ガートナー ジャパンは2022年8月22日、取引先ITベンダーに内在するリスクへの対策状況に関する国内調査の結果を発表した。サイバーセキュリティリスクや法規制/コンプライアンスリスク、オペレーショナルリスクへの対策を十分に講じていると回答した企業はいずれも30%以上だった一方、サステナビリティリスクへの対策に関しては10%にとどまった。同社は、取引先のITベンダーを全社活動の対象に含めるなどの対策を確認すべきと助言している。
ガートナー ジャパンは、取引先ITベンダーに内在するリスクへの対策状況の調査結果を発表した。主なリスクとして7つの項目を挙げ、それぞれの項目についての対策状況を調査している(図1)。
図1:取引先ITベンダーに内在する各種リスクへの対策を十分に講じている企業の割合(出典:ガートナー ジャパン)拡大画像表示
- 財務/風評リスク:ITベンダーの倒産や経営悪化により、ベンダーの提供サービスが停止・劣化するリスク
- オペレーショナルリスク:ITベンダーの稼働率低下や障害発生、事業継続計画(BCP)の不備によりビジネスが止まるリスク
- サイバーセキュリティリスク:ITベンダーのセキュリティ脆弱性により、インシデント(障害、事故)が発生するリスク
- 法規制/コンプライアンスリスク:ITベンダーの法令や規制違反により、ユーザー企業も規制当局から罰せられるリスク
- 戦略リスク:ITベンダーのビジネス戦略によって強制的にサービスが終了する、あるいはロックインされてしまいサービスを止められなくなるリスク
- 地政学リスク:ITベンダーがサービスを実施している国や地域の要因により、提供サービスが不安定化するリスク
- サステナビリティリスク:ITベンダーのサステナビリティの低下により、ユーザー企業の企業価値が低下したりビジネス継続に支障を来したりするリスク
調査では、サステナビリティリスク(ITベンダーのサステナビリティが低下することで、ユーザー企業の企業価値の低下したり、ビジネス継続に支障を来したりするリスク)に関する対策を十分に講じている国内企業の割合は10%にとどまり、他のリスクと比較して、突出して低い割合となった。
この結果についてガートナー ジャパンは、「国内企業は一般的に、IT業務の外部依存率が高い。このため、取引するITベンダー側のサステナビリティへの取り組み状況によって、自社のサステナビリティは大きく影響を受けてしまう。取引先のITベンダーを全社活動の対象に含めるといった対策を確認すべき」と指摘する。
また、同社は、ITベンダーのサステナビリティリスクに対する対策が低迷している理由として以下の3つを挙げる。
- ステークホルダーを意識した経営への優先度が低く、サステナビリティへの対応そのものを実施していない
- 経営レベルではサステナビリティの重要性を認識しているものの、取り組み対象となるステークホルダーにITベンダーが含まれていない
- サステナビリティリスクと他のリスク項目の管理内容に一部重複する部分があるため、他のリスクへの対策を取ることで充足させている
