Risk Management
【Web特別版】
4月号
- 効果的な第三者リスクマネジメントを実施する
効果的な第三者リスクマネジメントを実施する
タスク・イトウ[*]
顧客の要求に応え、コストとのバランスを取り、コンプライアンスを維持するために、金融機関はますます第三者とのパートナーシップに依存するようになっている。実際、EY(英国の保証有限責任会社であり、顧客サービスは提供していない)による2023年の調査によると、米国の金融サービス企業の98%が第三者供給業者とパートナーシップを結んでおり、その数は数千に上ることもある。
これだけ多くのパートナーが存在すると、リスクの管理も難しくなる。銀行が第三者と協業することで、より多くの機密データを外部と共有することになり、データ漏洩、サイバー攻撃、AML(マネー・ローンダリング防止対策違反)、非倫理的行為などのリスクが高まる。供給業者のリスクプロファイルを十分に可視化できなければ、組織全体に害を及ぼしかねない。このリスクを認識し、FDIC(連邦預金保険公社)は最近、連邦準備制度理事会(FRB)および通貨監督庁(OCC)と共同で、第三者との関係に関する改訂版ガイダンスを発表した。同ガイダンスは、銀行が、最も重要な関係を特定、軽減、評価することにより、包括的な第三者リスクマネジメントの枠組みを構築することを奨励している。
新たなガイダンスによって、金融規制当局は、第三者リスクマネジメント(TPRM)と銀行が導入している管理体制をますます精査しているという明確なシグナルを送っている。このことは、この問題をめぐって銀行に対して出された多くの罰金や強制措置によってさらに実証されている。例えば、2020年10月、メトロポリタン・コマーシャル銀行は、COVID-19のパンデミックの際に詐欺に使用されたプリペイド・クレジット・カードを提供した第三者パートナーに関連する第三者の見落としに対して、3,000万ドルの罰金を課された。2023年7月、アメリカン・エキスプレスは、適切な通話監視と顧客苦情管理を実施していなかった第三者関連会社との関係に関連する問題で、OCCから1,500万ドルの罰金を課された。2023年5月、FDICはまた、多くのフィンテック企業の頼りになる銀行パートナーであるクロスリバー銀行に対し、同銀行が安全でない融資行為を行っており、第三者の融資パートナーに対して適切な監督を行っていなかったという主張に対して同意命令を締結した。同意命令には、銀行が新たな第三者関係を結ぶ前に非常に詳細な第三者リスク評価を実施する必要があることが具体的に詳述されている。
第三者のリスク動向
第三者リスクに頻繁に関連する主な結果の一つは、データ漏洩に対する脆弱性の増大である。このような侵害による金銭的損失は、甚大なものになる可能性がある。IBMの「2023年データ漏洩のコスト報告書」によると、データ侵害の平均コストは2023年に445万ドルと過去最高に達した。しかし、データ漏洩は第三者リスクのほんの一例に過ぎない。効果的な第三者リスクマネジメント戦略を実施していない銀行は、以下のような様々なリスクに自らをさらしている。
- 戦略的: 特に主要製品に関する第三者との提携が不利に進めば、顧客や競争力の喪失につながる可能性がある。
- 業務上: 主要な業務プロジェクト、特にデータに関わるプロジェクトで供給業者の能力が発揮されない場合、組織は重要な取引を処理できなくなり、エラーや詐欺の影響をますます受けやすくなる。
- コンプライアンス: 関連する法律や規制の遵守に失敗した企業と提携することは、規制当局の監視や罰金など、広範囲にわたる影響を受ける可能性がある。
- ITとサイバーセキュリティ: 誤ったソフトウェア更新、データ損失が発生した場合、サービス停止、金銭的損害、風評被害につながる可能性がある。
2022年のKPMG(英国で設立され、会計と経営コンサルティングを主力とする多国籍企業)の調査によると、回答者のほぼ4分の3が、過去3年以内に第三者による重大な業務の中断を少なくとも1回は経験している。多くのTPRM(第三者リスクマネジメント)部門は、予算不足、非効率的な技術、歴史的に遅々としてきた手作業のプロセスを処理するための限られた人的資源に直面している。第三者リスクによりよく対処するために、組織は自らの戦略を事前準備的に採用しなければならない。以下は、TPRMの将来を変える要因である。
