシーおよび手順の継続的確認

COVID-19を取り巻く状況は急速に変化している。多くの管轄区では今のところ個人がCOVID-19に感染するリスクは低く、多くの当局は、大規模在宅勤務や職場の閉鎖といったより抜本的な行動が必要になる可能性は低いと助言している。それでも、経営者は、このような不測の事態が現実になった場合の自身のアプローチを検討したいと思うかもしれない。こういった行動には、事業の関連部分の業務の評価、有給または無給の休暇に対する長期的アプローチの再確認、および/または従業員の一時帰休・レイオフの必要性と管轄区での関連費用等を含むかもしれない。

データ保護とプライバシー法の問題

COVID-19への対応により、欧州および米国の多くのデータプライバシーとデータ保護の懸念が生ずる。主な考慮事項は次のとおり。

・データの収集と使用の制限

企業は、COVID-19リスクに対処するために新しい情報収集および分析活動を検討する。このため、特定のデータ源またはデータ類型からの収集および使用に関する適用される法律、規制および契約上の制限を検討しなければならない。また、COVID-19に対する行動計画の不可欠な一部として、このようなデータの収集と使用に関連するビジネスのリスクを軽減する最善の方法を検討する必要がある。

・既存のプライバシーポリシーと通知の十分性

企業は、既存のプライバシーポリシーと通知が、従業員、訪問者、顧客その他のデータ主体からのCOVID-19対応を目的として収集されたデータおよび当該データの処理を対象とするのに十分かどうかを検討する。

・処理の法的根拠

欧州のプライバシー法の観点から、経営者は、欧州連合（EU）の一般データ保護規則（GPDR）の適用ならびにEU各国および英国の法律を検討し、従業員、訪問者、顧客の個人データ、特に健康データを処理するGDPR下での法的根拠を確定する必要がある。GDPRの観点からは、（健康データを処理する場合）経営者は一般に従業員の同意のみに頼ることはできないが、正当な利益、法的義務、雇用法の根拠を含むその他のGDPRで認められる根拠の組み合わせによって可能となる場合がある。これらの根拠の有効性やその他の要件は、欧州各国によって異なる場合がある。

・情報取り扱い手順

上記のデータ関連リスクの一部を軽減するために、企業は、COVID-19対応活動の一環として収集された情報、特に健康その他の機微情報に関連する情報を収集、使用、保護、保持および共有する場合の慎重な手順を確立したいかもしれない。企業は、特に健康データの潜在的な機微情報性に鑑み、適切な情報セキュリティ対策、データの最小化およびデータの法定保持期限等のGDPRおよび他の法的要件を検討すべきである。（例えば、制限された国または地域を訪問してないことが証明された個人に関するデータの取り扱い等）

・国際データ転送

欧州および英国の企業は、COVID-19対応の目的で処理された従業員、訪問者または顧客データが、企業またはEU地域または英国外の受託業者によって転送されるか否かを検討しなければならない。そのようなデータが転送される場合、適切なGDPRデータ転送メカニズムの下で、想定される転送は対象となっているか？

・プライバシー影響評価

特にGDPRの対象となる企業は、COVID-19対応のために必要な新しいデータ関連の活動の実施にあたり、データプライバシーへの影響評価が必要か（または推奨されているか）を検討する必要がある。

Reaffirming the Broad Scope of Third-Party Risk Management Obligations (FAQ #2)

The Bulletin broadly defined covered third-party relationships as “any business arrangement between a bank and another entity, by contract or otherwise” and subjected those third-party relationships that involve “critical activities” to more robust due diligence, monitoring and management requirements. In an unhelpful tautology, the FAQs indicate that the term “business arrangement” is meant to be synonymous with the term “third-party relationship.” However, the FAQs do provide some further description of the wide-ranging intent of this reference. Critically, the FAQs make clear that the traditional terms “vendors” — described as individuals or companies offering something for sale — and “outsourcing” of bank functions or tasks to other entities are mere subsets of the universe of business relationships. In fact, neither a written contract nor monetary exchange between the bank and a third party is required to establish a business relationship.

