ガートナージャパンが8月22日、国内企業の取引先ITベンダーに内在するリスクへの対策状況に関する調査結果を発表した。財務や法規制などのリスクを調べたところ、サステナビリティのリスクに関する対策を十分に講じている割合が最も低い10%だったという。
同社が調べたITベンダーに内在するリスクは財務リスク(倒産や経営悪化により、提供するサービスが停止・劣化すること)や、オペレーショナル(稼働率低下や障害発生、事業継続計画 の不備によりビジネスが止まること)、サイバーセキュリティ・リスク(セキュリティ脆弱性により、インシデントが発生すること)、法規制/コンプライアンス・リスク(法令や規制違反により、ユーザー企業も規制当局から罰せられること)、戦略リスク(ビジネス戦略により強制的にサービスが終了されることと、ロックインされてサービスを止められなくなること)、地政学リスク(サービスを実施する国や地域の要因により、提供サービスが不安定化すること)、サステナビリティ・リスク(サステナビリティの低下により、利用する企業の企業価値の低下とビジネス継続に支障を来すこと)などになる。
これらリスクに十分に対策を講じているとの回答は、ほとんどの項目が30%超なのに対して、サステナビリティ・リスクだけが10%とかなり理由は3つある。1つは、ステークホルダーを意識した経営への優先度が低く、サステナビリティへの対応そのものを実施していないこと。2つめは、経営レベルではサステナビリティの重要性を認識しているものの、取り組み対象となるステークホルダーにITベンダーが含まれていないこと。3つめは、サステナビリティ・リスクと他のリスク項目の管理内容に一部重複する部分があるため、他のリスクへの対策を取ることで充足させていること。
多くの日本企業がIT活用におけるITベンダーへの依存率が高いだけに、「ITベンダーのサステナビリティへの取り組みが、自社のサステナビリティに影響を受けることを認識すること」とし、ITベンダーの取り組みを自社の活動の対象に含める対策を作成するように助言している。(田中克己)