- 新たな規制の枠組み: FDIC(連邦預金保険公社)のガイダンスの改訂に加え、金融機関は第三者リスクにさらされるより広範な規制の枠組みを考慮しなければならない。例えば、ESGの取り組み遵守は、環境に対してそれほど強い関与を持たないサプライヤーによって複雑になる可能性がある。包括的なTPRMプログラムを導入するというガイダンスに従がわない銀行は、精査や罰金に晒されることになる。
- 新興リスク: サイバーセキュリティ、業務、コンプライアンスでのリスクは増加の一途をたどっている。デロイト(世界最大の会計事務所)の2023年グローバル第三者リスクマネジメント調査では、リスク・リーダーの約62%が、技術投資とITセキュリティ・リスクを第三者リスクの上位に位置付けている。第三者の供給業者がサイバー攻撃やシステム障害から自らを守れなかったり、規制を遵守しなかったりした場合、その供給業者と提携している銀行も同様の損失を被る可能性がある。
- 技術投資: 組織は、AI、機械学習、ブロックチェーンといった新たな技術を活用し、高度な第三者リスクマネジメントを展開している。AIやMLは、デューデリジェンス、リスク評価、継続的なモニタリング業務を自動化することができる。デロイトによると、金融サービス業界はTPRMのための技術と自動化への投資において他業界をリードしており、それは全体的なリスク手法の改善の次に位置づけられている。
第三者リスクマネジメント戦略を策定する
デロイトの調査によると、TPRMに適切な投資を行っている企業は、現在および将来の課題に対処するためのより良い態勢が整っていることが明らかになった。効果的なTPRMプログラムは、金融機関が第三者供給業者に関連するリスクを特定、評価、軽減するのに役立ち、金融機関は顧客、データ、収益をよりよく保護することを可能にする。効果的な第三者リスクマネジメント戦略を実施するために、金融サービス企業は以下を行うべきである:
- データから始める: 第三者との関係における最も重大なセキュリティ上の脆弱性の1つは、データの共有と追跡である。組織内外にリアルタイムのデータ洞察システムを導入することで、異常な活動を即座に監視し、フラグを立てるのに役立つ。
- 適切な人材を関与させる: 第三者との関係は非常に広範囲に及ぶため、TPRMにはコンプライアンスから営業、供給業者と関係を持つ顧客担当マネジャーまで、銀行のほぼすべての部門の代表者を関与させるべきである。規制当局がこのような関係をますます精査するようになるにつれ、経営幹部はこのような関係の管理に力を入れ、積極的な役割を果たすべきである。
- 徹底したデューデリジェンスを実施する: デューデリジェンスのベストプラクティスと供給業者のリスクマネジメントソフトウェアは、組織がパートナーのビジネス、財務状況、リスクプロファイル、セキュリティを評価するのに役立 つ。理想的には、このような情報は関係を開始する前に収集されるべきである。
- 供給業者リスクを区分けする: すべての供給業者リスクプロファイルが同じように作成されているわけではない。貴社の供給業者をリスクの影響度に基づいて階層に分ける。関係が危険であればあるほど、より入念に監視されるべきである。
- 業務上の強靭さを評価する: 不審な活動の兆候に対する第三者のシステムやネットワークのセキュリティを調査するために、サイバーセキュリティ監視ツールを使用して、サイバー攻撃に耐える組織の能力を評価する。
- インシデント対応計画を作成する: この計画には、組織と顧客への影響を軽減するための手順を含めるべきである。ソフトウェアは様々なシナリオをモデル化し、計画作成に役立ち、一方で侵入テストは現実世界のインシデントをシミュレーションすることができる。
- 継続的な監視に取り組む: 各第三者のパフォーマンス、リスクプロファイル、セキュリティの脆弱性を定期的に見直す。
トピックス
サイバー、コンプライアンス、規制、リスク評価、リスクマネジメント、戦略的リスクマネジメント