Moreover, after reiterating the original examples of third-party arrangements from the Bulletin (“activities that involve outsourced products and services, use of independent consultants, networking arrangements, merchant payment processing, services provided by affiliates and subsidiaries, joint ventures, and other business arrangements in which the bank has an ongoing relationship or may have responsibility for the associated records”), the OCC provides additional examples to help elucidate both the scope of coverage of the Bulletin and the relative risk levels associated with different types of arrangements:

Referral arrangements: Where a bank refers leads to another party for any compensation, including cross-marketing, the bank has a business arrangement with the party receiving the referrals.
Appraisers and appraisal management companies: A bank establishes business relationships when entering into agreements with individual appraisers as well as with appraisal management companies when the process of engaging real estate appraisers is outsourced to such entities.
Professional service providers: Banks receiving services from law firms, consultants, audit firms etc. have business relationships with these providers.
Maintenance, catering and custodial service companies: Any entity that a bank or a line of business uses to provide a product or service either to the bank or to the bank’s customers establishes a business relationship.

The FAQs reiterate that while “OCC expects banks to perform due diligence and ongoing monitoring for all third-party relationships,” bank management should perform its due diligence, contract negotiation and ongoing monitoring responsibilities “consistent with the level of risk and complexity posed by each third-party relationship.” In short, catering contracts do not require the same review as core system outsourcing agreements.

Coverage of Relationships With Cloud Computing Providers (FAQ #3)

Mirroring the approach taken with other bank-financial technology (fintech) relationships, the OCC clarifies that risk management for cloud computing services is “fundamentally the same” as any other third-party relationship where the level of diligence and oversight should be commensurate with the risks associated with the particular cloud computing platform and the data to be housed or processed on that platform. In a reference likely driven by a reported cloud-based data security incident at Capital One, the OCC cautions banks to document the allocation of responsibility for security-related control settings between the bank and the third party, while noting that the bank retains ultimate responsibility for the effectiveness of the control environment.

Coverage of Relationships With Data Aggregators (FAQ #4)

The FAQs discuss different types of interactions banks may have with data aggregators and the associated third-party risk management expectations based on the nature of such relationships. “Data aggregators” are defined as “entities that access, aggregate, share, or store consumer financial account and transaction data that they acquire through connections” which are “often intermediaries between the financial technology (fintech) applications that consumers use to access their data and the sources of data at financial services companies.”

The FAQs divide bank relationships with data aggregators into three types, only two of which involve “business arrangements.” The most significant level involvement arises when a bank contracts to use the services of a data aggregator to populate information into bank products and services. Such relationships involve the full panoply of risks and oversight obligations addressed in the Bulletin.

The second involves circumstances where banks affirmatively share customer-permissioned data with data aggregators, such as through an application programming interface (API), but often without any direct benefit to the bank. Any such agreement, including the use of APIs, constitutes a business arrangement, and therefore the bank’s level of due diligence and ongoing monitoring should be commensurate with the risk, particularly the potential for exposure of sensitive customer information.

At the other end of the spectrum is screen scraping, a “common method” whereby the data aggregator uses customer-provided credentials to access bank data without any contractual arrangement between the data aggregator and the bank. While screen scraping will typically fail to even constitute a business relationship governed by the Bulletin, the OCC nonetheless places at least some of the risk management responsibility on the bank when it knows screen scraping is occurring. Because screen scraping may “pose operational and reputation risks,” banks must take action to manage the safety and soundness concerns by identifying large-scale screen scraping activities, taking reasonable steps to identify the source of such activities, conducting appropriate diligence when sources are identified and taking steps, including monitoring, to attempt to obtain comfort as to the security practices of the identified aggregators.

Risk Management in the Face of Limited Negotiating Power (FAQ #5)

For the first time, the OCC acknowledges in the FAQs that there are scenarios where banks have limited negotiating power to obtain certain information or make changes to standard contracts from certain third parties. Where “bank management is limited in its ability to conduct the type of due diligence, contract negotiation, and ongoing monitoring that it normally would,” banks must take “appropriate actions” to mitigate risk under the circumstances. Such steps may include assessing whether such limited negotiating power is within the bank’s risk appetite, finding alternative information sources, establishing contingencies for delivery disruptions, analyzing and documenting why the third party is nonetheless the most appropriate entity available to the bank, and confirming noncustomized contracts nonetheless meet bank needs.

Bank Responsibilities With Respect to Subcontractors (FAQ #11)

The FAQs expand on the Bulletin’s guidance related to subcontractors or so-called “fourth party providers.” Banks must identify which of their third parties use subcontractors and should (i) evaluate the volume and types of subcontracted activities and subcontractors’ geographic locations, (ii) determine each third party’s ability to identify and control risks from its use of subcontractors, (iii) contractually require notification of intent to use a subcontractor and (iv) specify the third party’s reporting obligations with respect to subcontractor legal and contractual compliance. In particular, banks often have third-party relationships with entities that in turn contract with cloud computing service providers. Bank management is specifically cautioned to approach diligence in this regard as it does subcontractor relationships generally — ultimately seeking to confirm the third party’s ability to oversee and monitor its cloud subcontractor.

