ガートナージャパンは8月22日、国内ユーザー企業の取引先ITベンダーに内在するリスクへの対策状況に関する調査結果を発表した。これによると、ほとんどのユーザー企業が取引先ITベンダーにおけるサステナビリティ・リスクへの対策を十分に進めていないことが分かった。

同調査では、サステナビリティを含む取引先ITベンダーに内在する各種リスク7項目への国内ユーザー企業の対策状況を尋ねた。その結果、ITベンダーの各種リスクへの対策の中で、サステナビリティ・リスクに関する対策を十分に講じている企業の割合は、最も低い10%にとどまったという。

  • ITベンダーの各種リスクへの対策を十分に講じているユーザー企業の割合 出典:ガートナー

なお、同社がITベンダーに内在する主なリスクとして挙げているのは以下の7項目。

  1. 財務リスク(ITベンダーの倒産や経営悪化により、ベンダーの提供サービスが停止・劣化する)
  2. オペレーショナル・リスク(ITベンダーの稼働率低下や障害発生、事業継続計画の不備によりビジネスが止まる)
  3. サイバーセキュリティ・リスク(ITベンダーのセキュリティ脆弱性により、インシデント (障害、事故) が発生する)
  4. 法規制/コンプライアンス・リスク(ITベンダーの法令や規制違反により、ユーザー企業も規制当局から罰せられる)
  5. 戦略リスク(ITベンダーのビジネス戦略により強制的にサービスが終了される、あるいはロックインされてしまいサービスを止められなくなる)
  6. 地政学リスク(ITベンダーがサービスを実施する国や地域の要因により、提供サービスが不安定化する)
  7. サステナビリティ・リスク(ITベンダーのサステナビリティの低下により、ユーザー企業の企業価値の低下ならびにビジネス継続に支障をきたす)

同社のアナリストでシニア ディレクターの土屋隆一氏は、「取引先のサステナビリティが低下することによって、自社のサプライチェーンへの対応が不十分と見なされ、結果的に企業価値の低下ならびに企業側のビジネス継続にも重大な支障を来す可能性がある」と述べている。

ITベンダーのサステナビリティ・リスクへの対策が低迷している理由として、ステークホルダーを意識した経営への優先度が低く、サステナビリティへの対応そのものを実施していないからだと同社は指摘している。加えて、経営レベルではサステナビリティの重要性を認識しているものの、取り組み対象となるステークホルダーにITベンダーが含まれていないことや、サステナビリティ・リスクと他のリスク項目の管理内容に一部重複する部分があるため、他のリスクへの対策を取ることで充足させているといった理由も挙げている。

土屋氏は、「ソーシングや調達、ベンダー管理を担うリーダーは、まずは自社のサステナビリティ・ガイドラインの存在の有無についての確認、ならびにステークホルダーの一員としてITベンダーを全社活動の対象に含めるなどの必要な対策を確認すべきだ」と警告している。