Risk Management
【Web特別版】
8月号
- 企業透明性法遵守に備える
- 労働力のメンタルヘルスとウェルビーイングを守る5つの方法
労働力のメンタルヘルスとウェルビーイングを守る5つの方法
キャスリーン・カーキンズ[*]
従業員のストレスは、仕事と家庭の両方で増加した要求により、過去10年間で根本的に変化した。その一方で、組織とその労働者は、世界的な経済圧力、政治的懸念、戦争、そしてより身近なところでは、個人金融の不安やメンタルヘルスの問題といった予測不可能性を経験し続け、これらすべてが不安、燃え尽き症候群、怪我の増大につながる可能性がある。
職業生活のスピードが速まるにつれ、仕事に関連したストレスのリスクも増大している。2019年、世界保健機関は、燃え尽き症候群を「疾病および関連保険問題の分類項目」に含め、疲弊、仕事からの精神的距離、および職業的効力の低下を特徴とする職業上の現象と定義した。米国心理学会は2021年の追跡調査で、調査対象となった成人労働者の79%が前月に仕事関連のストレスを経験し、5人中3人が仕事でのストレスによるマイナスの影響(モチベーション、活力、興味の欠如)を受けたと述べている。
マサチューセッツ大学ローウェル校の最近の研究によると、仕事上のストレスは従業員にも企業にも大きな打撃を与えている。医療費から欠勤や業績不振に至るまで、仕事関連のストレスの経済的影響は年間3,000億ドル以上と推定され、欠勤だけでも大企業に年間約360万ドルのコストがかかっている。
損失を最小限に抑え、労働力の文化とウェルビーイングを改善するには、レジリエンスのある労働力を作り上げる方法を理解し、ストレスと燃え尽き症候群による影響を緩和する戦略を実行することが不可欠である。そのためには、リーダーはこれらの影響の根本原因に合わせて導くことができなければならない。レジリエンスのある労働力文化を創造することは、事業が不確実性に直面したときに、労働者が迅速に行動し、考え、前進するための柔軟性を発揮できるようにするために不可欠である。
労働力のレジリエンスを促進する
レジリエンスとは、逆境や変化から回復したり、それに容易に適応したりする能力のことである。エンターテインメントおよびアウトドア・レクリエーション業界のリスクマネジメントのプロフェッショナルであるデビッド・ムーアにとって、従業員を支援することは、企業が企業のレジリエンスへの取組みを成功裏に実行できる1つの方法である。「最も簡単に言えば、レジリエンスとは、従業員がバランスのとれた生活を送れるようにするための別の言葉です」と彼は言う。彼はレジリエンスを、人間全体を見つめ、彼らにとって何が重要なのかを掘り下げるための機会として捉えている。
「これらの累積的なストレス要因が自分にどのような影響を与えるかを認識せず、また、怪我や燃え尽きることなく仕事をこなすための資源を提供せずに、従業員に常にそれ以上のことを求めている場合、人的コストがかかります」とムーアは言う。「雇用者として、人々が『9時から5時まで』以上の人生を送っていることを認識することが重要です。」
組織がチームのレジリエンスを育むと、従業員は会社の目標に向かって熱心に取り組むようになり、コミットメントを感じ、より一生懸命働くようになる。レジリエントな労働力を構築することは、従業員のウェルビーイングと仕事の成果にプラスの効果をもたらすため、これは定義された目標ではなく、企業の取組みと成果測定基準に組み込む必要がある。「これは『あなたも、私も重要だと考える』戦術です」と彼は言った。「しかし、それは信憑性をもって、組織の企業文化と一致していなければ、うまくいかないでしょう。」
以下の5つのレジリエンス戦略は、企業の中核的信念の一部としてウェルネスを強化し、個人的にも職業的にも成功するための重要な資源があることを従業員が確信するのに役立つ。
1.持続可能な環境を創造する
労働者のメンタルヘルスとウェルビーイングを守るために、組織はストレス、燃え尽き、怪我、離職は避けられることを理解しなければならない。トラウマ・スチュワードシップ・インスティテュートの創設者兼所長であるローラ・ファン・デルヌート・リプスキーは、ビジネスリーダーには、人々が自分の仕事をできるような条件とシステムを作り出すという道徳的使命があると信じている。「環境が持続可能でないと、個々の労働者に負担がかかるという問題になります」と彼女は言う。
リプスキーは、組織が直面する最も一般的な困難のいくつかは、資源不足と締切のプレッシャーであるが、これらの逆風が、燃え尽き症候群がもはや当たり前ではないという文化の創造を妨げるということを信じていない。「[企業文化]が悪意から始まっていないと仮定すれば、リーダーは常識を伴って自分の職場文化を評価し始めることができます」と彼女は言う。例えば、組織はリーダーが労働者に何を求めているかを見直し、義務づけられた時間枠と締め切りが現実的かどうかを判断すべきである。
これは、リーダーが透明性を示し、労働者との信頼を得ることができる出発点である。リーダーは、ビジネスが直面している課題、成功に向けた特定の行動の理由、部門が経験している根本的な資源問題、または組織の仕事のパターンに影響を与えているその他の事象を説明しなければならない。たとえば、従業員と1対1の会話を通して、マネージャーはチームメンバーが現在の仕事のペースとボリュームについてどのように感じているかを評価できる。何が起こっているのかを明確にすることで、信頼を醸成し、現在の仕事量はノルマではないが、今のところは期待であることを効果的に認識させることができる。
このメッセージを従業員に伝えるもう1つの機会は、毎月の定例会議など、定期的に予定されたチームの同期化活動である。従業員が行っている重労働を認めることによって、リーダーは集団的な問題解決の舞台を設定し、協調的な環境を育む。
2.従業員のレジリエンス・チームを作り出す
レジリエンスのある労働力を鼓舞することを任務とする部門横断チームを設立することには、非常に大きな価値がある。彼らの役割は、変化に対処する能力を構築する方法、締め切りや取り組みが一時的に過剰になっているときに労働者を動機づける方法、燃え尽きを食い止める方法など、従業員のレジリエンスに自信を与え、保護する戦略と機会を特定することである。
「それは、逆境に直面しても前進する職場文化を育むことです」とムーアは言う。しかし、レジリエンス・チームは従業員のために働かなければならない、つまりレジリエンスは厳密に定義された命令であってはならないと警告した。組織内の適応性と柔軟性を鼓舞するためには、柔軟でなければならない。
レジリエンスのある従業員や労働力の主要な属性を判断するのは難しいかもしれないが、それらを提供するときには、問題にはならないとムーアは信じている。「多くの方法によるが、それらは将来の見通しに関するものであり、労働力のレジリエンスは、ウェルビーイングの資源を利用できるだけでなく、実例を通して養うことができます」と彼は言った。目標は、一貫した支援と、過重労働や疲労から脱却する意欲によって、企業は最終的に組織文化にレジリエンスを植え付けることができるということである。