注意事項:本翻訳は“Conducting Effective Third-Party Risk Management”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/04/02/conducting-effective-third-party-risk-management ) April 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
タスク・イトウは野村総合研究所グローバルGRC(ガバナンス・リスクマネジメント・コンプライアンス)ストラテジスト。
- ソーシャルメディアでの著作権侵害申し立を防衛する
ソーシャルメディアでの著作権侵害申し立を防衛する
マイケル・S・レヴァィン、ラトーシャ・M・エリス、ヴェロニカ・P・アダムス[*]
企業が製品やサービスの販売促進をソーシャルメディアに依存するようになるにつれ、著作権侵害の申し立ても増加しており、企業やその広告キャンペーンを促進する人々にとって、著作権法とソーシャルメディアの接点を理解することが、これまで以上に重要になっている。以前は出版社のみに限られていた申し立てが、現在では、自社のソーシャルメディアの投稿や第三者のインフルエンサーの投稿を通じて製品を販売する大手企業にまで及んでいる。作成者の許可なくユーザーが作成したコンテンツを再共有することは、組織を重大な法的責任とリスクにさらす可能性がある。著作権侵害訴訟で間違った側の立場になれば、訴訟費用や損害賠償で数千ドルはおろか数百万ドルもの負担を強いられる可能性がある。幸いなことに、包括的なリスクマネジメントと保険プログラムは、著作権所有者が組織に著作物の不正使用を訴えた場合、これらの損失を軽減するのに役立つ。
リスクを理解する
潜在的なリスクを理解することは、組織を著作権侵害の申し立てにさらす可能性のある活動を認識する上で極めて重要である。例えば、製品やサービスを宣伝するために写真やビデオを作成し、共有する企業は、作成者の承認なしにコンテンツを使用することを選択した場合、著作権侵害の申し立てに対して責任を負う可能性がある。
さらに、ソーシャルメディアのページやウェブサイトで音楽を使用している企業もリスクにさらされている。音楽が適切にライセンスされていない場合、たとえそれが背景音楽として無邪気に流れていたとしても、著作権侵害に触れることになる。たとえば、フロリダ州南部地区連邦地方裁判所は、バングエナジー社がアーティストの許可を得ずに音楽付きのティックトック広告を掲載したところ、ユニバーサル・ミュージックグループの著作権を侵害したと判断した。
フォロワー数が少ないことは防御にはならないことに注意することが重要である。同様に、他の理由からベストプラクティスではあるが、原作者のクレジットを表示しても、著作権で保護された作品を使用する権利が付与されたり、自動的に保護されたりするわけではない。むしろ、ソースにリンクし、原作者を示すことは、原作者に対して不正使用を通知することになる。インターネット上で、著作権で保護されたコンテンツの不適切な使用を検出できるソフトウェアもあり、損害賠償請求件数の顕著な増加に寄与している。
著作権侵害の申し立ては、多額の弁護費用、実損害、法定損害賠償、および弁護士費用につながる可能性がある。たとえば、17の音楽出版社は、ツイッター社が著作権で保護された素材をユーザーがアップロードすることを許可するライセンス料を支払っていなかったとして、ツイッター社を著作権侵害で2億5,000万ドル以上(数千の違反行為ごとに15万ドルの法定罰金を含む)で訴えた。
創作者の許可なく著作物をアップロードまたはダウンロードすることは、創作者の独占的複製・頒布権を侵害することになる。著作権侵害を犯した者は、侵害された作品1点につき最高3万ドル、故意の侵害の場合は1点につき最高15万ドルの連邦法定損害賠償を請求される可能性がある。被害高が大きいのは、インスタグラムやティックトックのようなプラットフォームで音楽を活用する短編ビデオのようなトレンドに傾倒する企業が増えるにつれ、侵害の可能性があるケースの数が大幅に増えているからである。
