2023年のリスク

モーガン・オルーク、ヒラリー・タットル、ジェニファー・ポスト[*]

自然災害や気候への影響、サイバーセキュリティや人工知能の脅威、規制やコンプライアンス上の懸念等、いずれによるものであろうと、2023年の、界中の企業がつきることのないリスクに直面した。ここでは、2023年にリスクの専門家が取り組まなければならなかった最も重要な課題と、2024年に向けて、今後のリスク情勢を形作るいくつかの課題を浮き彫りにしながら、この年の最も注目すべきリスクイベントを振り返ってみよう。

極渦が米国北東部に記録的な寒さをもたらす
2月2日

強風を伴った極渦がアメリカ北東部の一部を通過し、地域全体が極寒となった。この突然の寒波の中、ニューハンプシャー州のワシントン山の山頂では、時速97マイル（時速約156km）の風を伴って気温が-47°F(約-44℃)まで下がり、米国で観測史上最も寒い-108°F（約-78℃）の風の寒さをもたらした。メイン州ポートランドでは-45°F（約-43℃）という記録的な冷え込みとなり、州内の他の地域では「氷震」（寒さで水を含んだ土壌が突然ひび割れることによって起こる地震のような揺れ）が報告された。バーモント州からニュージャージー州にかけての都市や町が記録的、あるいはそれに近い寒さに耐えるなか、数千人が停電に見舞われ、航空会社は3日間で1800便以上のフライトをキャンセルした。NOAA（米国海洋大気庁）の国立環境情報センターは、この寒さによる被害額は全体で18億ドルに上ると推定している。

トルコ・シリア地震で6万人が死亡
2月6日

トルコ・シリア地震。巨大な地震が相次ぎ、そのうちのマグニチュード7.8を記録した最大規模の地震がトルコとシリアの国境を襲い、6万人近くが死亡、12万人以上が負傷し、数十万棟の建物が破壊された。この地域の広範囲に及ぶ壊滅的な被害により、両国では数百万人が避難し、一時的な避難所やキャンプへの移動を余儀なくされた。世界銀行は、シリアの物理的損害と間接的損失のコストを約52億ドルと見積もった。影響がより深刻なトルコでは、政府当局が地震による直接的な物理的損害コストを558億ドル、間接的な経済的被害を122億ドルとしている。保険損害の面では、トルコ史上最大の非常に犠牲の大きな災害となり、災害保険データ提供機関ペルリスは、この災害による保険損失は32億ドルに上ると推定している。

ホワイトキャッスル社がバイオメトリック・プライバシー訴訟で170億ドル以上の賠償責任を負う
2月17日

イリノイ州最高裁判所は、ファーストフードチェーンのホワイトキャッスル社が、従業員の同意なしに指紋をスキャンする行為は、1つの違反ではなく、イリノイ州バイオメトリック情報プライバシー法(BIPA)の複数の違反に相当すると判断した。ホワイトキャッスルは、入社時に従業員の指紋をスキャンし、その後、従業員がコンピューター・システムや給与明細にアクセスしようとするたびに、承認を得るために再度スキャンするシステムを導入していた。ホワイトキャッスル社は最初のスキャンのみがBIPA違反の可能性があると主張したが、裁判所は同意しなかった。BIPAは違反1回につき1,000ドル、無謀または故意とみなされる違反には5,000ドルの罰則を課しているため、同社は9,500人の従業員に対して巨大な潜在的責任を負うことになった。裁判所は4対3の判決を下した結果、ホワイトキャッスル社は170億ドル以上の損害賠償金を支払わなければならない可能性があり、この金額は同社を倒産させる可能性がある。