ムーアはまた、特に複数州またはグローバルな事業領域を持つ企業に対して、レジリエンスでの取組みのローカルな実施を推奨している。「自社にとってレジリエンスとはどのようなものかという概念を中央集権化することはできますが、その実行を中央集権化することはできません」と述べた。グローバル構造内のどの地域でも、駐在員は異なるライフスタイルや文化的影響を経験している。「本当に重要なのは、個人的な経験レベルで人々とつながることです」とムーアは言う。それは、住んでいる場所や大切にしているものも含めて、人間全体を考慮したプログラムの中で行われなければならない。
3.企業の共感と思いやりを示す
使用者は、リーダーが共感と思いやりを示すことの重要性を決して過小評価してはならない。「何かが難しい、あるいは不完全であることを確認することは強力です」とリプスキーは言う。さらに、コミュニケーションは頻繁で、一貫性があり、本物でなければならない。
毎月の企業会議でメッセージが伝えられようが、経営幹部から毎週の電子メールで伝えられようが、何が起こっているかを認識することが重要である。リプスキーは、コンサルティングやワークショップの実践において、リーダーが自分の組織に正直になることを奨励している。「それは人々の孤独感や孤立感を中断させます」と彼女は言った。マネージャーはスタッフと関わり、仕事量に対する関与と反応を判断し、「現在の仕事についてどのように感じていますか」や「あなたにとって最大の課題は何でしたか」といった、自由回答の質問をすべきである。
従業員が押しつぶされ、ストレスや燃え尽きの症状を感じているとき、孤立感を減らすことは、従業員が見聞きされていると感じるのを助け、すべての従業員が全体の一部であることを示すことができる。職場とのつながりは、レジリエントな組織の基盤である。
これをうまく行うために、リプスキーは、「これらのことを感じているなら、あなたは一人ではない」、「あなただけでなく、すべての人に影響を与えている、組織に対して影響を与えているより大きな力が働いている」、「押しつぶされていると感じることは現実であり、あなたはいい会社で働いている」など、状況の現実についてメッセージを伝えることを提案している。
4.ワーク・ライフ・バランスに関する過去の教訓を検討する
労働力のレジリエンスを高めたいと考えている雇用者は、COVID-19パンデミックから学んだ教訓を検討する必要がある。「私たちは、従来のような週労働の柔軟性がない状態に戻りたいのだろうか。それは自分たちの組織や従業員の仕事のやり方に利益をもたらすのだろうか」、こう ムーアは言った。「時間は人にとって重要であり、組織が時間に配慮することも同様に重要です。」
これは、企業が労働者の日々の活動(仕事中と仕事外の両方)を考慮に入れるべきであることを意味する。組織のレジリエンスとは、労働者が最善の仕事をするためにどのように支援するかを決定することである。ムーアは、リーダーがスタッフやマネージャーに質問することを奨励している。例えば、「生産性向上に有益な働き方をさせているか。午前中または午後に最高の仕事をするの誰か。定められた営業時間に関して、私たちは柔軟に対応できているか。労働者が家族と必要な時間を過ごせるようにするために、この役割を非伝統的な時間帯に遂行させることができるだろうか」
より柔軟な労働時間を提供する能力がない組織のために、ムーアは従業員に予定外の休日を与えることを奨励している。「雇用者として、私たちは人々がそれぞれ人生を過ごしていることを認識する必要があります。そして、彼らが人生を成し遂げることができるように、得られることを知らなかった休みで従業員に報いることには大きなメリットがあります」と彼は言う。
5.コラボレーションの機会を創出する
2023年の勧告で、米国の公衆衛生局長官は、孤独が生産性や心身の健康に影響を与えると警告し、組織は他者とのつながりを生み出すために労働者を支援すべきだと提言した。こうした関係は、職場環境における目的意識を促進するために極めて重要である。
関係性構築を促進し、孤独と闘うための1つの戦術は、協働を通じて帰属の文化を構築することである。バーチャルワークとハイブリッドの活用により、労働者は数多くの場所に分散している。つまり、チームズやスラックなどのコラボレーション技術ツールは、リアルタイムでのチームコミュニケーションを促進するのに有用である。
パートナーシップを促進するもう1つの戦略は、部門と個人の目標を共有することである。組織の規模にもよるが、これは、全員の目標を記した共有スプレッドシートや、会社会議で各部署に目標の共有を依頼するような単純なものである。目標に対してより広い発言権を与えることで、部門、職務、人員間の整合性と理解を向上させることができる。このように透明性が高まれば、気が散ったり優先順位が競合したりするのを最小限に抑えながら、従業員のモチベーションを高め、適応力を高めるための基盤が整うかもしれない。要するに、組織は、個々の役割と責任を定義しながらも、「私たちはみんな一緒にいる」という考え方を作り出すことができるのである。
組織は、これらのテクノロジーを活用して従業員に働きかけ、透明でタイムリーなメッセージや、取り組みや目標に向けた組織の進捗状況の最新情報を共有することができる。これは、期待に関するより明確なコミュニケーションのための舞台を設定し、そのような透明性は情報の部署別保持をなくすのに役立つ。「要するに、あなたは孤独を破壊するのです」とムーアは言った。
レジリエンスにコミットする
レジリエンスは簡単には数値化できないが、従業員のストレスが少なくなれば、健康で活力があり、燃え尽き症候群、怪我、離職の減少により、ビジネスのコスト削減につながる。
その結果、ムーアは、リスクマネジメントの名のもとで企業のレジリエンス責任を果たすことを提言している。「リスクマネジメントは、会社の健康と安全を守ることを目的としています」と述べた。「レジリエンスを定量化することは容易ではありませんが、燃え尽き症候群の人的コストを等級分けしたり、災害が回避された場合のコスト削減を計算したりすることで、測定することはできます。」
従業員のレジリエンスとウェルビーイングを育成し保護することは、組織文化のあらゆる側面に組み込まれるべきである。労働力の健康に対する責任がどこにあるかにかかわらず、すべての企業の目標、組織的な支柱、四半期ごとの取組みには、レジリエンスを促進させるメカニズムを含めるべきである。時がたつにつれて、これは、ユニークで持続的で、未知の課題に直面しても適応できる、組織の能力を高めるだろう。
トピックス
危機管理、新興リスク、従業員福利厚生、全社的リスクマネジメント、健康とウェルネス、人的資源
