上場企業では「人材不足」が4年連続で最大のリスクに、サイバー攻撃による事業停止の警戒も

デロイト トーマツ グループは、日本の上場企業が注視しているリスクの種類や、経験したクライシスについて分析した「企業のリスクマネジメントおよびクライシスマネジメント実態調査 2025年版」を公開した。

本調査は2003年より毎年実施されており、23回目となる今回は2026年1月中旬から2月中旬に日本の上場企業を対象にアンケート形式で行なわれ、283社から得られた有効回答の結果を分析した。以下、同社発表リリースをベースに、その概要をお伝えする。

◎「企業のリスクマネジメントおよびクライシスマネジメント実態調査 2025年版」はこちらから。
https://www.deloitte.com/content/dam/assets-zone1/jp/ja/docs/about/2026/risk-and-crisis-managment-survey-2025.pdf

主な調査結果について

本調査では、国内では人材不足が4年連続で最大のリスクと認識されている一方、サイバー攻撃については情報漏えいに加え事業停止への警戒が強まっていることが明らかになった。また海外拠点では、経済安全保障や地政学リスクに関わる項目の順位が上がり、昨今の国際政治経済状況の急激な変化が企業のリスク認識に直結している状況が推察できる。

まず日本国内における優先して着手が必要と思われるリスクは、1 位「人材流失、人材獲得の困難による人材不足」、2位が同率で「サイバー攻撃・ウイルス感染等による大規模システムダウン」、「サイバー攻撃・ウイルス感染等による情報漏えい」となった。

一方、海外拠点では1 位「グループガバナンスの不全」、2位「各国における経済安全保障上の関税・規制・制裁の強化」、3位「中国・ロシアにおけるテロ・政治情勢」という結果が得られた（図表1）。

■国内で優先的に対処すべきリスク1位は「人材流失、人材獲得の困難による人材不足」

日本国内において優先的に対処すべきリスクの1位は、4年連続で「人材流失、人材獲得の困難による人材不足」だった。海外拠点においても同項目は若干順位が下がったものの、4位に位置している。デジタル人材やグローバル人材の不足など、人材不足は日本の構造的リスクとして固定化しつつある状況が想定できる。

■サイバー攻撃は「情報漏えい」だけでなく「事業停止」への警戒感が強まる

サイバー攻撃関連では、「サイバー攻撃・ウイルス感染等による情報漏えい」が国内同率2位、海外5位と順位に変動がないのに対して、「サイバー攻撃・ウイルス感染等による大規模システムダウン」のリスクは、国内同率2位（昨年5位）、海外7位（昨年14位）と昨年より大きく上昇した。

サイバー攻撃により大規模なシステムダウンに見舞われた企業が多数発生したこと、生成AIを悪用したサイバー攻撃の可能性なども背景に、多くの企業がサイバー攻撃に対して情報漏えいリスクだけでなく、事業停止リスクとして警戒を強めていることが背景として考えられる。

■引き続き国内外でガバナンス・コンプライアンス関連リスク、海外拠点は地政学関連リスクが上昇

海外拠点において優先的に対処すべきリスクの1位は、昨年同様「グループガバナンスの不全」だった。外部環境が目まぐるしく変化しており、経営環境の不確実性が増している中で、海外事業を成長させるべく意思決定やレポートラインが重要視されていることや、海外拠点での不正・不祥事等の発覚が継続している背景を受け、グループガバナンスが課題と認識している企業が増加していると思われる。

ほかにも国内のランキングで、昨年10位だった「事業固有の業法・規制への違反」が7位に上昇しており、国内外問わずガバナンス・コンプライアンス関連リスクへの危機意識が高い状況が想定される。

また、海外拠点では不安定な国際情勢を背景として「中国・ロシアにおけるテロ、政治情勢」に加え、「各国における経済安全保障上の関税・規制・制裁の強化」に係るリスク、「東南アジア、南アジアにおけるテロ・政治情勢」といった地政学リスクへの警戒感も高まっている。