シリコンバレー銀行の崩壊が銀行危機を引き起こす
3月10日

米国銀行規制当局は、金融機関の支払い能力への懸念が、顧客が一日に420億ドルを引き落とすという記録的な銀行取付け騒動の火付け役になったことを受け、シリコンバレー銀行(SVB)を差し押さえた。破綻の原因を検証すると、多くの専門家が、SVBのリスクマネジメント慣行の不備、リスクの見落とし、管理の不十分さ、資産の分散化の欠如などを指摘しており、特に金利リスクや流動性リスクが脆弱であると指摘している。閉鎖されるまでの8ヶ月間、最高リスク責任者が不在だった。その数日後、シグネチャー銀行とシルバーゲート銀行も、流動性の問題と暗号通貨市場の下落へのリスク遭遇可能性のために破綻した。連邦準備制度理事会（FRB）は銀行のバランスシートを補強し、危機の拡大を食い止めるために緊急融資プログラムを開始したが、新たな破綻を防ぐには十分ではなかった。5月1日、ファースト・リパブリック銀行も預金不足を経験し、閉鎖された。破綻時の資産額で見ると、ファースト・リパブリック、SVB、シグネチャーは米国史上2位、3位、4位の規模の破綻銀行となっており、これを上回るのは2008年のワシントン・ミューチュアル（米国にかつて存在した企業で、同国最大の貯蓄貸付組合であった）の破綻のみである。

カナダ、これまでにない山火事シーズンに耐え続ける
5月1日

カナダ省庁間森林火災センターによると、2023年はカナダ史上最悪の山火事シーズンとなり、その規模は驚異的なものであった。6,500件以上の火災が4,500万エーカーを焼いた。これは、過去最悪のシーズンの2倍以上、過去の平均の9倍の焼失面積である。火災はカナダの全州に影響を及ぼし、15万5,000人以上が自宅からの避難を余儀なくされ、国全体で医療費が膨れ上がり、石油・ガス業界を中心にビジネスに支障をきたした。この火災で消防士を含む6人が死亡した。専門家によると、この火災は気候変動によって悪化し、通常よりも温暖な気温と乾燥した地上状態を生み出した。そのため、より激しく、より長く燃え続ける火災が発生し、通常そのような状況には影響されず、十分な対策もとられていない地域にまで延焼した。6月、火災の煙は北米の広範囲に広がり、カナダから米国南東部の地域社会に有毒レベルの大気汚染をもたらした。トロント、ニューヨーク、シカゴなどの都市では、その1ヶ月の間に、さまざまな時点で大気の質が世界最悪を記録した。

メタ社、GDPR(一般データ保護規則)違反で12億ユーロの罰金を課される
5月22日

5月、アイルランドのデータプライバシー委員会は、GDPRが5年前に施行されて以来、これまでで最大の罰金を言い渡した。EUの規制当局は、フェイスブックがGDPRのデータ移転要件に違反し、EU居住者の個人データを長年にわたり不適切に米国に移転していたことを発見したアイルランドデータ保護庁の調査を受け、フェイスブックの親会社であるメタ社に12億ユーロの罰金を課した。メタ社はまた、米国における欧州ユーザーデータの違法な処理と保管を中止し、処理業務を6ヶ月以内にGDPRに準拠させるよう命じられた。欧州データ保護委員会のアンドレア・イェリネク委員長は、問題となっている転送が「組織的、反復的、継続的」であり、欧州のフェイスブックユーザーの数を考慮すると、問題となっているデータ量は膨大であったため、同委員会はメタ社の違反が特に深刻であると判断したと指摘した。ソフトウェア会社データ・プライバシー・マネージャーが集計したデータによると、2018年のGDPR施行以来、規制当局はメタ社に合計25億ユーロ以上の罰金を課し、その中にはGDPRの罰金額トップ10のうちの5つが含まれている。全体では、EUのデータ保護規制の下で企業は合計40億ユーロ以上の罰金を課されている。

3M社、PFAS訴訟を最大125億ドルで和解
6月22日

3M社は、米国の各自治体から提起された数百件の訴訟で和解するため、105億ドルから125億ドルを支払うことに合意した。これらの自治体は、同社が公衆飲料水供給に毒性のある過フッ化アルキル物質(PFAS)とポリフッ化アルキル物質(PFAS)を汚染していると主張した。他の3社（ケムール、デュポン、コルテバ）も、今月初めに12億ドルの和解を成立させた。PFASは数十年もの間、繊維製品、家具、調理器具、食品包装、化粧品、医療機器、消火用泡など幅広い製品に使用されてきたが、さまざまなガン、肝臓病、免疫不全、その他の健康問題とも関連付けられてきた。しばしば「永遠の化学物質」と呼ばれるPFASは、環境でも人体でも分解されにくい。今回の和解は、市や町がPFAS汚染を検査し、処理するのを支援することを意図している。15,000件以上のPFASの賠償請求が、化学会社に対して依然として係争中である。