注意事項:本翻訳は“5 Ways to Protect the Mental Health and Well-Being of Your Workforce ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/08/06/5-ways-to-protect-the-mental-health-and-well-being-of-your-workforce) August 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
キャスリーン・カルキンズはオレゴン州を拠点とするフリーライター。
- EUサイバーレジリエンス法での課題と機会
EUサイバーレジリエンス法での課題と機会
マーク・ティール[*]
サイバー犯罪の頻度が高まる中、規制当局は世界中の組織に対し、サイバーセキュリティ対策とレジリエンス態勢の強化を求めている。この目的のため、EUは、EU加盟27カ国のサイバーセキュリティを規制するための法案であるサイバーレジリエンス法(CRA)を提唱した。この法律は、デジタル製品または「デジタル要素を持つ製品」に対する共通のサイバーセキュリティ基準を確立し、EUでの接続されたハードウェアとソフトウェアのエコシステム全体にセキュリティ義務を課する。また、EUの単一市場におけるサイバーセキュリティポリシーを標準化し、エンドユーザーのソフトウェアとハードウェアの安全性の向上に役立つ規制措置を課すことで、サイバー脅威に対する協力と準備を強化する。
法律の遵守を確実にするために、指定された市場監視機関は、是正措置、市場からの撤退、違反に対する罰金を執行することができる。CRAは2024年後半に正式に採択され、経済事業者およびEU加盟国には36ヶ月の猶予が与えられる。唯一の例外は、悪用された脆弱性とインシデントを積極的に報告することを製造業者に義務づけることであり、これは同法の施行日から21か月後に適用される。遵守を促進するため、欧州委員会は対象製品カテゴリーに関する技術基準の策定を正式に要請する。
CRAの要求事項を見直すと、製造業者やソフトウェア開発者にとって、こうした遵守は困難な課題となる可能性がある。しかし、CRAは、サイバー犯罪に大きな影響を与える可能性のある規則や規制を最終的に整合させる機会も生み出している。
CRAの重要な要素は、多くの製品におけるサイバーセキュリティのレベルが不十分であることと、そのような製品やソフトウェアに対して行われたセキュリティの更新が不十分であることを認識していることである。また、多くの消費者や組織は、どの製品が安全かを判断する洞察力も、その保護を確実にするためにそれらを構成する知識も持っていないことも認識している。
EUの声明によると、CRAは:
- デジタルコンポーネントを伴う製品やソフトウェアを上市する際の規則を調和させる
- そうした製品の計画、設計、開発、保守を管理する枠組みを確立し、バリューチェーンのあらゆる段階において、サイバーセキュリティに関する要求事項を満たすことを義務付ける
- 製造業者にそうした製品の全ライフサイクルにわたる注意義務を義務付ける
完全に実施されると、CRAの法令順守基準に合格した製品とソフトウェアにはCE (Conformité Européenne)マークが付く。これは現在、消費者に安全性を伝えるために他の欧州製品で使用されている。とはいえ、CEマークの取得は必ずしも容易ではない。
CRA遵守での課題
ハードウェア製造者とソフトウェア開発者の課題の1つは、サプライチェーンのサードパーティプロバイダがCRA基準を満たすようにすることである。多くの組織には、サプライチェーン全体の脆弱性を特定する効果的な第三者リスク管理(TPRM)プログラムがある。これは、すべての組織が製品やサービスのCEマークの達成を計画する際に検討すべきベストプラクティスである。
多くの組織が、TPRMを含むようにリスク・プログラムを近代化することは困難であると感じている。有用な情報源の1つは、連邦預金保険預金公社(FDIC)による、第三者を理解し管理するための正式なリスクベースのアプローチであり、これは昨年更新された。しかし、そのような情報を提供する主体がいたとしても、あまりにも多くのグローバル組織は、サプライチェーン内にすでに存在するかもしれないリスクに積極的に立ち向かうのではなく、前回の混乱の再発を防止しようとしている。
規制環境が絶えず発展するにつれ、多くの組織はすでに同様の規制要件を遵守する必要があり、CRA要件を具体的に満たすためにやるべきことはそれほど多くないかもしれない。ただし、社内の経験が不足している組織では、CRAの遵守に向けてサイバーセキュリティフレームワークに組み込むためのベストプラクティス情報を収集するために、マネージドサービスプロバイダーや外部のコンサルタントの支援が必要になる場合がある。
CRA遵守のためのヒント
CRAの遵守を確実にするために、組織は以下のステップを踏むことができる:
- 環境の現状と将来予測される状況との間のギャップ分析を行う
- 途中で予測できなかった障壁がある可能性が高いので、遵守への取り組みを早期に開始する
- ガイドライン、枠組み、規制要件について実施経験のある企業に相談する
これらのステップを踏むことで、組織はCRA基準を遵守するだけでなく、全体的なレジリエンス態勢を強化することができる。
CRAのグローバルな含意
CRAが最終的に実施され、製造業者が完全な遵守を達成すると、欧州委員会はCRAを定期的にレビューし、サイバーセキュリティの改善の進捗状況を報告する。組織は、採択に至る長い期間において、異なる地域およびグローバルな安全保障文化、絶えず進化するサイバーリスクの状況、およびEU加盟国間で既存の規制や統治機関との間で調整することの複雑さのために、途中で修正や変更が行われることを予想する必要がある。
CRAは、EU市場に参加するすべての組織に影響を及ぼす。遵守を達成することで、企業は製品開発プロセス全体を通じて強固なサイバーセキュリティポリシーを導入したことを顧客に保証できるだけでなく、サイバー脅威に対する全体的なレジリエンスを強化することにもつながる。
トピックス
コンプライアンス、国際、セキュリティ、サプライチェーン、技術
注意事項:本翻訳は“Challenges and Opportunities of the EU Cyber Resilience Act ”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2024/08/08/challenges-and-opportunities-of-the-eu-cyber-resilience-act) August 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
マーク・ティール(GSEC資格取得者)はフュージョン・リスク・マネジメント社サイバーセキュリティ担当管理者。
- 性的虐待事案における保険補償拒否に挑戦する
- ハリケーンシーズンの保険に関する検討事項
ハリケーンシーズンの保険に関する検討事項
