CSDDDに関する日本企業の課題意識調査 “やっている”から“できている”へ──問われる人権対応の真価
2024年7月に発効したEUのコーポレート・サステナビリティ・デューディリジェンス指令(CSDDD)は、適用対象企業に人権および環境デューディリジェンスの実施や開示などを義務付けるものです。日本企業の人権尊重への取り組みCSDDDへの対応状況、克服すべき課題を調査しました。
はじめに
企業におけるオペレーショナルリスクの管理は、これまでもBCP(事業継続計画)の策定などの形で進められてきました。しかし、昨今のビジネスは多くの要素が複雑に絡み合い、社内外数多くの関係者の協働によって成り立っています。また、全てのビジネスはデジタルテクノロジーの活用を前提として進められており、デジタル環境を前提にした再起力を高める視点が不可欠です。
そこで、新たな時代の事業リスク管理の方法論として、「デジタル・オペレーショナル・レジリエンス」が求められています。本稿では、企業がデジタル・オペレーショナル・レジリエンスを強化するうえで、実践的なポイントを解説いたします。
デジタル時代の事業維持を揺るがす社内外の問題点
企業の活動は、外部からの脅威や破壊行為に常に晒されており、そうした行為によって、業務が中断し、サービスが停止に追い込まれることもしばしば起こっています。それに伴い、事業継続に対する取り組みの一環として、「『オペレーショナル・レジリエンス』の考え方」が注目を集めています。
日本でも、金融庁が金融業界向けに「オペレーショナル・レジリエンス」確保に向けた基本的な考え方」を提示し、さらに重要インフラの安定的な役務提供を目的とした「経済安全保障推進法」が施行されたことで、リスク対策への関心が高まっています。
攻撃や障害によって、企業が事業停止に至るダメージを受ける場合、その内容はよく知られたものであることがほとんどです。しかし、企業を取り巻くバリューチェーンが急速に複雑化したことが原因で、早期の解決を困難にしています。
近年では、生成AIなど新しい技術の台頭によって、企業はオペレーションへの実装を急いでいます。しかし、AIなどのエマージングテクノロジーへの対処はグローバルで統一的な見解が定まっておらず、各国、地域により対応が異なっています。グローバルに事業を展開する企業にとって、各地の法令や規制に準拠しながらデジタルテクノロジーを活用していくことは、新たなリスク要因になりつつあります。
例えば、AIが生成した結果に何かしらのバイアスが加えられた場合、国内市場においてはレピュテーションの低下により事業への影響は避けられません。一方、海外の場合は事情が異なり、EUでは金融業界について「Digital Operational Resilience Act」が制定され、制裁金などの厳しい処罰が課せられます。
今後は各国で、関連法の整備が進むことが見込まれます。企業は、拠点ごとにリスクマネジメントの方針を変えなければいけないことを念頭に置き、包括的なリスク対応力を身に付けることが求められています。
一方、社内に目を移すと、このように複雑なリスク環境に迅速に対応できる組織体系にはなっていない企業がほとんどです。法務、情報システム、セキュリティなどのコーポレート部門が縦割りに配置されており、部門を横断した全社的な問題に対して、誰が対応すればいいのか不明なため放置されてしまい、結果的に対応が後手に回ることも少なくありません。
オペレーショナルリスクの重要度は企業ごとに異なる
デジタルトランスフォーメーション(DX)がオペレーションに与えるリスクも増加しています。
かつての情報システムは、自社のデータセンターでシステムが稼働しており、システムは1カ所に置かれていることが多く、状態を確認することも比較的容易でした。
しかし現在、企業はビジネスの俊敏性、効率性や拡張性を重視してシステムをクラウドネイティブに移行しており、基本的にシステムが稼働するインフラはクラウド事業者が管理しています。この状況が、ビジネスの持続性の確認を複雑にしています。
こうした課題に対して、企業は限られたリソースを有効に活用しながらレジリエンスを強化しなければいけません。総花的な対策ではなく、重要度の優先順位を付け、対象を絞った対策を行うことが求められます。
レジリエンスにかかわる重要度は、企業ごとに大きく異なります。例えばBtoC企業では、顧客向けサービスにかかわるシステムの持続性や、個人情報の保護が最も重要な領域になります。さらに金融業では、顧客の資産が引き出せなくなることは業法で禁じられており、出金システムを止めることは許されません。
さらに、BtoB企業や社会インフラを担うサービスを提供する企業では、それぞれに重要な対応領域が異なります。そのため、企業はリスク管理の専門家との協議によって、事業ごとに影響度をスコアリングするなど重要度の判定を行って、対策の優先順位を決めていく必要があります。
レジリエンス強化の第一歩は、事業の可視化から
では、デジタル・オペレーショナル・レジリエンスを強化するためには、企業はどのような手順で進めていけばよいでしょうか。PwCでは、4つのステップを推奨しています。以下、順に紹介いたします。
最初のステップは、自社の事業状況の可視化です。デジタル要素が加わり、複雑化したバリューチェーンの全体像を把握するために、各事業で利用しているツール、クラウドサービスなどデジタル環境の棚卸しを実施します。
もちろん、事業環境の可視化は、自社だけでは意味がありません。グループ企業をはじめ取引先のサプライチェーン全体について把握することが求められます。昨今のインシデントに関するメディアの報道でも明らかなように、例えば2次請け、3次請けの委託事業者でインシデントが起きたときでも、一義的にはサプライチェーンの頂点に立つ企業に責任が生じます。そのため、いわゆるエンド・ツー・エンドでオペレーションのプロセスを可視化し、管理することが必要です。
取引先の業務状況を把握するために、一般的には定期的なアンケートなどを行って事業の調査を行うことが多いと思います。その際、回答することが目的化してしまい、実態を正確に表しているか分からないケースも生じます。そうならないように、抜き打ちの実査も同時に行うことで、調査全体に統制をかけることができます。