ホワッツアップなどの通信アプリで銀行に罰金
8月8日

証券取引委員会は、ウェルズ・ファーゴ、BNPパリバ、ソシエテ・ジェネラル、バンク・オブ・モントリオールを含む金融サービス企業11社に対し、総額2億8900万ドルの制裁金を課した。これらの銀行は、電子通信、特に従業員の個人デバイス上のアイメッセージ、ホワッツアップ、シグナルのようなプライベートメッセージングプラットフォームを介して交換された通信を適切に維持・保存しなかったとして起訴された。関連する民事訴訟では、商品先物取引委員会が、未承認の通信手段を使用したとして4行に合計2億6000万ドルの罰金を課した。SECの命令の一環として、4行はコンプライアンス・コンサルタントと協力して、個人機器に関する電子通信の保持および従業員の不遵守に対処するための方針と手続きを見直すことにも合意した。今回の措置は、「オフチャンネル」コミュニケーションを取り締まるSECの継続的な取り組みの一環である。2022年、同機関は、同様の記録管理違反を理由に、他の銀行グループに対し18億ドルの罰金を発令した。

ハワイの山火事で100人が死亡
8月8日

ハワイ・マウイ島のラハイナの町を襲った一連の大規模な山火事は、17,000エーカー以上の土地を焼き尽くし、2,200棟の家屋や企業を破壊、100人が死亡した。この死者数は、1918年以来、米国の山火事の中では最も多い。山火事の深刻さは、火災の影響を受けやすい外来植物の蔓延、気候変動に関連した島の高温乾燥状態、太平洋の近海で発生したカテゴリー4のハリケーン「ドーラ」による強風など、さまざまな原因によるものと見なされている。NOAAによると、物理的被害総額は推定55億ドルで、現在および将来の観光の混乱や政府の災害対応費用は含まれていない。

ハリケーン・ヒラリー、南カリフォルニアに初の熱帯性低気圧警報を発令
8月20日

大規模な勢力拡大を経て、ヒラリーは太平洋上でカテゴリー4のハリケーンとしてピークを迎え、最終的には時速145マイルの持続的な強風に達した。8月20日にメキシコのバハ・カリフォルニア地方に熱帯性暴風雨として上陸し、温帯低気圧に移行し南西部に豪雨をもたらす前に、熱帯低気圧としてカリフォルニアに移動した。ヒラリーは1997年のノラ以来、カリフォルニアを襲った初めての熱帯性暴風雨であり、この暴風雨から予想される「壊滅的で生命を脅かす洪水」により、南カリフォルニアに史上初の熱帯性暴風雨警報が発令された。この暴風雨は、デスバレー国立公園に約1年分の雨を降らせ、カリフォルニア州の一部では記録的な降雨量を塗り替え、アイダホ州、モンタナ州、ネバダ州、オレゴン州を襲ったこれまでで最も雨の多い、または温帯低気圧暴風雨として新記録を樹立した。カレン・クラーク・アンド・カンパニーによると、保険損害は米国西部全体で6億ドルを超えた。

ハリケーン・アイダリアがフロリダ州を襲う
8月30日

カテゴリー4の暴風雨として沖合でピークを迎えた後、ハリケーン・アイダリアは、カテゴリー3としてフロリダ州北部のビッグベンド地域に上陸し、洪水や住宅、企業、農地、車両、インフラへの被害をもたらした。この地域は人口密度が比較的低いため、全体的な物理的被害と損害額は軽減されたものの、ベリスク（防火、災害・気象リスクなどの分野で予測分析と意思決定支援コンサルティングを提供する企業）は、保険による損害額はそれでも25億ドルから40億ドルに上ると推定している。11月中旬までに、比較的穏やかな2023年の大西洋ハリケーン・シーズンには7つのハリケーンが発生したが、そのうち3つは大型ハリケーンであり、10億ドル以上の損害をもたらしたのはアイダリアだけであった。このシーズンで2番目に被害額の大きかった嵐は熱帯性暴風雨オフィーリアで、米国東海岸全域に広範囲に及ぶ洪水と停電を引き起こし、約4億5,000万ドルの損害をもたらした。