ジェニファー・ポスト[*]
多くの専門家が予測したように、2024年のハリケーンシーズンはすでに活発になっていて、多くの暴風雨が大混乱を引き起こしている。米国海洋大気庁は7月、ハリケーン・ベリルを2024年の10億ドル規模の被害リストに追加し、6月に発生したハリケーンは、史上最も早いカテゴリー5のハリケーンとなった。カレン・クラーク社によると、アキュウェザーはベリルによる損害総額が280億-320億ドルと推定し、このうち保険会社は米国だけで27億ドルの損害を被る可能性があるという。
先週、ハリケーン・デビーがカテゴリー1の暴風雨としてフロリダ州に上陸し、ウェザー・チャンネルによると、フロリダ州西部と北部からジョージア州東部、カロライナ州にかけて10インチ以上の雨が降った。フロリダ州レイクシティの降水量が最も多く、総雨量は約20インチであった。嵐が米国北東部に到達したとき、アキュウェザーの速報によると、デビーは合計で9人の死者を出し、数千人の停電、竜巻注意報、洪水を引き起こし、米国で280億ドルの損害と経済的損失をもたらした。カレン・クラーク社は、ハリケーン・デビーによる民間保険の損失は、米国で14億ドル近くになると見積もっている。
コミュニティがデビーから回復するにつれ、一部のコミュニティはすでに次の嵐に目を向けている。ハリケーン・エルネストは現在、バミューダに向かうカテゴリー1のハリケーンで、ウェザー・チャンネルによると、バミューダ島を脅かすハリケーンとしてはここ4年ほどで最も強いハリケーンとなっている。エルネストはプエルトリコを襲った後、すでに数十万人の人々を停電させ、ヴァージン諸島の顧客の90%が嵐の最中に停電した。エルネストは2024年シーズンで3度目のハリケーンで、平均ペースを4週間近く上回っている。現時点では、エルネストは米国本土の脅威ではないが、週末を通じて東海岸に大きなうねりを引き起こし、引き裂くような潮流を引き起こす可能性が高い。
ハリケーン・ベリル、デビー、アーネストは、通常のハリケーンシーズンの6月から11月の間に起こったが、ハリケーンの活動のほとんどは、8月中旬から10月中旬の間に起こり、これは「シーズン内のシーズン」としても知られている。このようなリスクの高い期間が近づくにつれ、マーシュの米国財産実践のリーダーであるマイケル・ローズは、「今こそ、リスクマネージャーが、自分たちの保険契約を批判的に見直し、過不足が存在するかどうかを判断する時である」と助言した。例えば、不動産保険は、事業活動に不可欠なすべての財産、設備、その他の項目など、事業のすべての資産を反映しているか。暴風雨の前に保険問題に取り組むことは、予期できないことを回避するのに役立つだろう」と述べた。
保険契約の細部を検討する前に、組織は施設と要員を保護するために適切な補償範囲を確保していることを確認する必要がある。ハリケーンシーズンに欠かせない保険は以下の通りである。
- 損害保険: 商業損害保険は、会社の物理的な場所と建物内または敷地内の設備を保護する。現行の保険が、風雨による被害または風と雹による被害をカバーしていることを確認する。そうでない場合は、保険に追加することを検討することである。
- 事業中断(BI)保険: BI保険は、一時的に事業を中断することによる収入の損失をカバーする保険である。ハリケーンが発生した場合、収入の損失、家賃、移転などの費用をまかなうことができる。
- 一般賠償責任保険: ハリケーンに特化した保険ではないが、一般賠償責任保険は、ハリケーンの最中に起こりうるお客様の怪我やお客様の物的損害まで、幅広いビジネスリスクをカバーする。
- 洪水保険: 洪水の深刻化や洪水地帯の拡大により、保険会社は多くの地域で洪水の補償範囲を縮小したり、保険料を引き上げたりしている。洪水と暴風雨は同時に起こることが多いため、もし組織が洪水保険を確保し、その費用を負担できるのであれば、専門家はそうすることを推奨している。
- 偶発的事業中断保険(CBI): ベンダーや公益事業会社などの第三者パートナーが事業運営できない場合、CBI保険は、他者の事業中断によって失われた収益をカバーするのに役立つ。
- 特化保険: リスクの専門家は、専門機器をカバーするために組織が実施しているあらゆる保険を見直すべきである。「これには、ボイラーや機械の補償、輸送保険、美術品の補償、一般賠償責任や公害保険などの第三者の補償などが含まれます」とロウズは言う。
適切な保険が導入されたら、ロウズはリスク専門家が以下の重要な要素を評価するよう推奨する。
- 条項と除外事項: 批判的なアプローチをとり、査定人の視点から保険契約を分析し、損失が発生した後に生じる可能性のある補償範囲の過不足や予想外のものを特定する。
- 価値ある資産: リスクとなる資産について、物的損害と時間的要素にけるリスク遭遇可能性を評価し、物的および事業活動に影響を及ぼすリスクを特定する。既存の保険が、十分な制限額と適切な条件でこれらのリスクに対処していることを確認することが重要である。
- 免責項目: 特に自然災害では、資産価値の割合に基づく免責項目があるので、すべての免責項目と、それらが純回収額にどのように影響するかを完全に理解するために、保険契約条件を見直す。
トピックス
防災、保険、自然災害、リスクマネジメント
注意事項:本翻訳は“Insurance Considerations for Hurricane Season ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/08/15/insurance-considerations-for-insurance-season ) August 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジェニファー・ポストは本誌編集者。
- どのようにして境界デバイスが防護とリスクになっているのか
どのようにして境界デバイスが防護とリスクになっているのか
スコット・ウォルシュ[*]
コアリション社「2024年サイバー関連保険請求レポート」によると、2023年のサイバー保険請求の頻度は前年比で13%増加し、全体的な請求の深刻度は10%増加し、平均損失額は100,000ドルとなった。サイバー保険の請求の頻度と深刻さが増していることは、あらゆる規模と業界の企業が、機会主義的な脅威から重要な情報を守るための対策を講じる必要性を強調している。まずは、ネットワークやデータをサイバー脅威から守るために企業がしばしば利用する境界デバイスのセキュリティを確保することから始めましょう。