TiktokやInstagramに広告を掲載するために、人気のインフルエンサーを活用するソーシャルメディア戦略を採用する企業は多い。米国の3大レコードレーベルはいずれも、100以上の動画で音楽を使用するライセンスを取得していないとして、いくつかの企業を非難している。あるケースでは、連邦判事はソーシャルメディアへの投稿を「著作物」と認定し、レーベル側を支持する判決を下した。他のケースでは、クリエイターは、排除措置命令書の送付、和解要求、クリエイターのライセンス作品に対する請求書など、より迅速な代替手段を選択しており、著作権侵害の申し立てに対するリスク遭遇可能性を分析し、責任を緩和・軽減する戦略を策定することの重要性を強調している。
著作権侵害リスクを軽減する
著作権侵害の申し立てを避けるための包括的な解決策はないかもしれないが、組織は包括的な保険プログラムに頼り、明確なソーシャルメディア・ガバナンスポリシーを持ち、オリジナルコンテンツを使用することで、そのような申し立ての潜在的な影響を最小限に抑えることができる。
リスク軽減の代わりになるものではないが、より広範なリスク軽減計画の一環として、関連する保険を利用することができる。より広範なリスク軽減計画の構成要素としての保険の役割は2つある。第一に、多くの人が予想するように、保険は著作権侵害による自己負担損失を軽減または排除するのに役立つ可能性がある。第二に、見落とされがちであるが、保険は、著作権侵害の申し立ての弁護費用を、たとえその請求が賠償責任に至らなかったとしても、削減または完全にカバーするのに役立つ可能性がある。実際、訴訟の弁護費用は、結果として生じる判決や和解の金額を支払うよりも価値がある場合がある。
優れたソーシャルメディア管理運営方針は、より広範なリスク軽減計画の一部でもあり、ほとんどの保険会社が要求するものである。音楽や他人のコンテンツを共有する投稿をクリエイターが承認していることを確認する必要があるとする方針は、製品やサービスを販売するために第三者のインフルエンサーと契約する場合に特に重要である。管理運営方針では、コンテンツの再投稿、トレンド音の使用、第三者クリエイターとの提携に関する具体的なガイドラインなど、セキュリティ規定、規制遵守要件、著作権侵害防止策を検討すべきである。
ソーシャルメディア用にオリジナルのコンテンツを作成することは、著作権侵害申し立てのリスクを軽減することにもなる。トレンドの音楽やコンテンツの再投稿といったトレンドに飛びつくことは、ソーシャルメディアでのエンゲージメントを高める強力な手段であるが、その危険性は利益を上回るかもしれない。コストやその他の要因により、オリジナルコンテンツの投稿が理想的でない場合には、第三者のコンテンツを使用する人および契約した第三者が、著作権侵害を避けるために適切なライセンスと許可を整えておく必要があることを理解することが重要である。
著作権侵害の申し立てに対する保険の補償範囲
十分かつ適切な保険は、著作権侵害事件において組織を保護するのに役立つ。メディア賠償責任から商業賠償責任(CGL)、サイバー保険に至るまで、組織は著作権侵害の申し立てに関連する弁護費用、判決、和解に保険を活用することができる。ただし、どの保険契約証書にも独自の文言と定義された契約用語が含まれている。保険契約証書を注意深く検討し、特定のビジネスリスクに対する十分な補償を確保するため、保険の専門家と相談することである。
ほとんどのCGL保険は、著作権侵害の申し立てなどの知的財産リスクをカバーしておらず、通常、知的財産の除外が含まれている。この保険は、オンライン・プラットフォームを含む広告で行われた犯罪の申し立てから企業を保護することを目的とした広告傷害の補償が含まれる。ただし、著作権侵害の補償範囲について誤解を生み出す可能性のある限定的な定義や広範な除外が、この保険を希薄化させることで、著作権の申し立てと広告との関係は自動的には決まらない。さらに、一般的なCGL保険のフレーズである「広告において」は、その使い方によっては制限的に解釈される可能性がある。