2023年、熱記録を破る
9月6日

持続的な熱波が北米、ヨーロッパ、アジアの大部分を焼き尽くし、2023年の世界の平均気温は驚くべき規則性で記録を塗り替えた。欧州連合（EU）のコペルニクス気候変動サービスのデータによると、6月から8月にかけての3カ月間は、地球が記録上最も暑い時期となった。この期間の世界平均気温は62.19°F（16.77℃）で、平均を1.19°F（0.66℃）上回った。これは、季節的な気温の変化という点では、かなり大きな差である。また、この期間の各月は、記録開始以来最も暑かった月の新記録を樹立した。歴史的な暖かさは秋まで続き、世界の平均気温は毎月最高値を更新した。NOAAの主任科学者であるサラ・カプニック博士は、「9月は史上最も暖かかっただけでなく、2001年から2010年までの7月の平均気温よりも高かった」と述べた。11月までに、研究者たちは、地球が12ヶ月間で記録的な暑さに見舞われ、2023年はこれまで最も暑い暦年とされた2016年を超えたことが事実上確実であると判断した。

サイバー攻撃でMGMリゾートに1億ドルの損害
9月10日

サイバー攻撃でMGMカジノのスポーツ賭博機が壊れたカジノ・ホテル会社MGMリゾーツは、サイバー攻撃の被害者となり、その施設全体で10日間の業務中断を引き起こし、スロットマシン、ATM、ホテルのデジタルルームキーが停止し、ウェブサイトとオンライン予約システムが利用できなくなった。同社がデータ保護のために一部のコンピューター・システムを自主的に停止した後、従業員は現金での支払い、カジノ賞金の紙バウチャーの発行、ホテル宿泊客への手動チェックインと現物キーの提供をするだけであった。MGMは、ハッカーが2019年3月以前に同社と取引した一部の顧客の個人情報にアクセスできたことを確認した。SECへの提出書類によると、この攻撃により同社は第3四半期の収益に1億ドル以上の損害を被った。別の提出書類では、同じカジノ運営会社のシーザーズ・エンターテインメントが、電話ベースのソーシャル・エンジニアリング攻撃で顧客データが流出した後、MGM攻撃の背後にいた同じグループに対して数週間前に1,500万ドルの身代金を支払ったことを明らかにした。

中国の家庭教師会社、初のAIバイアス訴訟で和解
9月11日

史上初の、採用プロセスにおけるAIバイアスを伴う雇用差別の解決において、中国に本拠を置く家庭教師会社アイチューター・グループは、雇用機会均等委員会（EEOC）によって提起された訴訟を解決するため、36万5,000ドルを支払うことに合意した。EEOCは、アイチューター・グループが55歳以上の女性求職者と60歳以上の男性求職者を自動的に除外するようにAIソフトウェアをプログラムしたと主張していた。その結果、アイチューター・グループは米国で200人以上の有資格の求職者を年齢という理由で違法に不採用とした。アイチューター・グループはこの件での不正行為を否定し、現在は米国で労働者を雇用していないが、この和解では、米国での事業を再開する場合、家庭教師の雇用に携わる者に研修を提供し、強固な差別禁止方針を策定する必要があると規定している。今回の和解は、AIソフトウェアを使用する米国の雇用主が差別禁止法および雇用機会均等法を遵守することを保証するために策定された2021年のEEOCイニシアチブに続くものである。