VPN、ファイアウォール、ルータなどの境界デバイスは、ビジネスネットワークの重要なゲートキーパーであり、ビジネスとパブリックインターネットの間に配置され、トラフィックフローを監視する。これらのデバイスは、リモートワーク接続、データセキュリティ、規制コンプライアンス、手頃な価格のセキュリティ制御など、いくつかの利点を組織に提供する。たとえば、VPNは安全なリモートアクセスを可能にし、従業員がどこからでも作業できるようにする一方で、データが暗号化され、傍受から防護されるようにする。また、VPN は転送中のデータを暗号化し、権限のないユーザーが読み取れないようにする。一方、ファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックの両方を監視および制御することによって、安全な内部ネットワークと信頼できない外部ネットワークとの間のバリアとして機能する。
また、これらのデバイスは、既存のインターネットインフラストラクチャを活用してセキュアなプライベートネットワークを作成し、ネットワークパフォーマンスを最適化し、管理者にトラフィックと帯域幅を効果的に管理するツールを提供するため、通常、物理的なセキュリティ対策よりもコスト効率が高くなる。
さらに、特定の業界の企業は、データ保護とプライバシーに関する厳しい規制要件の対象となる可能性があり、境界デバイスは、データを保護し、侵害のリスクを軽減することで、これらの規制の遵守を確実にするのに役立つ。
境界デバイスリスク
残念ながら、サイバー脅威のリスクを軽減する技術は、攻撃の主要な標的でもある。境界デバイスには多くの利点があるが、それにはコストがかかる。デバイス内の脆弱性は、認証チェックをバイパスしたり、任意のコードやコマンドを実行したり、サービス拒否(DoS) 攻撃を引き起こしたり、サイバー拡張を実行したり、クライアントネットワークを使用してより多くの攻撃を実行したりするための脅威行為者のゲートウェイを作りかねない。
2024年の第1四半期に、それ以前に開示されたソニック・ウォール・ファイアウォール機器に影響を与える脆弱性とともに、イバンティとフォーティネットからVPN機器に影響を与える新たな重大な脆弱性が出現した。境界デバイスにおけるゼロデイの脆弱性は、開発者が修正プログラムをリリースする前に悪用される可能性があるため、特に懸念される。これらのリスク遭遇可能性は、不正アクセス、データ漏洩、サービスの中断につながる可能性がある。
一方、サイバー犯罪者は、ファイアウォールを介して公開される可能性があるリモートデスクトッププロトコル(RDP) の攻撃などの戦略を利用している。フィッシング詐欺もファイアウォールにとっての課題である。これらの攻撃には、ユーザーをだましてメールを開かせたり、信頼できる送信元からのように見えるリンクをクリックさせたりすることが含まれるため、ユーザーはすでに信頼できるネットワーク内にいるため、マルウェア詐欺への接続を行うときにはファイアウォールはリスクを軽減しない。このマルウェアが一度ネットワークに侵入すると、エンドユーザーは認識できなくなる可能性がある。
ファイアウォールはセキュリティパズルの1つにすぎないが、ネットワークの境界線を越えて公開されるものを制限することの重要性を強調している。ネットワークの内部を攻撃する敵が増えるからである。
境界デバイスリスクを緩和するための重要なステップ
境界デバイスは段階的に廃止され、最終的にはクラウドに移行するかもしれないが、このリモートファーストの世界では不可欠な存在であり続けている。それまでの間、以下の手順で組織を保護することができる。
- 境界デバイスを慎重に選択する。今年見られたように、サイバー犯罪者は特定の技術を他の技術よりも頻繁に標的にしている。デバイスを評価する際には、その脆弱性の履歴と、過去のリスク遭遇可能性に対するベンダーの対応を検討する。
- ベンダー忠告サービスに契約する。ベンダーは通常、忠告サービスを提供し、重要な情報を共有するため、ベンダーから警告を受け取ったときに注意を払う必要がある。理想的には、企業はデバイスの実装時にこれらの警告を契約する必要があるが、契約が遅すぎるということはない。
- 定期的なパッチ(修正用プログラム)追加作業を確立し、対応する。新たな脆弱性について常に情報を得ることは戦いの半分に過ぎず、企業も迅速に行動しなければならない。すべてのソフトウェアとファームウェアに迅速にパッチを追加することで、企業は攻撃の可能性を大幅に減らすことができる。定期的な作業間隔を確立することは賢明なリスクマネジメント戦略であるが、予定された更新作業の前に重要なパッチがリリースされた場合、その作業間隔から逸脱することに慣れなければならない。
- すべての境界デバイスが正しく設定されていることを確認する。既知の脆弱性を持つ技術に迅速にパッチを当てるだけでなく、企業はサイバー攻撃の可能性を減らすために境界デバイスを設定できる。これには、多要素認証の有効化、アクセス権限の制限、共有アカウントの回避、ロックアウトポリシーの強化、管理者に個人の責任に基づく権限を付与することが含まれる。定期的にこれらの設定を見直すことは、特にあなたのビジネスが大きな変更を実施する場合、良い習慣となる。
徹底的な復旧アプローチのための対応計画
悪意ある者が組織の境界デバイスを利用して内部システムにアクセスする中、すべての組織は報告義務を含む計画を用意して、徹底的な復旧アプローチを保証する。
この計画の一環として、事業者は、すべての主要な利害関係者が要求事項を理解していることを確実にするために、報告義務を定期的に見直し、評価すべきである。報告義務のリストを監視し、維持するときには、企業内の誰が責任を負うのかというように、これらの義務の遂行を維持するために明確に責任を割り当てることが、組織が真に対応できるようにするための鍵となる。そうすることで、危機時にチームに権限を与え、後の混乱を避けることにもつながる。
サイバーセキュリティには特効薬はない。組織のサイバーセキュリティ対策では脅威主体のネットワークへの侵入を防ぐことができない場合には、徹底的な復旧アプローチと保険の適用を組み合わせることで、組織は最小限の損失で通常の業務に復帰することができる。
強力な徹底的復旧アプローチを実施するために、組織は以下のステップを踏むべきである。
- ビジネスに特化したインシデント対応計画を作成し、テストする。最悪の事態に備えることは決して悪い考えではない。優れたインシデント対応計画は、検知、分析、復旧、インシデント後の4つの重要なイベントステージで組織がどのように侵入に対応するかを示すものである。この機会を活用して、最初からシステムを再構築する必要があるという態度で、バックアップの復元をテストする。
- セキュリティデータを収集し、脅威を迅速に検出して対応する。適切な分析を行い、侵入の原因の根本原因を突き止め、何が侵害されたのかを特定するには、信頼できるロギングシステムが必要である。このデータを過去にさかのぼって収集することが不可能であれば、何が起こったのかを真に理解することはできない。
- データを分析し、何が起こったかについて正確な時系列で整理する。この分析は、どのマシンが機密データをホストし、どのマシンが損失を最小限に抑えるために最初に分析する必要があるかを強調することで、侵入の程度を判断するのに役立つ。
