このニュースレターは2021年9月13日、2022年1月25日、2022年10月27日、2024年5月24日に開催された(株)東京商工リサーチ及びコンプライアンス・データラボ(株)の共催セミナー(ウェビナー)にお申し込みいただいたお客様、Webサイトより購読申し込みをされたお客様にお送りしています。配信停止をご希望のお客様は、お手数ですが本メールの末尾のリンクよりお手続きをお願いいたします。
平素よりお世話になっております。「CDLブログ第42号」をお届けします。「CDLブログ」では、コンプライアンス・データラボ代表取締役の山崎博史を含む国内外のコンプライアンス専門家とブログ編集部が、お客様のコンプライアンス管理にまつわる国内外の最新情報や解説記事を執筆して毎週金曜日にお客様へお届けします。
近年、脱炭素・カーボンニュートラルに関する取組や人権尊重、労働環境の整備、国際情勢を背景とした輸出入規制など、企業に求められる社会的対応が多様化する中で、企業を取り巻くサプライチェーンは複雑かつ強固な関係性を構築しており、1つのサプライヤーで発生したリスクがネットワーク全体に波及するリスクは年々高まっています。
本日は、企業を取り巻くサプライチェーンのリスク管理において重要となる「TPRM(サードパーティ・リスクマネジメント)」について解説します。
TPRM(サードパーティ・リスクマネジメント)とは、企業がサードパーティとの関係や契約内容を管理し、リスクを把握/軽減するためのプロセスと方法です。ここでいうサードパーティには、仕入先/販売先、製造委託先、ITベンダー、販売代理店等のあらゆる関係者が含まれます。サードパーティとの関係性においてはサイバーセキュリティ、コンプライアンス、人権問題等のあらゆるリスクが内包されています。これらのリスクを有効に管理することがTPRMの目的です。
SCRM(サプライチェーン・リスクマネジメント)は仕入先と販売先のみのリスクマネジメントとなってしまうため、あらゆる関係者が含まれたTPRMについて本ブログでは言及します。
まず、日本企業においても馴染みのある規制としては「OFAC規制」が挙げられます。OFAC規制とは、米国財務省外国資産管理室(OFAC:Office of Foreign Assets Control)が執行を担う“経済制裁”であり、日本企業にも域外適用が為される場合があることから、海外取引の場面で日本の金融機関から送金をする際に、当該取引の“当事者”や“関係地”に制裁国の「関係者」が含まれていないことの確認をする必要があります。
ここでいう「関係者」には、経済制裁対象者が50%以上、直接もしくは間接的に出資する団体等も含みます(50%ルール)。実際に、米国の化粧品企業が、中国の調達先から輸入したつけまつげセットに北朝鮮産の原材料が含まれることを見落としていたとして、約100万ドルの制裁金を支払ったという事例があります。
米国連邦法では、反贈収賄規定及び会計規定から構成されるFCPA(Foreign Corrupt Practices Act、海外腐敗行為防止法)を定めています。これは「自社の商売獲得のため、外国公務員に対して賄賂の提供、約束する行為」を禁止しており、米国連邦法ではあるものの、日本企業・日本人を含む外国法人・外国人に対しても域外適用されることがあります。実際に、日本企業からナイジェリアの公務員に対して贈賄があったとして、数億ドルもの罰金が課された事例があります。(ナイジェリアLNG事件)
日本国内において、現状サードパーティ管理に係る法的な規制は見受けられませんが、経済産業省は2022年9月に「責任あるサプライチェーン等における人権尊重のためのガイドライン」を公開しています。本ガイドラインは、国連指導原則、OECD 多国籍企業行動指針及び ILO 多国籍企業宣言をはじめとする国際スタンダードを踏まえて、日本で事業活動を行う企業の実態に即して、企業に求められる人権尊重の取組について、具体的かつわかりやすく解説し、企業の理解の深化を助け、その取組を促進することを目的として策定されました。以下に、本ガイドラインにおいて土台となる主な考え方を示します。
上記は人権尊重をテーマにしたガイドラインですが、今度は経済制裁対象国との取引や違法野生動物取引、環境保護などあらゆる観点におけるクリーンなサプライチェーン構築への期待は国際社会において高まっており、企業は包括的なリスクマネジメントが必要となると考えられます。
また、下表のとおり諸外国では人権デューデリジェンスに関する法令化の動きが盛んであり、日本においても今後法整備される見通しです。
|
国・地域 |
法律名 |
対象企業 |
業務内容 |
|
アメリカ・カリフォルニア州 |
サプライチェーン透明法 |
州内で事業を行う、年間総収入が1億ドル以上の小売企業、製造業者 |
自社のサプライチェーンから奴隷労働・人身取引を根絶するための取り組みについて情報開示を義務付け |
|
EU |
デューデリジェンス関連の規制 |
従業員250人以上の大企業および、中小企業を含む全ての上場企業 |
人権に対するリスク管理体制の確立やリスク分析の実施、人権報告書の作成・公表を義務付け |
|
ドイツ |
