ERM(Enterprise Risk Management:全社的リスクマネジメント)を導入した企業様から、非常に多くのご相談が寄せられます。
その中でも特によくあるのが、
「リスクカタログ(リスク一覧)は最初に作ったものの、その後ほとんど更新できていない」
というお悩みです。
詳しく状況を伺うと、次のような“形骸化”に陥っているケースが少なくありません
• 「毎年、同じリスクばかりで見直しがされていない」
• 「現場がリスク管理表の提出を“やらされ仕事”と感じている」
これは、多くの企業で実際によく見られる状況です。
企業を取り巻く外部環境や内部環境は、事業を継続する中で常に変化しています。
当然、それに伴って企業が抱えるリスクも変化していきます。
そのため、リスクカタログは少なくとも年1回は見直しを行い、現在の事業環境に合った内容へ更新していくことが望ましいでしょう。
■リスクカタログの見直しについて
一般的には、リスク主管部門が中心となり、以下のような観点から、新たなリスクの追加や重要度の変化を確認していきます。
• 社会環境・国際情勢の変化
• 法規制の改正・新設
• 技術革新(AIやITインフラなど)
• 自社の事業戦略・中期経営計画の変更
• 過去1年間に自社や同業他社で発生したインシデント
では、実際にどのようなリスクが、近年新たに追加・見直し対象となっているのでしょうか。
ここでは、多くの企業で注目度が高まっている代表的な5つのリスクをご紹介します。
■見直し対象になりやすいリスク例5選
1.地政学・地経学リスク
国際情勢の不安定化や経済安全保障政策の強化により、以下のような事態が現実的な経営リスクとなっています。
• 原材料調達の突然の停止やサプライチェーンの寸断
• 輸出入規制の強化
• 海外子会社や現地従業員への影響
以前は「海外事業部だけの問題」と捉えられがちでしたが、現在では国内中心の企業であっても、サプライチェーンを通じて大きな影響を受ける時代になっています。
2.フェイクニュース・SNS炎上リスク
SNSの普及により、誤情報や切り取られた情報が瞬時に拡散される時代になりました。
事実確認が行われる前に企業イメージが毀損されるケースも増えており、以下のようなリスクが現実化しています。
• 従業員による不適切投稿
• 顧客クレームの拡散
• 生成AI(ディープフェイク)による偽画像・偽動画の流出
平時から、迅速に対応できる広報・危機管理体制を整備しておくことが重要です。
3.生成AIのガバナンス・利用リスク
生成AIの業務利用は急速に一般化しました。
それに伴い、議論の中心は「使うべきか」ではなく、「どう統制(ガバナンス)するか」へ移っています。
• 機密情報や個人情報の誤入力による漏えい
• 著作権・商標権侵害のリスク
• AIの誤回答(ハルシネーション)をそのまま利用したことによる信用失墜
特に近年は、ルール整備だけでなく、「現場で実際にどう使われているか」を把握する運用面の管理も重要になっています。
4.サイバー攻撃の高度化リスク
ランサムウェアや標的型攻撃は年々巧妙化しています。
最近では、自社のセキュリティ対策が強固でも、別ルートから侵入されるケースが増えています。
• サプライチェーン(取引先など)経由の侵入
• VPNなどネットワーク機器の脆弱性を狙った攻撃
• 業務委託先からの情報漏えい
もはやIT部門だけで完結する問題ではなく、BCP(事業継続計画)とも連動した「経営インシデント」として捉える必要があります。
5.ESG・サステナビリティ対応リスク
投資家や取引先、さらには消費者からも、企業の社会的責任に対する目線は年々厳しくなっています。
• サプライチェーン等における人権尊重
• CO₂削減や脱炭素への具体的な取り組み
• サステナビリティ情報開示への対応
現在では、「対応しないこと」そのものがリスクになりつつあります。
対応の遅れが、融資停止や取引機会の喪失、採用難などに直結するケースも出始めています。
■まとめ
リスクカタログの更新で最も重要なのは、チェック項目を増やすことではありません。
• 「去年と比べて、何が変わったのか」
• 「新しい事業や挑戦に対して、新たな脅威はないか」
• 「対策が進み、重要度が下がったリスクはないか」
こうした“変化”を議論すること自体に、大きな価値があります。
ERMは、単にリスク一覧表を綺麗に整える活動ではありません。
リスクマネジメントに関わる一人ひとりが高いアンテナを持ち、環境変化や兆候に敏感になること。
そして、その気づきを組織全体で共有し、経営判断につなげていくことこそが、ERMの本質ではないでしょうか。