- データを回復して通常どおりビジネスを再開する手順を講じる。分析の段階で学んだことはすべて、復旧プロセスの実行を可能にする。これには、多くの場合、バックアップからの復元、顧客や利害関係者への通知、インシデントに対応する会社との協力が含まれる。
- インシデント後に学んだ教訓を振り返る。インシデント対応計画は生きた文書でなければならない。サイバーイベントが発生した後は、復旧中に直面する課題により適切に対処できるように、文書を更新する。
境界デバイスは重要な保護を提供するが、これを放っておくと、脅威主体がそれを悪用する可能性がある。リモートアクセスとネットワークセキュリティの代替アプローチとして、企業はセキュアアクセスサービスエッジ(SASE)モデルを検討できる。この新しいクラウドベースのアーキテクチャは、セキュリティをアプリケーションとネットワーキング機能に統合し、企業が重大な脆弱性、特に境界デバイスに影響する脆弱性を回避できるようにする。しかし、SASEは時間と資源への先行投資を必要とするので、すべてのビジネスがそうしたことをできる余裕があるわけではない。組織は、よりきめ細かいアクセス制御とより優れたセキュリティ実績を持つ、ゼロトラストアーキテクチャなどの、より近代的なセキュリティソリューションを採用することもできる。
深刻な脆弱性と進化するサイバー脅威により、企業は、慎重なデバイスの選択、タイムリーなパッチ適用、適切な設定など、リスク軽減戦略に積極的に取り組む必要がある。サイバーセキュリティへの備えと回復力を優先させることで、組織はサイバー脅威の複雑な状況をより高い信頼性と効率性で乗り切ることができる。
トピックス
サイバー、リスクマネジメント、セキュリティ、テクノロジー
注意事項:本翻訳は“ How Boundary Devices Present Both Protection and Risk”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/08/20/how-boundary-devices-present-both-protection-and-risk ) August 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
スコット・ウォルシュはサイバー保険会社コアリション主任セキュリティ研究者。
- 会社の人権政策を策定する
会社の人権政策を策定する
ニール・ホッジ[*]
企業は、自社の事業やサプライチェーンにおける人権上の欠陥を発見し、根絶し、是正するための行動をとっていることを示すよう、ますます強く求められている。その結果、多くの人々が、規制や利害関係者の期待に応えるために、献身的な人権政策を採用すべきかどうかを検討している。
多くの企業が、環境・社会・ガバナンス(ESG)の枠組みの一部として人権を取り入れている。これは一部の人には適切かもしれないが、すべての人には適切であるとはいえない。批評家は、人権に関する懸念がESGの「S」の部分と一括りにされる傾向があることを指摘する。この部分は、ESG報告において最も理解されていない側面であり、多くの企業にとって適切な保証を得ることが最も難しい。さらに、特に大規模な組織にとって、人権の遵守と不遵守について満足のいく監視、管理、報告を行うために、複数の法域にわたるすべてのESGデータを掘り下げることは困難な作業となる可能性がある。
したがって、人権政策によって組織が直面するリスクの可視性が高まり、それを監視し緩和するために何をしているのかが明確になると考える専門家もいる。法律事務所ジェンナー・アンド・ブロックのパートナー、ルーシー・ブレイクによれば、方針は社内外の人権に対するよりよいコミットメントを示すものである。「これは会社が人権問題を真剣に受け止めていることを示している」と彼女は言った。組織はESGフレームワークのような広範な政策文書で人権問題に取り組むことができるが、それとは別の人権政策は、企業が人権を尊重することへのコミットメントを強化し、利害関係者の期待が進化し、成長するにつれて変化を起こすのに役立つ。
規制圧力に直面する
人権政策を策定するきっかけは、近年、事業活動やバリューチェーンにおける人権リスクの管理を企業に義務付ける法規制が大幅に増加していることである。
例えば、米国では、関税法、ドッド・フランク法、サプライチェーン法におけるカリフォルニア州の透明性要請が、人権の保護と虐待の防止に関して企業がどのようにすべきかを定めている。
大西洋全域で、国内法と汎欧州法が混在して施行されつつあり、企業には事業活動に関する報告を義務づけることになる。2025年に発効するEUの企業持続可能性報告指令(CSRD)の下、この法律の基準を満たした約12,000の大企業は、環境、社会的リスク、従業員の待遇、人権、腐敗・贈収賄防止に関する情報を公表しなければならない。
EUが予定している企業の持続可能性デュー・デリジェンス指令(CSDDD)は、企業にESG報告を優先するようさらに圧力をかけることになる。特に、この規制は、コンプライアンスを確実にするために取締役会に直接責任を課し、規制当局が(CSRDと異なり)企業の世界売上高の最大5%の金銭的制裁を課すことを可能にするからである。この規制は、ヨーロッパで事業を行う非EU企業でも、1000人以上の従業員と4億5000万ユーロ以上の全世界での売上高があれば適用される。
欧州の一部の国では、人権関連リスクの報告と管理に関する企業の義務について、独自の国内法を制定している国もある。英国の2015年現代奴隷法では、事業やサプライチェーンに奴隷制が潜在的に発生する可能性があるかどうかを評価したかどうか、またそのようなリスクを特定し、軽減するためにどのような措置を講じたかについての声明を提出することが企業に求められている。フランスの警戒義務法は、サプライチェーンで起こり得る人権侵害をチェックし、マップを作成し、防止する計画を大企業に強制することで、さらに進んでいる。一方、ドイツのサプライチェーン法は、企業が広範囲にわたる人権侵害を防止し、根絶するための包括的な一連のルールを提供している。
コンプライアンスにコミットする
このような法律は、人権問題を優先していない企業に、コンプライアンスの義務を果たすための関連政策の策定を迫る可能性がある。方針が最初から有効であることを保証するために、企業は、明確で、簡潔で、達成可能な言葉で人権を尊重することを約束する政策声明を持つべきである。「約束しすぎたり、成果を出しすぎたりすると、どんな政策も最初から信頼性を失うことになる。したがって、あまり早くに過度に野心的になるのはやめよう」とブレイクは言う。
あらゆる人権政策の基礎として、国連のビジネスと人権に関する指導原則やOECD多国籍企業ガイドラインなどのソフトロー基準を適応させるよう、彼女は助言した。これらのガイドラインは、政府、利害関係者、企業によって支持されており、企業には人権の尊重を約束する方針声明と、人権侵害に対処し、是正する計画を持つことが期待されていることを明確にしている。