知的財産の除外を超えたその他の除外もまた、保険会社が補償を拒否することにつながる可能性がある。例えば、保険期間の開始前に最初に公表または掲載された資料に関する申し立てについては、保険契約は補償を除外する場合がある。また、保険契約は通常、傷害を意図した、または傷害を引き起こすと合理的に予想される被保険者の行為に対する補償を除外する。したがって、企業の行為は不注意なものでなければならないが、ソーシャルメディアへの投稿の場合はおそらくそうは考えられない。
メディア賠償責任保険は、専門職賠償責任保険または過失怠慢責任保険の一種であり、保護された著作物を許可なく複製、配布、上演または展示することに関連する著作権侵害訴訟から保護することができる。ウェブサイトやソーシャルメディアにメディア・コンテンツを掲載する企業は、リスクマネジメントプログラムにメディア賠償責任保険を追加することを検討すべきである。
サイバー保険契約には、メディア賠償責任保険契約に基づく著作権侵害の申し立てに対する補償も含まれる場合がある。含まれている場合、一般的に、著作権侵害の申し立ての調査および弁護に関わる訴訟費用および経費、判決または和解の結果生じる可能性のある損害賠償を含む、損害賠償および申し立て費用の補償がある。ただし、これらの損害賠償に罰金、違約金、将来の利益が含まれることは稀である。
企業がソーシャルメディアやインフルエンサーによるマーケティング手法を取り入れ続ける一方で、著作権侵害リスクの軽減に対して真摯に取り組むべきである。また、現在の保険プログラムで十分な保護を提供しているとの思い込みも避けるべきである。なぜなら、狭い定義や除外事項、曖昧な契約文言は、複雑な問題を引き起こしたり、補償を完全に妨げたりする可能性があるからである。経験豊富な保険の専門家に相談し、著作権侵害の申し立てに関連するリスクや潜在的なリスク遭遇可能性に対して適切な補償が行われていることを確認することである。
トピックス
サイバー、保険、知的財産、リーガルリスク、リスクマネジメント
注意事項:本翻訳は“Protecting Against Social Media Copyright Infringement Claims ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/04/04/protecting-against-social-media-copyright-infringement-claims ) April 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
マイケル・S・レヴァィンはハントン・アンドリュース・カースLLPワシントンD.C.事務所パートナーで、同事務所の保険補償業務に携わっている。
ラトーシャ M.エリスは、ハントン・アンドリュース・カースLLPワシントンD.C.オフィスの顧問弁護士で、保険契約者に対して補償問題に関するアドバイスを提供している。
ヴェロニカ・P・アダムスはハントン・アンドリュース・カースLLP保険補償業務担当アソシエイトである。
- パラメトリック型保険を活用して地震リスクを軽減する
- 組織が今年備えるべき10の地政学的リスク
組織が今年備えるべき10の地政学的リスク
クリストファー・メイソン、イアン・オックスネバド博士[*]
地政学は、世界のイベントとは程遠いものに見える分野や場所でも、多大なリスクを引き起こし、負債を生み出している。例えば、ウクライナ紛争が米国やEUの経済や制裁体制にどのような影響を与えたかを考えてみよう。このようなリスクがあるため、リスク実務者は、世界的なイベントがリスクマネジメント戦略でどのように迅速な課題となるかを検討しなければならない。米国の司法副長官リサ・O・モナコが最近述べたように、「企業は今日の地政学的および国家安全保障上の課題の最前線にいる」のである。
世界は間違いなくガバナンスの岐路に立っている。今年は少なくとも64カ国で選挙が実施され、数百万人のZ世代が投票資格年齢に達し、長年の規制規範を含む確立された世界秩序が大きく変化する可能性が高まっている。また、選挙や政治的な二極化は、有権者や世論、企業の評判を揺るがしかねない誤報や偽情報キャンペーンの増加にもつながる。さらに、政治的な規制、財政支出の決定、世界的な紛争は、各国の経済や企業に大きな影響を与える可能性がある。
