ドイツ「サプライチェーン・デューデリジェンス法」とサードパーティリスク管理の要点

2021 年 3 月ドイツ政府によって可決された「サプライチェーンにおける企業のデューデリジェンス義務に関する法律 (Lieferkettensorgfaltspflichtengesetz、以下、サプライチェーン・デューデリジェンス法)」は、ドイツを拠点とする企業に対し、グローバル・サプライチェーンにおける人権侵害や環境侵害への対応を求めるもので、グローバル・サプライチェーンにおける持続可能で倫理的なビジネス慣行に対する企業の責任を問う世界的な潮流に沿うものだと評価されています。

目次

I. ドイツ「サプライチェーン・デューデリジェンス法」の概要と企業に及ぼす影響
II. ドイツ「サプライチェーン・デューデリジェンス法」が企業にもたらす課題
III. 効果的なデューデリジェンスの実践には、テクノロジーの活用が欠かせない
IV. 法令を遵守することで企業が得られるメリット

I. ドイツ「サプライチェーン・デューデリジェンス法」の概要と企業に及ぼす影響

1. ドイツ「サプライチェーン・デューデリジェンス法」の目的は、企業がサプライチェーンの持続可能性を向上させることです。同法の施行により、企業にはデューデリジェンスの実施が義務付けられます。
2. サプライチェーンの奥深くまで調査することが要求されている同法の施行を受け、企業は、正確なデータを収集することの難しさに直面すると予想されます。
3. 企業が直面する課題の克服には、デューデリジェンス・プラットフォーム、リスク評価ツール、サプライヤー・データ管理システムなどのサードパーティリスク管理プログラムの導入・整備が考えられます。

ドイツ「サプライチェーン・デューデリジェンス法」は、2023年1月1日以降、ドイツ国内の従業員3,000人以上の企業に適用され、2024 年初頭までには、従業員 1,000 人以上の企業も対象になるとされています。

この法律に従わない場合、企業には全世界の年間売上高の最大 2％ の罰金が科されるほか、その事実が公表されることによってレピュテーションリスクを被ることも考えられます。

II. ドイツ「サプライチェーン・デューデリジェンス法」が企業にもたらす課題

ドイツ「サプライチェーン・デューデリジェンス法」を企業が適切に遵守すれば、サプライチェーンの持続可能性が向上し、企業評価を高めるチャンスを拡げることになると考えられます。しかし一方で、同法の下でデューデリジェンスの義務を果たすには並大抵ではない努力が必要です。企業が直面する具体的な課題としては、以下が挙げられます。

1. 拡大性

最も注目すべきことのひとつは、ドイツ「サプライチェーン・デューデリジェンス法」が企業の第一次サプライヤーを超えたサードパーティーリスクに焦点を当てているところです。企業は、サプライチェーンをより広くより深く調査する必要があります。

企業がデューデリジェンスを行うにあたっては、グローバルに広がるサプライチェーンネットワークの末端まで現状把握ができない、あるいは、サプライヤーが労働・環境基準の観点で“未整備な地域に存在する” といった理由によって「 (不可能ではないにせよ) 必要情報の追跡が困難である」といった状況に直面するとも考えられます。そのような場合、企業は、サプライチェーンの末端に位置するサプライヤーとの取引を制限せざるを得ない、といった判断を迫られる可能性も考えられます。

2. データの正確性と可用性

取引先となるサプライヤーによっては、企業が法令を遵守するために必要なデータを収集・提供するために必要なプロセスや管理体制を有していない場合も考えられます。例えば、環境影響、労働慣行、人権遵守を追跡して報告する能力を持たない場合がそれにあたります。また、企業がサプライヤーからデータを入手できたとしても、その内容が限定的であったり、不完全であったり、不正確であったりすることも考えられます。