人権政策が効果的であるためには、悪影響を特定し、防止し、緩和する効果的な人権影響評価によって補完されるべきである。「的を絞った、焦点を絞った政策を望むなら、人権に関連するリスクが組織の業務のどこで発生する可能性があるかを理解し、これらのリスクに対処するためにオーダーメイドの政策を策定することが重要です」とブレイクは述べた。もし会社が別の政策を持っているなら、それは部門別のものであってはならない。そうではなく、これをリスクマネジメントフレームワークの一部とすべきだと彼女は提言した。そうすれば、「これは、社内法務、コンプライアンス、内部監査、リスクマネジメントなど、さまざまな保証部門によって検討されることになり、ビジネスの一部にだけに審査や監視を任せるのではなく」なる。
人権政策は、それが適切に設計されなかったり、実施が不十分であったり、指導が不十分であったりすると、失敗する可能性がある。「この政策が文化的に受け入れられるよう、上級管理職と、そして決定的なものであるが中間管理職は、この政策に対するコミットメントを示さなければならない。このコミットメントには、定期的なトレーニングが伴うべきで、その違反は罰せられます」とブレイクは言う。
企業が違反事例を報告し、適切に処理することを保証するために、オープンで透明性のあるコミュニケーションラインを持つことも必要である。「苦情処理制度や内部告発プログラムがあることで、人権政策の有効性について重要なフィードバックを得ることができます」と述べた。「内部告発の報告ができないことは、人権政策が成功しているかどうかというよりも、不適切な『発言』文化を示している可能性がある。」
法律事務所コビントンの特別顧問、トム・プロトキンによると、人権政策は、多くの場合、より広範な人権遵守プログラムの一部分に過ぎない。「この政策は、人権の尊重に対する当社のコミットメントを明確にすることを目的としているが、会社自身の業務内およびバリューチェーン全体の両方において、これらのコミットメントを強化するのに役立つ明確な手順を伴わなければならない」と述べた。
このプロセスはいくつかのステップから成り立っており、人権政策そのものに盛り込むことも、要約することも可能であると、彼は述べた。まず、社員や取引先に対して、会社の人権規範を周知し、その遵守に同意してもらうことが重要である。また、実際の、あるいは潜在的な人権リスクを特定するための監視プロセスを整備することも有益である。理想的には、このような監視プロセスが継続的に行われること、つまり、会社は自分たちと関係を結ぶための条件として、また通常のビジネスの一環として、人権リスクを積極的に特定することを目指すことになる。規定された手順はまた、人権への悪影響が特定された場合、それに対応し、緩和し、修復するためにも重要である。さらに、企業は人権パフォーマンスに関する情報の開示を求められることが増えているため、デュー・デリジェンスの取り組みを追跡し、その取り組みとその有効性を外部の聴衆に説明する準備を整えることも有益である。
「人権は、企業にとって比較的新しく、いくぶんユニークなコンプライアンス形態です」とプロトキンは言う。明確な規制ガイダンス、厳格なコンプライアンス基準、守秘義務に関する詳細な期待がある他の法律分野とは異なり、企業の人権コンプライアンスは、少し異なる道をたどることができる。例えば、あるサプライヤーが人権基準に違反した場合、そのサプライヤーとの関係を単に断つことは、しばしば最良のアプローチではない。それどころか、規制当局は、企業がサプライヤーと協力して問題を是正することをますます期待している。
また、利害関係者や規制当局からは、たとえその取り組みが不完全であったり、人権侵害の可能性や実際の人権侵害を特定していたりしたとしても、企業がコンプライアンスの取り組みについて詳細に報告することを期待されている。さらに、企業は、政府、企業団体、市民社会などの外部の利害関係者と協力して人権リスクに取り組むことが期待されることがよくある。「こうした微妙なニュアンスを捉えられない人権政策は、未熟であるか、遵守していない可能性があると見なされる可能性がある」と述べた。
効果的な人権政策を起草する
ビジネス顧問会社スカラブ・ライジングのイリーナ・ツカーマン社長は、「人権政策はどんな組織にも同じように当てはまる課題ではないため、企業は個々の状況に合わせて政策を調整する必要がある」と述べた。政策を立案する時を含め、検討すべき3つの主要なポイントがある、と彼女は述べた。第1に、企業は、事業を行っている国または拠点を置く国々における関連する法定労働権規定に注意を払うべきである。第2に、企業は、その業種または事業を行う地域において知られている人権上の懸念を考慮に入れるべきである。第三に、企業は、女性、迫害されているマイノリティ、恵まれない若者など、より脆弱な立場にある可能性のある潜在的な従業員や顧客のグループに対して提供できる具体的な条項を検討すべきである。
「強固な人権メカニズムは、社会的弱者や弱い立場にある人々、顧客、従業員との関わりに付加価値を与え、単に法律の条文に従うだけでなく、監視を避けるために必要最低限のものを守るだけでなく、基本的な保護、機会、選択肢を提供するもので、事後対応的なものではなく、先を見越したものです」と彼女は述べた。
企業はまた、人権に関する自らの記録に基づいて徹底的なデュー・デリジェンスを実施し、「多様な声」と関わり、「理にかなった」政策の形成を支援すべきである、とツカーマンは述べた。これには、侵害を受けたグループのコミュニティリーダー、問題の専門家、業界や地域での経験を持つ弁護士、地元の役人、評判リスクの専門家を参加させることも含まれる。企業は、「やってはいけないこと」の事例を探りながら、業界や同じような立場の企業におけるベストプラクティスについて自らを教育すべきである。
ツカーマンは、人権侵害に関する既知のスキャンダル、訴訟の判例、ビジネス上の不正行為に関するマスコミの調査を調べるとともに、コンプライアンス規制当局に定期的に相談し、さまざまな種類の規制や法律に対する会社の理解を最新のものにすることを推奨した。さらに、政策の表現は、定義、基準、コミットメント、目的、説明責任に関して常に明確でなければならない。
たとえ情報が常に人権問題としてラベル付けされているとは限らないとしても、企業は人権問題に関する関連データを持っている可能性が高い。例えば、地域事務所が作成した国別報告書には、国の人権状況やビジネスとの関連性に関する関連情報が含まれている可能性があるが、内部監査プロセスには、すでに多くの企業における現在および新たな人権リスクにかかわる関連指標が含まれている。
従業員調査には、差別の経験、従業員の関与についての認識、経営者の傾聴力など、人権に関する貴重な情報が含まれていることが多いため、有用な情報源となることもある。さらに、通報者のホットラインからの報告、苦情箱、労働組合代表からのフィードバックなどの苦情処理の仕組みは、労働者による嫌がらせ、過剰な時間外労働、環境・健康・安全の欠陥などの関連する指標を明らかにすることができる。