■リスクマネジメントと連動したクライシスマネジメントプランの策定状況は依然低い結果に

本社、国内子会社、海外拠点別に見たクライシスマネジメントプランの策定状況では、「BCPや不祥事対応マニュアルなど、特定のクライシスを対象としたプランを策定済み」と答えた企業は本社で54.8%と、約半数の企業が対応していることがわかった（図表2）。

一方で「リスクマネジメントと連動した体系的な枠組みで整理されたクライシスマネジメントプランを策定済み」と答えた企業は本社では7.1%（前回5.3％）、国内子会社4.1%（前回4.7％）、海外拠点3.2%（前回3.6％）と前回から微増も、依然として低い結果に。

近年の自然災害の発生、感染症の流行、紛争問題の発生、品質を含めたコンプライアンス違反の発生なども踏まえ、非常事態に陥った際に、円滑な平常時への復旧を実現するためにも、クライシスに係るプラン策定に加え、リスクマネジメントと連動したプラン策定の検討も多くの企業で推進する必要がある。

デロイト トーマツ グループ パートナー 　松本拓也氏の見解

デロイト トーマツ グループでは2003年から毎年本調査を実施しています。今年度の調査では、国内において4年連続で人材の獲得競争が1位となり、人材獲得競争が恒常化しつつあることが示唆されました。

また、AIやDXの進展を背景としたサイバーセキュリティ関連のリスクが上位に位置したことは、近年の大規模なサイバー攻撃事例が企業の危機意識を引き上げたことを示していると考えられます。

さらに、昨今の不安定な国際情勢を踏まえた地政学リスクへの注目度の高さや課題意識の高まりが浮き彫りになりました。加えて今年度は国内において「事業固有の業法・規制への違反」のリスクが上位となり、海外において「各国における経済安全保障上の関税・規制・制裁の強化」といったコンプライアンス関連のリスクをあげる企業が増加しています。

不確実な経営環境が続く中で、法規制等のリスクに確実に対応していく一方、成長に向けてテイクすべきリスクを検討・実行するなどリスクマネジメント・クライシスマネジメントのあり方が問われています。

本調査においては、グループガバナンスの高度化支援などに関するデロイト トーマツの豊富な知見を踏まえ定期的にリスクおよびクライシスの分類を見直しており、今回は新たに6つのリスクを加えています。

◎本調査における「リスクマネジメント」と「クライシスマネジメント」の用法について

本調査における「リスクマネジメント」と「クライシスマネジメント」の用語については、以下のとおりに定義されている。

・リスクマネジメント
企業の事業目的を阻害する事象が発生しないように防止する、その影響を最小限にとどめるべく移転する、または一定範囲までは許容するなど、リスクに対して予め備え、体制・対策を整えること。

・クライシスマネジメント
どんなに発生しないよう備えても、時としてリスクは顕在化し、企業に重大な影響を与えるクライシスは発生し得ることを前提に、発生時の負の影響・損害（レピュテーションの毀損含む）を最小限に抑えるための事前の準備、発生時の迅速な対処、そしてクライシス発生前の状態への回復という一連の対応を図ること。

調査概要
調査目的／国内上場企業における、「リスクマネジメント」および「クライシスマネジメント」の対応状況を把握し、現状の基礎的データを得ること。本調査の実施および結果の開示を通じて、国内上場企業における「リスクマネジメント」ならびに「クライシスマネジメント」の認識を高めること。
調査対象／日本国内に本社を構える上場企業より、売上の上位　約3500社を対象（有効回答数：283社）
調査方法／2026年1月中旬～2月中旬にかけ、郵送による調査を実施
調査項目／
【第1部】上場企業が着目しているリスクの種類
【第2部】上場企業が経験したクライシスの分析

関連情報
https://www.deloitte.com/jp/ja.html

構成／清水眞希