上述のような状況は、企業が正しくリスクを評価し、効果的なデューデリジェンスを実施し、適切な予防措置や是正措置を講じられない事態を示唆するものです。

また、課題は上述にとどまらず、情報収集にも及びます。特に、サプライヤーのライフサイクルのさまざまな段階で評価するためのアンケートを作成・管理する場合、企業はデータ収集と分析に関して「複雑さ」という課題に直面することになるかもしれません。

3. リソースの制約

デューデリジェンス・プロセスの実施には、人員、業務及び財務的投資を含む多大なリソースが必要です。そのため、中堅・中小企業にとっては、ドイツ「サプライチェーン・デューデリジェンス法」を遵守することそのものが困難になるおそれもあると言えます。

4. データ統合の課題

「3. リソースの制約」に加え、企業は、サプライチェーンのリスクとパフォーマンスを包括的に把握するために、複数のソースやシステムからデータを統合しなければならない、という課題にも頭を悩ませるかもしれません。この作業は、複雑であり、費用と時間を要します。

III. 効果的なデューデリジェンスの実践には、テクノロジーの活用が欠かせない

ドイツ「サプライチェーン・デューデリジェンス法」が求めるレベルのデューデリジェンスを行い、包括的なサードパーティリスク管理プログラムを実践するためには、システムやツールの導入は欠かせません。そして、そのシステムやツールに求められる要件には、以下のような内容が挙げられます。

1. デューデリジェンス・プラットフォームについて

デューデリジェンス・プラットフォームは、企業がデューデリジェンス・プロセスを管理し、ドイツ「サプライチェーン・デューデリジェンス法」への準拠を追跡するための一元的な “場” であることが望ましいと言えます。

また、このプラットフォームには、エンドツーエンドのデューデリジェンス活動がより効率的に管理できるよう、ワークフロー、リスク評価、チェックリスト、改善及びレポーティングツールの実装も期待されます。

2. リスク評価ツールについて

環境・社会・ガバナンス (ESG) 、アイデンティティ、誠実性、オペレーション、財務、サイバーなど様々な分野におけるサプライチェーンの潜在的リスクをデータ分析や機械学習アルゴリズムを活用して特定し、評価し、監視できるものほど評価されると予想されます。

3. サプライヤー・データ管理システムについて

企業がサプライヤーに関するデータを収集・管理し、よりリスクの高い事業体についてはリスクベースのアプローチを適用して追加情報を収集し、取引開始から契約更新、そしてその後の継続的に取引関係を監視できるようなシステムであることが求められます。

IV. 法令を遵守することで企業が得られるメリット

ドイツ「サプライチェーン・デューデリジェンス法」への準拠は、責任あるビジネス慣行を向上させる機会をもたらす、歓迎すべき法令であることは間違いありません。

しかし同時に、多くの企業は同法の広範な要求事項、サプライチェーンの複雑さ、限られた資源、信頼できるデータの不足といった理由から、遵守への高いハードルを実感することになると推察されます。

そうした状況を打開し、責任あるビジネス慣行を実践するには、データとテクノロジーの活用は不可欠です。それにより、サプライチェーンに対して包括的なリスクベースのデューデリジェンス・アプローチを実行し、責任ある倫理的で持続可能なビジネス慣行へのコミットメントを示すことは、従来のサードパーティ・リスクプログラムを改善することにつながると考えられ、ひいては、ステークホルダーからの評価を向上させ、企業成長にも結びつくと言えます。

リフィニティブでは、リスクおよびコンプライアンスの向上を目指す企業を強力にサポートしています。サプライチェーン・リスク管理や制裁スクリーニング、ESGデューデリジェンス等、ソリューションの詳細はこちらからご確認ください。

サプライチェーンリスクマネジメントに役立つソリューションを活用することで得られるメリットの詳細はこちらでご紹介しています。日本企業向け特別ページもご用意していますのでぜひ合わせてご覧ください。

本稿は英国現地時間 2023 年 4 月 21 日に投稿された "The German Supply Chain Act: Navigating third-party risks through effective due diligence" の邦訳です。