ステップの2つ目は、デジタル環境が複雑化する前には機能していた縦割り組織の再構築を検討します。前述のように複雑化したオペレーションの管理には、旧来の役割を超えた協働態勢が必要です。
組織を改編することは大きな決断が必要ですが、実践している例もあります。ある企業では、デジタル・オペレーショナル・レジリエンスの抜本的な強化を目的に、経営トップが主導して全社的な組織変革に着手しました。旧来の組織の壁を壊し、CRO(チーフリスクオフィサー)の直下に各部門のセキュリティや法務、データガバナンス等の担当者を配置しました。こうすることで、オペレーショナルリスクに関するマネジメントラインの全体整合を整えることができました。
この結果、例えば生成AIといった新たなリスク要因が登場した際も、生成AIにかかわるチームのガバナンスを即座に整備することが可能になりました。それによって、縦割り組織の問題を排除し、インシデント発生時も責任者不在の事態を回避することに成功しています。
未知のリスクを前提にレジリエンスを強化する
ステップの3つ目は、既存のリスク管理の枠組みを超えたレジリエンス機能の実装です。従来、多くの企業が取り組んできたサイバーセキュリティ、BCPなどの個別の取り組みを活用し、AIなどエマージングテクノロジーの将来想定に基づいたリスク計測、各国のプライバシー、データ規制などの法規制状況に対応した委託先の選定と管理などを加え、包括的な事業継続のための取り組みを行います。
コスト的に導入可能であれば、ITの構成管理ツールなども活用し、ビジネスとシステムの関係を明らかにしながら、全社的なデジタル・オペレーショナル・レジリエンスを高める対策を検討します。
一例として、近年はクラウドサービスを利用するビジネスが一般的になっていますが、万一クラウドサービスに障害が発生し、ユーザー企業の事業や顧客サービスに影響が出た場合も、ただ復旧を待つだけというわけにはいきません。クラウド利用を判断した当事者として、ステークホルダーへの説明責任を果たすために、バックアッププロセスを検討しておく必要があります。
最後のステップは、訓練です。これもBCPの中で実施するケースがありましたが、単なる読み合わせを行うような形式ではなく、緊張感を伴ったシナリオを設定し、現場の対応力を養う訓練を実施する必要があります。
また、訓練時のシナリオには変化を持たせつつ、かつバランスの取れた内容にすることが重要です。
多段的、同時多発的なケースを想定しても、結局のところ全てのシナリオを網羅的に洗い出し、訓練できるわけではありません。そのため、過度に複雑なシナリオを作ることを目的とする必要はありません。また、最悪の事態を想定したハイリスクのシナリオでのみ訓練を行えば良いという意見を聞きますが、その場合は、逆にミドルリスク、ローリスク時の対応が、組織として共有できなくなることにも注意します。
訓練によって確認したい最も重要な情報は、インシデント発生時の組織内の各社員の役割の変化です。そこを意識して、有事の際に自分の権限がどう変化し、どこまでが自分の裁量で、どこから上司への確認が必要になるのか。それを確認しておくことが、有事対応力の強化につながります。
ここで紹介した4つのステップを実行することで、デジタル・オペレーショナル・レジリエンスの強化を図ることが可能になります。
今、求められるデジタル・オペレーショナル・レジリエンス
- 自社を取り巻くデジタル環境の可視化
自社環境だけでなく、クラウドや外部サービスとの連携を含め全体像を可視化し、ガバナンスを強化する - 社内横断的な体制構築
Digital Operational Resilienceの機能/役割を見直し、体制を再構築する - Resilienceを構成する機能の強化
これまでの取組みを見直し、冗長な部分を最適化する、不十分な部分を強化する等、管理機能を強化する - Digital Operational Resilience強化の確認
アップデートされた[1~3]の実効性を確保するために、統合的なシナリオに基づく訓練/演習を実施する
まとめ
日々刻々変化する事業環境に対応し、デジタル・オペレーショナル・レジリエンスを強化することはますます重要度を増しています。ただし、全ての企業に対して「これをすればOK」という画一的なアプローチがあるわけではありません。事業内容や企業規模、予算などの条件により、対処方法はそれぞれ異なります。
しかし、いずれの場合でも、今回ご説明したとおり、まずは自社のオペレーションを可視化し、想定されるリスクに対する分析をしっかり行う必要があります。現状把握がなければ、有効な対策はとれません。
そして繰り返しになりますが、レジリエンス強化のための対策は、全てを一度に行う必要はありません。現状の可視化から導かれたレジリエンスの弱点を、緊急度の高い部分から補っていくことが重要です。優先順位を決め、一つずつ対策のピースを埋めていくことで、最終的に有事に強いレジリンスを備えた企業に生まれ変わることができます。
インサイト/ニュース
20 results
Loading...
サプライチェーンのレジリエンスを高めるKPI管理の重要性
現在のビジネス環境は、消費者ニーズの多様化やグローバル競争の激化に加え、気候変動や地政学的リスクなどの外部環境の急速な変化が企業の事業ポートフォリオに影響を与えており、予測の不確実性を前提にした柔軟な対応策が不可欠です。その対策として、KPI管理の高度化に向けた取り組みについて解説します。
欧州で製品を販売する企業や輸出企業は早めの対応を 包装および包装廃棄物規制(PPWR)にどう備えるべきか?
EUで2025年1月に公布された「包装および包装廃棄物規制(PPWR)」の内容およびタイムラインと、日本企業が対応すべきポイント、PwCコンサルティングによる支援サービスについて解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
Loading...
執筆者
橋本 哲哉
ディレクター, PwCコンサルティング合同会社