Reliance on Third Party Reports, Certificates of Compliance and Audits (FAQs #14 & 25)

Consistent with discretion provided to banks in existing guidance, the FAQs allow banks to rely on reports, certificates of compliance and independent audits provided by entities with which it has a third-party relationship in conducting diligence and monitoring. For example, System and Organization Controls reports may be used for confirming that a third party can adequately oversee its cloud service subcontractor. In all cases, however, the bank remains responsible for determining whether the scope and detail of the relevant reports are sufficient to properly assess the third party’s control structure. The OCC also specifies that banks may rely on compliance disclosures published by financial market utilities consistent with international Principles for Financial Market Infrastructures. Banks may also rely on pooled audit reports created specifically for a customer group of a particular service provider. Similarly, banks may use third-party assessment service companies formed to provide more efficient due diligence and ongoing monitoring in connection with a third-party relationship. Because these “utilities” often rely on standardized practices and questionnaires, however, banks are responsible for evaluating whether the standardized product is appropriate for their circumstances, particularly when the underlying service is critical to bank operations.

Risk Management in Connection With Third-Party Involvement in Risk Models (FAQ #22)

When a bank uses a third-party model or uses a third party to assist with model risk management, those models should be incorporated into the bank’s third-party risk management and model risk management processes. Third parties may be employed to assist banks conduct model validation and compliance and to support internal audits. The FAQs clarify that the bank should conduct due diligence on the third-party relationship as well as on the model itself. Any bank customization of third-party models should be documented and justified as part of the model’s validation. Banks should have a contingency plan for instances when the third-party model is no longer available or cannot be supported by the third party. Independent certifications or validation reports of third-party models provided by the third party to the bank should be detailed, outlining key assumptions and limitations and “should not be taken at face value.”

Board Involvement in Approval of Contracts for Critical Activities (FAQ #26)

The Bulletin states that a bank’s board of directors should approve contracts with third parties involving critical activities. The FAQs clarify that this statement is not intended to mandate board involvement on the negotiation of each individual contract but rather to indicate that the board should receive sufficient information to understand the bank’s overall strategy for using third parties along with the significant “dependencies, costs, and limitations” the bank has with such third parties. Boards may rely on executive summaries of contracts and/or delegate actual approval of contracts with third parties involving critical activities to committees or senior management.

Additional New Topics

The new FAQs also address the following:

guidance on determining which third-party relationships involve critical activities (#8)
how banks should determine the risks associated with third-party relationships (#9)
guidance on the level of diligence to apply to certain third parties such as fintechs, startups and small businesses that may have limited capacity to satisfy bank informational and diligence demands (#17)
how banks should handle third-party risk management when obtaining alternative data from a third party (#27)

¹ Office of the Comptroller of the Currency, Third-Party Relationships: Frequently Asked Questions to Supplement OCC Bulletin 2013-29 (March 5, 2020), available at https://www.occ.treas.gov/news-issuances/bulletins/2020/bulletin-2020-10.html.

² Office of the Comptroller of the Currency, OCC Bulletin 2013-29 (Oct. 30, 2013), available at https://www.occ.gov/news-issuances/bulletins/2013/bulletin-2013-29.html.

³ See Office of the Comptroller of the Currency, Frequently Asked Questions to Supplement OCC Bulletin 2013-29 (June 7, 2017). For further information on the Prior FAQs, see Sidley’s earlier client alert available at https://www.sidley.com/en/insights/newsupdates/2017/06/occ-issues-third-party-relationship-faqs. Each of the Prior FAQs is included without revision in the FAQs, with its Prior FAQ number provided for reference. The lone exception is FAQ number 24 (Prior FAQ number 14), which was updated to reflect current American Institute of Certified Public Accountants Service Organization Control report information.

Attorney Advertising—Sidley Austin LLP is a global law firm. Our addresses and contact information can be found at www.sidley.com/en/locations/offices.

Sidley provides this information as a service to clients and other friends for educational purposes only. It should not be construed or relied on as legal advice or to create a lawyer-client relationship. Readers should not act upon this information without seeking advice from professional advisers. Sidley and Sidley Austin refer to Sidley Austin LLP and affiliated partnerships as explained at www.sidley.com/disclaimer.