企業は、地政学的リスク遭遇可能性をより事前準備的に管理することが不可欠である。ここでは、2024年の残りの期間において考慮すべき主要な地政学的リスクの内訳と、企業が強靭さを維持するための方法を紹介する。
1. 世界的な紛争
国際紛争は 2024 年も継続および拡大し、グローバルに事業を展開する企業に対する下流に向けての影響はますます大きくなる。ウクライナとガザでの紛争は最近、観光からエネルギーに至るまでの事業分野での資産運用投資に打撃を与えている一方で、他の分野では成長に拍車をかけている。企業は、サプライチェーンの上方と下方にわたる紛争に関連したリスクや混乱から自社を守るために、大きな地政学的な変化が収益にどのような影響を与えるかを理解する必要がある。 鍵となる質問は、紛争が株主価値、顧客アクセス、営業コスト、市場シェア、セキュリティ費用にどのような影響を与えるかに焦点を当てることである。最近のイベントで打撃を受けた保険会があったり、将来のリスクを検討する保険会社があったりするため、世界的な紛争も保険の決定とコストにおいて検討される。地政学的リスク遭遇可能性を評価することで、保険の補償を交渉する際に、より多くの情報に基づいた意思決定が可能になる。
2. 経済制裁
近年、経済制裁が世界経済に大きな影響を与えている。米国、英国、EUがロシアに対して発動した欧米制裁は、その範囲と複雑さを増している。中国を含む他の国々も米国企業に対して制裁を発動しており、厳格なコンプライアンスを確保するためにリスクチームの負担は増大している。とりわけ、米国司法省が制裁の執行を優先し、2024年には制裁回避者を追及する予定であり、違反による金銭的なリスクや評判リスクの大きさが増している。
新興市場や既存市場における潜在的な制裁へのリスク遭遇可能性を理解するには、以前よりも広範なデューデリジェンスと現場での知識が必要になる。単に制裁対象企業のリストを見直すだけでは、貴社のサプライチェーンにおける間接的な制裁のリスク遭遇可能性を発見できないかもしれない。
3. 社会不安
COVID以後の時代、社会不安は他のトレンドとは比較にならないほど明確になってきている。政治的なデモや活動は、さまざまな分野や国の資産や安全保障にリスクをもたらす可能性がある。気候変動活動、中東紛争をめぐる抗議、政府改革、移民、農業から自動車産業まで幅広い分野で、政治活動と社会運動の境界は曖昧になってきている。とはいえ、オープンソースでの情報監視によって、不安に対する適切で高度な警告を受け取ることができ、代替サプライチェーン、保険パッケージ、在庫など、高度な計画を立てやすくする可能性がある。さらに、貴社に対する地域社会の感情を常に把握しておくことは、進行中の事業に直接影響を与える可能性のある社会不安の問題を予測するのに役立つ可能性がある。
4. 誤情報と偽情報
世界経済フォーラムの「グローバル・リスク・レポート2024」の回答者は、誤情報と偽情報のリスクを最大の懸念事項として挙げている。しかも、かつては政治やプロパガンダの領域であったものが、今や民間企業のリスクとなっている。選挙もそうだが、世界中の企業がソーシャル・エンジニアリング攻撃、評判の脅威、誤報・偽情報による詐欺リスクといった新たなリスクに直面している。今年、経営陣になりすましたディープフェイク攻撃、いわゆるAIを利用した偽装攻撃という形での偽情報は、香港のある企業に数百万ドルもの損害を与えた。今日、企業は、あらゆる企業を標的にし、その評判を落とすことができるプロの偽情報エージェントにさえ直面している。
偽情報からの脅威に対処するには、攻撃発生時に対応できるチームを社内に設置する必要がある。このチームは、法律顧問、リスク担当役員、広報リーダー、サイバーセキュリティの専門家などを構成メンバーとすることで、危機対応計画を策定し、実行することができる。
5. AI活用と規制
AIをめぐる競争と、そのような技術の導入を検討する際に企業が直面するリスクが加熱している。米国と欧州の政府指導部は最近、AIがもたらす新興リスクを認識し、新たなガイドラインを発表した。しかし、初期の発表は、政府当局が現在、急速に進化する技術を規制する能力を向上させる必要があることを示しており、現在および新たな規制要件への違反を回避するための民間部門の負担を増大させている。
