ガートナージャパンは8月22日、ITベンダーに内在するリスクへの対策状況に関する調査結果を発表した。それによると、特にサステナビリティー(持続可能性)リスクへの対策がほとんど行われていなかった。
この調査は、国内企業が取引先ITベンダーの抱える各種リスクへの対策状況を調べたもの。対象は400件。ITベンダーの抱えるリスクと内容は以下の通り。
- 財務リスク:ITベンダーの倒産や経営悪化によってベンダー提供サービスが停止、劣化する
- オペレーショナルリスク:ITベンダーの稼働率低下や障害発生、事業継続計画(BCP)の不備によりビジネスが止まる
- サイバーセキュリティリスク:ITベンダーのセキュリティ脆弱性によりインシデント(障害、事故)が発生する
- 法規制/コンプライアンスリスク:ITベンダーの法令や規制違反によりユーザー企業も規制当局から罰せられる
- 戦略リスク:ITベンダーのビジネス戦略により強制的にサービスが終了される、あるいはロックインされてしまいサービスを止められなくなる
- 地政学リスク:ITベンダーがサービスを実施する国や地域の要因により提供サービスが不安定化する
- サステナビリティーリスク:ITベンダーのサステナビリティーの低下によりユーザー企業の企業価値の低下ならびにビジネス継続に支障を来す
調査結果によると、対策実施率はサステナビリティーリスクが10%にとどまり、最も低かった。一方で、サステナビリティーリスク以外の実施率は3割前後に上った。
ITベンダーの各種リスクへの対策を十分に講じている企業の割合(出典:Gartner)
この結果についてアナリスト シニア ディレクターの土屋隆一氏は、日本企業ではIT業務の外部依存率が高く、取引先ITベンダーにおけるサステナビリティーへの取り組み状況によって、自社のサステナビリティーに大きな影響が出ると指摘する。取引先ITベンダーのサステナビリティーが低下すれば、自社のサプライチェーンへの対応が不十分と見なされ、企業価値の低下と自社の事業継続に重大な支障を来す恐れがあるという。
取引先ITベンダーが抱えるサステナビリティーリスクにほとんど対策が行われていない理由には、日本企業が取引先を意識した経営への優先度が低く、サステナビリティー対応そのものを実施していないこと、また、経営層がサステナビリティーの重要性を認識していてもそこにITベンダーが含まれていないこと、さらにはサステナビリティーリスクとほかのリスク項目の管理内容が一部重複して、ほかのリスクへの対策により充足させていることがあるとしている。
土屋氏は、ソーシングや調達、ベンダー管理の担当リーダーが、自社のサステナビリティーガイドラインの存在をまず確認し、ステークホルダー(利害関係者)の一員としてITベンダーを全社活動対象に含めるなどの必要な対策を確認すべきだと提起している。