作家がチャットGPTを著作権侵害で提訴
9月19日

ジョン・グリシャム、ジョナサン・フランゼン、ジョディ・ピコール、ジョージ・R・R・マーティンを含む著名な作家グループが、申し立てによると、人気のある生成AIチャットボットを訓練するデータセットを構築するために、彼らの著作物を許可なく、あるいは対価を支払うことなく使用したとして、チャットGPTの創作者であるオープンAIを訴えた。訴状では、ライセンスの機会損失と著作権侵害に対する金銭的損害賠償を求めている。原告側はまた、ChatGPTが低品質の電子書籍を生成し、著者になりすまし、人間が執筆した書籍を置き換えるために使用され、それによって市場と生計が奪われることへの懸念も表明した。同様の訴訟は、マイケル・チャボンやコメディアンのサラ・シルバーマンといった作家も、オープンAIとメタ社に対して起こしている。この訴訟は、サイバーセキュリティ、データプライバシー、情報の正確性、知的財産権の所有権など、2023年に生成AIツールの周辺で浮かび上がった多くのリスク問題の一例である。たとえば4月、サムスンは、機密の内部情報が誤ってチャットGPTにアップロードされ、事実上一般公開されてしまい、その管理を取り戻すために慌てで対応しなければならなかった。この種の問題の結果、多くの組織が潜在的なリスクを軽減するために、職場での生成的なAIツールの使用を規制する内部方針を作成している（本誌記事「リスクの発生：チャットGPTとその他のAIツールによる新たなリスク遭遇可能性」を参照）。

ガンマン、メイン州で19人を殺害
10月25日

メイン州ルイストンのボウリング場とバーで起きた銃乱射事件で19人が死亡、13人が負傷した。この銃乱射事件は、米国で今年の最も死者数の多い銃乱射事件であり、米国史上10番目に死者数の多い銃乱射事件であった。非営利団体ガン・ヴァイオレンス・アーカイブによると、2023年11月15日現在、米国では603件の銃乱射事件が発生しており、そこでは4人以上が銃撃または殺害された事件と定義されている。これらの事件には、1月にカリフォルニア州モントレーパークのダンススタジオで発生し12人が死亡した銃乱射事件、5月にテキサス州アレンで発生し9人が死亡したショッピングモールでの銃乱射事件、市をあげての犯人捜索が行われたことで、RIMSの年次RISKWORLD会議の早期閉鎖を余儀なくされた5月の銃乱射事件などが含まれる。

ハリケーン「オーティス」がカテゴリー5の暴風雨としてメキシコを直撃
10月25日

ハリケーン・オーティスは、アカプルコ近郊に上陸するまでのわずか24時間の間に、熱帯性暴風雨からカテゴリー5のハリケーンとなった。持続風速が時速165マイルに達したオーティスは、メキシコ太平洋沿岸を襲った史上最強のハリケーンであり、北太平洋東部から上陸したカテゴリー5のハリケーンとしては初めての記録である。気候パターンの変化によって暴風雨の破壊力が増すなか、オーティスは暴風雨を正確に具現化したのもので、急激な暴風雨の巨大化のようなダイナミックなリスクを予測することの難しさを浮き彫りにした。実際、災害モデルを構築する（モデラ―）ムーディーズRMSによると、「10月24日未明に入手できたハリケーンや世界的な確定予測モデルでは、「オーティスが急激な強力化を生じさせる危機寸前にあることを示すモデルはなかった」という。オーティスは、特に風による壊滅的な被害を残し、災害モデラーは保険損害を25億ドルから45億ドルになると予測している。被害の大半は、特に沿岸部の商業施設以外では、保険未加入か十分な保険に加入していないかのどちらかであり、オーティスは経済的損害と保険損害の両面でメキシコにおける最もコストのかかる暴風雨の1つとして歴史に名を残すだろうと同社は予想している。

バイデン政権、人工知能に関する大統領命令を発出する
10月30日

ジョー・バイデン大統領は、人工知能の「安全、安心、信頼」な発展を促進することを目的とした包括的な大統領令を発表した。この大統領令は、AIシステム開発者が安全性テスト結果を開示するための要件、AIが生成したコンテンツを検出し、不正や詐欺を回避するために公式コンテンツを認証するためのガイダンス、重要なソフトウェアの脆弱性を修正するためのAIツールを開発するためのサイバーセキュリティプログラムの確立を含む、新しいAI安全・セキュリティ基準の作成を求めている。さらに、この大統領令は、消費者のプライバシーの保護、AIアルゴリズムが差別を助長するために使用されることへの防止、医療と教育におけるAIの責任ある使用の促進、AIが労働市場に与える影響への対処、AIの研究開発の機会の拡大、国際的および連邦政府内での責任あるAI使用のための基準の策定、などのステップを示している。