新たな規制の監視とは別に、企業は社内でのこの技術の利用に関する方針を策定し、不正な目的でAI技術を利用する可能性のある外部または外国の行為者によってもたらされるリスクを軽減する方法を策定する必要がある。
6. サイバーセキュリティと重要インフラのリスク
世界的な紛争における新たな最前線は、サイバーセキュリティ攻撃を通じて確立されることが多く、国際紛争の周辺地域ではリスクが高まっている。例えば、ロシアは、ウクライナやNATOを支援するバルト三国の企業に対する攻撃を強化している。今日の戦争では、重要インフラに対するサイバー攻撃も含まれるようになってきている。例えばウクライナ紛争では、ロシアは民間の電力網に対してサイバー攻撃を仕掛けている。
バイデン政権はまた、米国で新たに生じている重要インフラのセキュリティ・リスクについても警告している。例えば、水道施設は国家・州レベルのハッカーによって繰り返し標的にされてきた。FBIのクリストファー・レイ長官も最近、中国のハッキング・ネットワークとマルウェアの高度な配置による米国インフラへの脅威を警告した。レイは、中国は「中国がその時が来たと判断すればいつでも攻撃できる態勢で、我が国の重要なインフラ内に攻撃兵器を配置している」と指摘した。
今日、テロリストや敵対的な政府は、もはや政府だけを標的に限定するのではなく、しばしば民間部門も標的にしている。米国サイバーセキュリティ&インフラセキュリティ局は、主要なリスク対象部門の詳細な内訳を提供している。公益事業、金融サービス、運輸、海運、公共施設の管理に携わる企業は、いずれも攻撃されるリスクが高い。
サイバーセキュリティと重要インフラにおけるリスクと闘うために、企業はまず、サプライヤーやサービスプロバイダーを通じて間接的にでも、世界の紛争地帯との近接性を調査しなければならない。その上で、新たな国際的脅威に対するサイバーセキュリティ計画を策定する必要がある。後者については、潜在的または既知の攻撃パターンを阻止するために利用可能な最も効果的なサイバーセキュリティ対策を採用するために、海外の現地パートナーと協議する必要があるかもしれない。
7. 国民選挙
選挙は規制や経済情勢を急速に変化させる可能性がある。備えを怠れば、企業の最終損益に対して直ちに影響が及ぶ。また、政治活動の活発化と二極化は、市民の不安リスクを高めることにもつながりかねない。選挙関連のリスクを軽減するためには、既存のコンプライアンス・プログラムや事業計画が、異なる選挙結果になった場合にも持ちこたえられるように、シナリオ立案を行う必要がある。
8. 本人確認手続き(KYC) でのリスク
悪意のある人を避けるためには、誰とビジネスをしているのかを知ることが不可欠である。ビジネスの範囲や規模によっては、マネーロンダリングや制裁回避のリスクからの影響度が隠れている場合がある。特定の業種はこうしたリスクを抱えやすいため、こうした業種の企業は、マネーロンダリング防止(AML)規制やKYC要件に関するコンプライアンス違反のリスクが高くなる。例えば、米国政府は国内の不動産投資に関連するリスクの高まりを認識している。財務省は最近、特に全額現金取引で、不動産を通じたマネーロンダリングを抑制することに焦点を当てた規則を提案した。
すべての企業は、マネーロンダリングやテロ資金供与へつながりうるリスク遭遇可能性を避けるために、顧客や取引先を理解することから始めて、現在のKYCプログラムを評価すべきである。また、地政学的状況の変化という観点から、リスク格付け方法論を定期的に見直すことも不可欠である。利用可能な監視リストだけに頼ると、監視リストが過去に重点をおいたものであるため、現在のリスク状況を真に表現することが出来ていない可能性がある。組織はまた、リスクマネジメントプログラムに、新興スクを検討するために、将来を見越したメカニズムが組み込まれていることを確認しなければならない。
9. サプライチェーンの完全性
