企業持続可能性デューデリジェンス指令 – サードパーティ・リスク管理の強化

本稿では、EU 企業持続可能性デューデリジェンス指令がサードパーティ管理業務に与える影響を考察します。

1. 企業持続可能性デューデリジェンス指令がサードパーティ・リスク管理にもたらす影響
2. 企業が持続可能なサプライチェーン管理を導入する方法
3. 企業持続可能性デューデリジェンス指令の枠組みとは何か？域外への影響は？

持続可能なサプライチェーン管理は、世界中の企業にとって不可欠な課題となっています。そして今、サードパーティ・リスク管理を大きく推進させる取り組みとして、EU 企業持続可能性デューデリジェンス指令 (EUCS3D) が注目されています。同指令は、各企業に自社の事業やサプライチェーンが社会・環境に与える影響について説明責任を果たすよう義務付けることで、持続可能な企業文化を醸成することを目的としています。企業は指令の遵守を通じて、環境・社会・ガバナンス (ESG) リスクを評価・管理し、サステナビリティ関連情報を開示するとともに、サプライヤーにも ESG 基準の遵守を徹底させることが求められます。

• 対象企業の規模 (遵守基準) を従業員数 500 人、売上高 1 億 5,000 万ユーロから、従業員数 1,000 人以上、売上高 4 億 5,000 万ユーロへと引き上げ。
• ハイリスク・セクター・アプローチを廃止するとともに指令の適用対象を狭め、当初目標の約 30% まで範囲を大幅に縮小。
• 欧州理事会は 3 月 15 日、当初案から縮小された企業持続可能性デューデリジェンス指令 (CSDDD) を承認しました。

また、指令は段階的な実施が計画されています。

• 従業員数 5,000 人以上、売上高 15 億ユーロ以上の企業は 3 年以内の遵守を義務付け。
• 従業員数 3,000 人以上、売上高 9 億ユーロ以上の企業は 4 年以内の遵守を義務付け。
• 従業員数 1,000 人以上、売上高 4 億 5,000 万ユーロ以上の企業は 5 年以内の遵守を義務付け。

指令に違反した場合、法的な責任や罰則、風評被害、財務リスク、事業中断、市場アクセスの喪失や排除など、深刻な影響を受けます。

指令案は、デューデリジェンスとサードパーティ・リスク管理プログラムに対する企業のアプローチを、リスク排除という方法から効果的なリスク軽減の文化 (意識醸成) へと転換するものです。現行のアプローチを続ける場合、EUCS3D の適用対象となる企業はいくつかの重大な課題に直面する可能性があります。

サプライチェーン全体の可視性の欠如

サプライチェーン全体 (下流サプライヤーを含む) の可視化は困難な課題です。各企業は、サステナビリティに配慮しながら、サプライヤーの複雑なネットワークに対処しなければなりません。規制の枠組みが弱く、透明性もあまり確保されていない地域では、包括的で正確なデータの取得が特に難しくなります。この課題を克服するには、信頼できるサードパーティのリスク・インテリジェンスを確保するための画期的なアプローチが必要です。

サプライチェーンの複雑性

同指令は、複数階層のサプライヤーを包含するサプライチェーン全体の持続可能性リスクと影響について、包括的な報告を求めています。倫理基準やサステナビリティ基準へのコンプライアンスをあらゆる階層で管理することは、多国籍企業にとっては迷宮を彷徨うようなものとも言えます。原材料の原産地の追跡、環境への影響評価、多様なサプライヤーの労働慣行の監視はいずれも、多大な時間とリソースを要します。ビジネスを成功させるためには、複雑なサプライチェーンの簡素化は極めて重要です。

EUCS3D の遵守

EUCS3D は、すべての階層のサプライヤーを対象としたサプライチェーン全体の持続可能性に関するリスクと影響の報告を企業に求めています。複数階層のサードパーティ・サプライヤーがサステナビリティ基準と倫理基準を遵守しているかどうかを監視することは、多くの大企業にとって非常に複雑で困難な作業です。例えば、企業が特定の原材料をさまざまなサプライヤーから調達する場合、原材料の原産地の追跡や環境への影響評価、さらにはすべてのサプライヤーの労働慣行まで把握する必要があります。企業はサプライヤーと調整を重ねる一方で、さまざまな種類のデータを管理しなければならないため、このプロセスには時間とコストを要します。