適切な測定基準を選択する
「企業は、適切な企業固有の指標を開発するために時間をかけるべきだ」とツカーマンは言う。これには、人権影響評価の件数のレビュー、報告された違反事例や否定的な結果の追跡、賃金水準や近隣コミュニティの健康と安全などの問題に対する企業活動の長期的な影響の監視、人権に関する企業行動規範の訓練を受けた労働者の割合、企業が直接雇用する労働者やサプライチェーン内の労働者を代表する労働組合との会合や対話の頻度などが含まれる。従業員の離職率も、劣悪な企業文化を示す良い指標となりうる。
検討すべき他の課題としては、供給業者、代理店、その他の第三者のパフォーマンスを追跡するメカニズムが含まれる。この点に関して、監査に基づくアプローチの大半は「取り締まり」ベースで運用される。これは、供給業者や第三者が人権に関わることができないか、またはやる気がないことを前提としており、監査を通じた監視と執行を必要とするトップダウンの行動規範を課している。しかし、多くの場合、サプライヤーは意欲的ではあるが、スタッフ、経験、ツールが不足しているため、コストのかかる仕組みや慣行に従事する能力が不足している。そのため、企業はサプライヤーを罰するのではなく、サプライヤーと協力して違反を特定し根絶する手助けをし、それによってコンプライアンスのインセンティブを創出するほうが理にかなっている。
企業がサプライヤーに行動規範を遵守させるには、いくつかの方法がある。一般的なツールは、企業が第三者に非財務的な表明書への署名を強要することである。これは、事業が会社の原則に従って行われているという保証を第三者に与えるものである。もう1つの戦略は、企業が複数の利害関係者の取組みに参加し、検証プロセスを持つことである。これにより、企業は自社の活動、そしてしばしばサプライヤーやその他のビジネスパートナーの活動を測定するための基準にコミットすることになる。これらの取組みは、通常、特定の業界を中心としており、会員企業に代わってサプライヤーの評価を実施または委託する場合もある。外部の保証提供者による検証も人気のある選択肢になりつつある。
「最良の人権政策のための理想的な絶対的な基準はない」とツカーマンは述べた。「経験や資源の不足、または実施や関与[を経験すること]の難しさのために、ある特定の分野が不足していることは、会社が人権で失敗していることを意味するものではない。だからこそ、さまざまな測定分野に目を向け、さまざまな課題を追跡することが有益であり、測定可能な成功がどこにあるのか、より多くの資源や異なるアプローチが必要なのはどこなのかを理解するのに役立つ」。
重要なポイントは、問題に対する真のコミットメントを反映した献身的な人権政策を持つことである。そうでないとしたら、組織が「単に流行を追いかけるため、トレンドを追いかけるために政策を策定する」のであれば、利害関係者は「無視」するだろうと、ガバナンス・リスク・コンプライアンス・ソフトウェア・プロバイダーであるナヴェックス社規制ソリューション担当取締役ジョン・スタッパーズは述べた。
「一部の企業は、LGBTQ+コミュニティへの支援を示すために虹色を使うなど、非常に流行している問題に賛成しているという声明やロゴをウェブサイトに掲載するのが好きです」と述べた。「しかし、現実には、彼らの公の声明は彼らの行動と一致しないか、彼らの思いが適切な政策に反映されていない。人々が特定の問題に対処するための特定の政策だけを望んでいると考える企業であれば、単純に「チェックボックス」型の政策を策定するだけ留まるであろう。」
このリスクを軽減するために、企業はなぜ人権政策を策定すべきなのかを自問しなければならない。「人権に関わるリスクを事業にマップするのか、それとも人権を信じ、事業が地域社会や環境に与える影響を確実に理解したいからなのか」 とスタッパーズは言った。「初期の企業の人権政策の多くは、人に対する被害よりも企業に対する被害を抑えることに重点を置いていた」
人権に対する透明性や説明責任への期待は高まっており、今後もますます高まる一方である。利害関係者や規制当局を満足させるために、企業はさらなる努力をする必要があることを受け入れることが重要である。人権侵害を特定し、予防し、是正するための企業のアプローチを概説し、それを支える特別な政策を持つことは、企業行動のしばしば無視される領域を明確にする助けとなる。
人権政策には何を含めるべきか
専門家によれば、強力な人権政策には通常、以下の特徴が含まれる。
- 人と第三者に求められることを明確にした説明。
- 会社が採択し実行することを約束する具体的かつ特定の目標、原則、行動。
- 企業の活動、業務、サプライチェーン、バリューチェーンに向けた明確に定義された適用範囲。
- 会社が直面するリスクに合わせて政策を調整し、発生する可能性の高い課題に適切に対処できるようにするリスク評価プロセス。そもそも存在しなかった問題や起こりそうな問題に組織が効果的に対処しているように見せるためだけに、会社の活動に適用されない条項を含めることはほとんど意味がない。
- 他の関連する会社の政策やプロセス(倫理規範、企業行動規範、CSR基準など)との統合。
- 企業行動を導くための明確な枠組みを提供する、広く受け入れられ、十分に確立された基準という基礎。国連の指導原則、OECDの多国籍企業行動指針、ILOの多国籍企業と社会政策に関する原則宣言(ILO多国籍企業宣言)は、政策の基礎となる良いモデルである。なぜなら、これらの宣言は国際的に認知されており、企業のニーズ、状況、願望に合わせた政策を柔軟に作成できるからである。
- 会社の最上級レベルのメンバーによる承認と、実施と監視に責任を持つ人物の確定。
- 企業が人権に関する取組みみについて情報を開示し、その取組みがたとえ不完全であったり、人権侵害の可能性や実態が明らかになったりしたとしても、その取組みを詳細に報告することが求められている。
- 従業員や第三者が不適合事例や方針が効果的でないかどうかを指摘できる報告・苦情処理メカニズム。
- 効果的な監視、審査、追跡を可能にする測定基準との整合性。
トピックス
コンプライアンス、全社的リスクマネジメント、ESG、国際、規制、レピュテーション・リスク
注意事項:本翻訳は“ How Boundary Devices Present Both Protection and Risk”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/08/20/how-boundary-devices-present-both-protection-and-risk ) August 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
スコット・ウォルシュはサイバー保険会社コアリション主任セキュリティ研究者。
- 気候変動に対する無策が事業に及ぼす含意