先の読めない時代において、“リスク”への対処は大きな課題です。中でも製造業で重要なのが、企業活動の根幹に影響するサプライチェーンリスクです。貴社ではどのような対策を実施しているでしょうか。

今、どのようなリスクが高まっており、どんなサプライチェーンリスクマネジメント（SCRM）が求められているのか。近年の統計データとともに押さえておきましょう。

サプライチェーンリスクに注目が集まる理由

「サプライチェーンリスク」とは、調達から製造、ユーザーへ届けるまでのプロセス──サプライチェーンにおいて、なんらかの問題が発生し、供給が立ち行かなくなってしまうリスクのことです。

近年、サプライチェーンリスクへの注目が高まるのには、以下のような理由があります。

・グローバル化に伴うサプライチェーンの複雑化
・世界情勢の変化による地政学的リスクの高まり
・サプライチェーンを狙ったサイバー攻撃（サプライチェーン攻撃）の増加
・コロナ禍で高まったパンデミックへのリスク意識の向上
・地球温暖化などに伴う異常気象を原因とした自然災害の発生

『通商白書2021』（出典：経済産業省）より引用した下図によると、2020年時点で認識されているサプライチェーンリスクでは「エピデミック・パンデミック、関税や貿易制限の不確実性、重要な原材料や部品の不足などが「重大なリスク」・「中程度のリスク」と評価された割合が高いです。

「エピデミック・パンデミック」のデータとほかの項目の差異からうかがえるのが、やはり直近で発生した出来事に対して、強くリスクを認識する割合が高く、包括的な対策にいたる企業はまだまだ多くないということです。実際、2011年に行われた同様の調査では東日本大震災やタイチェオプラヤ川の大洪水を背景に、「自然災害」が最も懸念されるリスクとして挙げられていました。

また、同調査の別アンケートによると「既存のBCP（事業継続計画）がコロナショックに効果的に機能したか」という質問に対し、「効果的に機能した」と回答した企業はわずか16.7％だったとのこと。

リスクは予想しえない形で顕現する可能性が高く、あらゆる非常事態を想定した「オールハザード型」のサプライチェーンリスク対策が求められています。

求められるサプライチェーンリスクマネジメントとは？

サプライチェーンリスクに対する分析・評価と対策プランの策定～運用に至るまでを包括してSCRM（サプライチェーンリスクマネジメント）と言います。

SCRMの基本は、サプライチェーンリスクの評価（アセスメント）と、レジリエンスの強化です。

サプライチェーンに対するリスク要因は前述の通り多岐にわたり、またまだ顕現していない要因もあることを考えると、すべてを網羅することは困難です。そこで求められるのが、要因よりもむしろリスクの結果に注目することです。調達の困難化や生産停止、情報漏えい、人材の流出、ブランド価値の低下など自社やステークホルダーにおよぶ影響を想定し、それに付随させる形で要因についても考えましょう。結果に応じてリスク評価を行うことで、優先度も自然と見えてくるはずです。

レジリエンスの強化にあたっては、生産拠点の国内移転・分散化やリスクの発生・予兆を早期に感知するための体制構築、他社との連携強化など、事前に行える“対策”と、生産拠点の切り替えや物流経路の変更などリスク発生後に行う“対応”を区別して取り組むことが重要です。
リスクへの“対応”にあたっては、状況が変化し続ける中で臨機応変な対応が求められることになります。“対策”を着実に実施し、運用を見直しながら、リスク発生時には俊敏性を持って体制を切り替えられる企業こそが、レジリエンスが高い組織なのです。

サプライチェーン攻撃への対策を実施している企業はまだまだ少ない

IPA（情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」。その2022年版で3位にランクインしたのが「サプライチェーンの弱点を悪用した攻撃」でした。しかし、同じくIPAにより2017年末～2018年頭にかけて行われた『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』では、製造業の71.1％が「実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない」ことが明らかにされています。

その要因として、情報セキュリティにおいて取り決めるべきことや責任範囲が「わからない」という声がまだまだ根強いことが関係していることを示唆するデータもあります。

このように、サプライチェーンに関する情報セキュリティは、まだまだ「重要性は理解されているものの危機感は不十分かつ、実際の対策は未実施」の状況が多いのが現状です。

2020年代に入り、DXが加速しサイバー攻撃の件数が増加する中で、以前よりもサプライチェーン攻撃に対する危機感が高まっていると感じる方は多いはずです。この機を逃さず、ガイドラインの整備やリスクアセスメントの実施など具体的な行動に移せるかどうかが、デジタルにおけるサプライチェーンリスクを回避するカギとなります。

勇気を持って取り組みたい、サプライチェーンリスクマネジメント

リスクという言葉の語源は、一説ではラテン語の「risicare（リジカーレ：勇気を持って試みる）」という単語だとされています。リスクは単なる「危険」ではなく、勇気をもって対処すべき可能性であり、それによって思わぬ成果につながる場合もあります。だからこそ、喫緊の課題がないからと放置せず、積極的にサプライチェーンリスクマネジメントに取り組みましょう。