標準化

サプライチェーン・デューデリジェンスにおけるデータ管理は、多くの場合、多様なデータ管理システムの使用を伴うため、不完全なサードパーティ・リスク・インテリジェンスの形成につながります。デューデリジェンスのシステム、プロセス、情報が分散化されることで複雑性が増すことはもちろん、非効率化の増幅を招いたり、サードパーティとの取引ライフサイクルにおいてリスクにさらされる可能性を高めることにつながります。このような問題に対処するには、データの管理、検証、リスク評価に対する包括的かつ統一的なアプローチが不可欠です。これにより、企業は業務の合理化やリスク対応能力の強化、ひいてはサプライチェーン・レジリエンスの強化も達成できるでしょう。

サードパーティ・リスク管理の導入コストの高さ

下流サプライヤーが指令の要件を遵守するための十分なリソースを持ち合わせていない場合、適応対象企業は介入して支援を行うことが必要となる場合があります。支援は能力開発研修やサステナビリティ教育などの形で実施されますが、これもまた大きな事業となり、多額の投資が必要となります。

流れ作業的なデューデリジェンスから脱却し、効果的なプログラムを企業自ら開発することは、指令遵守の要となる企業文化を形成する大きな転機となります。

企業は、効果的なデューデリジェンス・プログラムを用いて指令に対応する際、以下の重要事項を考慮する必要があります。

インテリジェントなデューデリジェンスに向けたテクノロジー導入

人工知能、機械学習、データ分析などの先進技術への投資は、デューデリジェンス・プロセスに革命をもたらします。これらのツールを活用することで、企業はデータの収集、検証、リスク評価を自動化できます。インテリジェントなデューデリジェンス・プラットフォームにより、サステナビリティ・データを効率的に追跡し、コンプライアンスを確保し、潜在的なリスクを特定することが可能になります。サプライチェーン管理にテクノロジーを組み合わせることで、効率性と正確性の向上、さらには積極的なリスク軽減が期待できます。

リスクベースのデューデリジェンス・プロセスの実施

企業は、サプライヤーから関連データを収集し、倫理的かつ持続可能なパフォーマンスに基づくリスク評価に寄与する、効果的かつ自動化されたリスクベースのデューデリジェンス・プロセスを開発する必要があります。評価プロセスは EUCS3D の指針に則り、評価対象をサプライチェーンの上流に限定せず、サプライチェーン全体の透明性を確保することが求められます。リスクに個別に対応するのではなく、総合的に取り組むリスクベースのデューデリジェンス・プログラムを開発することが重要です。ESG が重要事項であるのと同様に、他のリスク要因もサプライヤーのリスク評価に寄与し、リスクの分析、緩和、是正に不可欠です。

効果的な意思決定に必要な包括的リスク評価の確立

企業は、環境や社会的要因にとどまらない包括的なリスク評価の枠組みを構築する必要があります。財務リスク、オペレーショナル・リスク、サイバー・リスク、健全性リスクを評価の対象として組み込み、サプライチェーンをその時々の環境に応じてモニタリングすることで、リスク軽減を図りつつ、事前対応型の危機管理計画の策定や、持続可能な事業成長が可能になります。

持続可能なサプライチェーン管理の実施

企業は持続可能なサプライチェーン管理を通じて、自社の事業とサプライヤーがサステナビリティ基準に準拠しているかどうかを確認できます。この管理業務には、サプライヤーの監査およびパフォーマンスモニタリング、是正措置の実施などが含まれます。

持続可能で倫理的かつ責任あるサードパーティ・リスク管理を実施できる企業は、指令を遵守できるばかりでなく、ブランドの評判を守り、サプライヤーと影響を受けるコミュニティ双方の経済的・社会的状況を改善できます。このように、指令の遵守は、企業価値を創造し、前向きな変化を生み出し、持続可能性を促進する機会として見なされるべきなのです。