サプライチェーン法 |
従業員数が1,000人以上 |
一次サプライヤーにおいて発生するリスク等に関して、リスクの査定や予防措置の実施および開示を義務付け |
|
日本 |
- |
- |
(企業向けガイドラインを策定しており、今後の法整備を検討中) |
(備考)JETROおよび報道資料よりCDL作成。
その他、法規制やガイドラインでありませんが、マネーロンダリングの手口として環境犯罪、違法野生生物取引が行われる場合があり、FATFは各国に向けた提言や疑わしい取引を特定するための有効な事例などを取りまとめたレポートを公表しています。
・Money Laundering from Environmental Crime
- FATFによる環境犯罪におけるマネーロンダリング記事
・Money Laundering and the Illegal Wildlife Trade
- FATFによる違法野生生物取引におけるマネーロンダリング記事
日本企業においても今後の国内政策の動向を探るうえで、こうしたレポートを参照し、自社の体制整備を振り返ることが重要です。
一般的にTPRMで行われる取り組みは、次の4つのプロセスで構成されます。自社のリソースには限りがあるため、全てのサードパーティに対して一律の管理を行うのではなく、リスクが高いサードパーティに対して重点的にリソースを配分し、リスクの評価と管理を行うことが重要です。(リスクベース・アプローチ)
まず、自社のサプライチェーン全体を見渡し、各段階で潜在的なリスクを特定します。ここでいうサプライチェーン全体とは、単なる直接取引先だけでなく、間接取引先(n次)も含みます。この段階では、内部データや外部情報を活用して、自然災害、サイバー攻撃、政治的リスクなど、多様なリスクを洗い出します。
次に、特定したリスクを評価します。この評価には、リスクの発生確率と影響度を考慮し、リスクの優先順位をつけます。これにより、最も重要なリスクに対して集中して対策を講じることができます。
評価の結果を基に、リスク軽減策を策定します。具体的には、代替サプライヤーの確保、保険への加入、BCPの策定、サプライチェーンの透明性の向上などが挙げられます。
策定したリスク軽減策を実施し、継続的にモニタリングします。モニタリングによってリスクの変化や新たなリスクの発生を早期に発見できる体制を整備しなければ、実効性のあるTPRMを実現できたとは言えません。
有効なTPRMに取り組むうえで、企業はいくつかの課題に直面することになります。
財務状況/法令遵守状況/オペレーショナルリスクなど、あらゆる観点でのデータ取得が必要になるため、自社による調査だけでは限界があります。外部データの購入やサプライヤーを巻き込んだ情報収集など、これまでにない取り組みが必要となります。
とある小売企業の取引先A社と、とあるメーカーの取引先A社は同一であり、全く同じプロファイルを持ちますが、それに対するリスク評価は各企業の業種やビジネスモデル、地政学的特性などによって異なる可能性は十分にあります。画一的ではなく自社の置かれた環境に応じたリスク評価基準を整備することが重要です。
リスクは常に変化するため、継続的なモニタリング体制を維持することが重要ですが、予算や人員等の不足により満足な対応ができない場合があります。先進企業はTPRMを重要な経営アジェンダとして捉えており、適切なリソースを投下していますが、多くの企業においては後手の対応となる傾向があります。根本的な解決のためには、ステークホルダーの圧力やTPRMへの社会的意識の高まり、法整備など外部の圧力が有効であると考えられます。
最後に、サステナブルなサプライチェーン構築に取り組む先進事例を紹介します。
チョコレート事業における原材料の生産国であるコートジボワールやガーナでは、貧困や児童労働、森林破壊等の社会問題が生じています。これらに対して不二製油グループでは下記に示すような多面的アプローチを取っており、将来のカカオ供給の安定性の確保に取り組んでいます。
|
社会課題 |
アプローチ |
|
地球環境 |
農場や地域周辺での植樹による森林再生 |
|
人権 |
CLMRS導入と児童への教育機会の提供 |
|
地球環境と人権 |
コミュニティ開発プログラムの実施 |
(備考)不二製油グループ「カカオのサステナブル調達」
その他、自社のサプライヤー数や調達地域、各地域における取組などの情報開示に取り組んでいます。
(備考)不二製油グループ「サプライチェーンデータベース」
今後の社会的意識の高まりにより、上記のような取り組みは幅広く製造業や小売業にまで広がる可能性があります。何か不祥事や事件などが発生してから対応するのではなく、事前に対処しておくことで企業活動への影響を最小限に抑えることが可能となります。まずは、自社のサプライチェーンをどこまで把握できているか、リスク評価基準は適切か、などを振り返る機会を設けてみてはいかがでしょうか。
弊社では実質的支配者情報の取得を含めた、継続的顧客管理に関する課題を解決するコンプライアンス・ステーション®️シリーズを提供しています。現在オンラインサービスの無償トライアルを実施中ですので、ぜひお気軽にお試しください。