サプライチェーンの寸断は、多くの企業、特にCOVID時代の機能停止の影響を受けている企業にとっては、依然として最重要課題である。現在進行中の紛争や新たな紛争を含む世界的な緊張は、サプライチェーンの完全性に直接的に影響を与える。投資家から顧客に至るまで、多くの利害関係者は現在、サプライチェーンに関連する環境および社会的危害の回避を優先している。健全なサプライチェーンを確保するためには、関係する第三者を深く理解し、直接的な第一次サプライヤーの先を掘り下げ、第二次、第三次の事業体についてもデューデリジェンスを実施する必要がある。
現在、多くの企業がサプライチェーンのネットワークを再検討し、リスクの影響度を低減できる新たな場所やパートナーを求めている。今後数年間、長期的な企業の強靭さは、サプライチェーンの信頼性に直接依存する可能性がある。
10. インフレと物価の安定
インフレと物価の安定は、国内外の収入源に大きな影響を与える可能性がある。損失を避けるには、特定の市場に影響を与えるマクロ経済とミクロ経済の状況を理解する必要がある。たとえばアルゼンチンでは、最近、一夜にして自国通貨が事実上無価値となり、インフレ率は最終的に200%を超えた。このケースは極端ではあるが、わずかな変動であっても海外での契約の価値や持続可能性に影響を与える可能性がある。契約や保険交渉の一環として、インフレリスクを確実に検討することがますます重要になってきている。
リスクチームが地政学的リスクに備え、緩和する方法
上記のようなリスクは困難なものに思えるかもしれないが、リスク専門家が自社のリスク遭遇可能性を最小限に抑え、2024年およびそれ以降の事業上の強靭さを確保するために取ることのできる手段がある。
- 貴社の現在のリスクプロファイルとグローバルなリスク環境に対するリスク遭遇可能性を理解する。地政学的リスクは、業務、サプライチェーンの完全性、サイバーセキュリティ保護、保険料に影響を与える可能性がある。
- 地政学的リスク監視を既存のリスクマネジメント・報告体制に組み込むことを検討する。これは業種や企業規模によって大きく異なる可能性がある。代替的な地政学的シナリオに対するリスクマネジメントプログラムのストレステストも重要である。
- 地政学的リスクに関する研修の策定と実施を検討する。このプログラムの目標は、リスクマネジメントチームに対し、世界的なリスクといった視野で何を探索すべきかを教育することである。新興リスクを特定することで、企業の対応能力を強化することができる。
- 重要な投資決定には必ず地政学的リスク分析を含める。そのためには、グローバルなリスク評価をデューデリジェンス・プロセ スに統合する必要がある。例えば、M&Aに関するデューデリジェンスでは、世界的なイベントが、確立された事業計画や予測された評価にどのような影響を与えるかを取り入れるべきである。最終的には、買収の価値が地政学的要因の変化によって急速に損なわれ、事業運営が軌道から外れてしまう可能性がある。
地政学的リスク分析を自社のリスクマネジメントプログラムに統合する企業は、新興リスクを発見し、軽減する能力を高めるだけでなく、戦略計画立案能力を強化し、長期的な強靭さを確保することができる。
トピックス
新興リスク、政治リスク、リスクマネジメント
注意事項:本翻訳は“10 Geopolitical Risks Your Organization Needs to Prepare for This Year ”, Risk Management Site (https://www.rmmagazine.com/articles/article/10-geopolitical-risks-your-organization-needs-to-prepare-for-this-year ) April 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
クリストファー・メイソンはCAMS社認定弁護士で、インフォータル社グローバルコンプライアンス・調査担当副部長。
イアン・オックスネバッド博士は政治学者、政治経済学者で、インフォータル・ワールドワイド社地政学的リスク担当取締役。
- 文書保存と訴訟に向けた文書保留命令の重要性