ストライキ中の俳優がAIからの保護を確保
11月9日

映画俳優組合・米テレビ・ラジオ芸術家連盟（SAG-AFTRA）のメンバーは、映画・テレビプロデューサー連盟と合意に達し、組合史上最長となる118日間のストライキに終止符を打った。9月に終了した全米脚本家組合のストライキと合わせ、ハリウッド・スタジオとの労働争議は、夏を通して映画とテレビの放送停止につながり、南カリフォルニア経済に65億ドルの損害を与えた。ハリウッド・スタジオとSAG-AFTRAの合意には、過去40年間で最大の最低賃金の引き上げ、新たな再放送使用料体系、人気ストリーミング・コンテンツに対するボーナスが含まれている。また、この合意は生成AIに関する懸念にも対処しており、スタジオはデジタルレプリカを作成・使用し、演技を変更する際に俳優の同意を得なければならないと規定している。また、俳優には、デジタルレプリカに置き換えられなかった場合に支払われるはずの制作作業に対して、通常の日給で報酬を受け取る権利も与えられている。

米国気候評価、異常気象リスクは増大している報告
11月14日

米国政府は、第5次国家気候評価報告書を発表した。これは、米国全土における気候変動のリスクと影響について、議会が義務づけた省庁間報告書である。この報告書によると、異常気象は明らかに増加しており、1980年代には、米国は平均して4ヵ月に1回、10億ドル規模の災害を経験していた。現在では平均3週間に1回になっている。実際、NOAAによれば、2023年には25件（11月8日現在）という新記録を樹立した。毎年、このような災害によって米国は1500億ドル近い損害を被っている。これは、人命の損失、医療費、生態系への損害を考慮に入れていない控えめな見積もりである。専門家は、異常気象と海面上昇が資産、インフラ、生態系、水供給、公衆衛生、食糧安全保障、生活、経済を脅かすことから、気候の影響は今後10年間で強まり、全米のあらゆる地域に影響を及ぼすと予想している。しかし報告書は、現段階ではこれらの影響の一部は避けられないものの、将来世代のために気候変動リスクと影響を軽減することは、まだ可能かもしれないと示唆した。この取り組みには、大気から炭素を除去する技術や方法の急速な拡大とともに、排出量削減のための現在利用可能な選択肢を広く実施すること、さらに大規模な技術、インフラ、土地利用、ガバナンス、行動の変化を伴う、より広範な緩和・適応行動が必要となるであろう。

SEC サイバー報告要件が発効
12月15日

長い法制化過程とコメント期間を経て、SEC待望のサイバーリスク報告要件（本誌記事「SECサイバー規則は新たな強化計画を示唆する」参照）が、2023年12月に正式に施行される。この規則では、上場企業に対し、偶発的であれ悪意があろうが、組織の財務または稼働状況に重大な影響を及ぼすサイバーインシデントについて、開示報告書を提出し、重要性を判断してから4日以内に提出することを義務付けている。おそらく、より重要なことは、SECが、サイバーセキュリティに関するリスクマネジメント、戦略、ガバナンスに関わる必要な開示を追加するために、10-Kフォーム(海外の発行会社の場合は20-F)を修正したことであり、組織は2023年12月15日以降に終了するすべての会計年度について、毎年報告しなければならない。SECのゲイリー・ジェンスラー議長は、サイバーリスクマネジメントが、企業の財務実績、事業の実行可能性、投資家の望ましさにおいてますます重要な要素となっていることから、これらの要件の目的は、サイバーセキュリティ報告をより「一貫性があり、比較可能で、意思決定に有用」なものにすることであると指摘した。

トピックス
サイバー、事業中断、気候変動、コンプライアンス、災害復旧、新興リスク、国際、法的リスク、自然災害、リスクマネジメント、サプライチェーン

注意事項：本翻訳は“Year in Risk 2023 ”, Risk Management, November-December 2023, pp.18-25 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
モーガン・オルークは本誌編集局長兼RIMS出版担当取締役。ヒラリー・タットルは本誌編集長。ジェニファー・ポストは本誌編集者。