• 昨年5位の「サイバー攻撃・ウイルス感染等による大規模システムダウン」は、「サイバー攻撃・ウイルス感染等による情報漏えい」と同じく2位へ上昇
• 海外拠点のリスクでは、1 位「グループガバナンスの不全」に続き、「経済安全保障上の関税・規制・制裁の強化」が2 位へ上昇
• 特定のクライシスには50％強の企業が対応計画を策定している一方で、リスクマネジメントと連動した体系的な対応計画を策定している企業はわずか

デロイト トーマツ グループ（東京都千代田区、CEO：木村研一、以下「デロイト トーマツ」）は、日本の上場企業が注視しているリスクの種類や経験したクライシスについて分析した「企業のリスクマネジメントおよびクライシスマネジメント実態調査 2025年版」を公開しました。本レポートは、2026年1月中旬～2月中旬に日本の上場企業を対象にアンケート形式で調査を実施し、有効回答数283社の結果を分析したものです。2003年より毎年実施しており、今回で23回目となります。
本調査では、国内では人材不足が4年連続で最大のリスクと認識されている一方、サイバー攻撃については情報漏えいに加え事業停止への警戒が強まっていることが明らかになりました。また海外拠点では、経済安全保障や地政学リスクに関わる項目の順位が上がり、昨今の国際政治経済状況の急激な変化が企業のリスク認識に直結している状況がうかがえます。

「企業のリスクマネジメントおよびクライシスマネジメント実態調査 2025年版」は以下からご覧ください。
https://www.deloitte.com/content/dam/assets-zone1/jp/ja/docs/about/2026/risk-and-crisis-managment-survey-2025.pdf

主な調査結果
日本国内における優先して着手が必要と思われるリスクは、1 位「人材流失、人材獲得の困難による人材不足」、2位が同率で「サイバー攻撃・ウイルス感染等による大規模システムダウン」、「サイバー攻撃・ウイルス感染等による情報漏えい」となりました。一方、海外拠点では1 位「グループガバナンスの不全」、2位「各国における経済安全保障上の関税・規制・制裁の強化」、3位「中国・ロシアにおけるテロ・政治情勢」となりました。（図表1）

国内で優先的に対処すべきリスク1位は「人材流失、人材獲得の困難による人材不足」
日本国内において優先的に対処すべきリスクの1位は、4年連続で「人材流失、人材獲得の困難による人材不足」でした。海外拠点においても同項目は若干順位が下がったものの4位となりました。デジタル人材やグローバル人材の不足など、人材不足は日本の構造的リスクとして固定化しつつある状況がうかがえます。

サイバー攻撃は「情報漏えい」だけでなく「事業停止」への警戒感が強まる
サイバー攻撃関連では、「サイバー攻撃・ウイルス感染等による情報漏えい」が国内同率2位、海外5位と順位に変動がないのに対し、「サイバー攻撃・ウイルス感染等による大規模システムダウン」のリスクは、国内同率2位（昨年5位）、海外7位（昨年14位）と昨年より大きく上昇しました。サイバー攻撃により大規模なシステムダウンに見舞われた企業が多数発生したこと、生成AIを悪用したサイバー攻撃の可能性なども背景に、多くの企業がサイバー攻撃に対して情報漏えいリスクだけでなく事業停止リスクとして警戒を強めていると考えられます。

引き続き国内外問わずガバナンス・コンプライアンス関連リスクが上位となり、海外拠点において地政学リスクに関連したリスクも上昇
海外拠点において優先的に対処すべきリスクの1位は、昨年同様「グループガバナンスの不全」でした。外部環境が目まぐるしく変化し、経営環境の不確実性が増している中で、海外事業を成長させるべく意思決定やレポートラインが重要視されていることや、海外拠点での不正・不祥事等の発覚が継続している背景を受け、グループガバナンスが課題と認識している企業が増加していると考えられます。ほかにも国内のランキングで、昨年10位だった「事業固有の業法・規制への違反」が7位に上昇しており、国内外問わずガバナンス・コンプライアンス関連リスクへの危機意識が高い状況がうかがえます。また、海外拠点では不安定な国際情勢を背景として「中国・ロシアにおけるテロ、政治情勢」に加え、「各国における経済安全保障上の関税・規制・制裁の強化」に係るリスク、「東南アジア、南アジアにおけるテロ・政治情勢」といった地政学リスクへの警戒感も高まっています。

図表1　日本国内と海外拠点それぞれにおける、優先して着手が必要と思われるリスクの種類
リスクマネジメントと連動したクライシスマネジメントプランの策定状況は依然低い結果に
本社、国内子会社、海外拠点別に見たクライシスマネジメントプランの策定状況では、「BCPや不祥事対応マニュアルなど、特定のクライシスを対象としたプランを策定済み」と答えた企業は本社で54.8%と、約半数の企業が対応していることがわかりました（図表2）。一方で「リスクマネジメントと連動した体系的な枠組みで整理されたクライシスマネジメントプランを策定済み」と答えた企業は本社では7.1%（前回5.3％）、国内子会社4.1%（前回4.7％）、海外拠点3.2%（前回3.6％）と前回から微増も、依然低い結果となりました。近年の自然災害の発生、感染症の流行、紛争問題の発生、品質を含めたコンプライアンス違反の発生なども踏まえ、非常事態に陥った際に、円滑な平常時への復旧を実現するためにも、クライシスに係るプラン策定に加え、リスクマネジメントと連動したプラン策定の検討も多くの企業で推進する必要があります。

図表2　「クライシスマネジメントプラン（リスクが顕在化した場合に被害を最小限にするための基本方針や対応計画）」の策定状況
【デロイト トーマツ グループ パートナー松本 拓也の見解】
デロイト トーマツ グループでは2003年から毎年本調査を実施しています。今年度の調査では、国内において4年連続で人材の獲得競争が1位となり、人材獲得競争が恒常化しつつあることが示唆されました。また、AIやDXの進展を背景としたサイバーセキュリティ関連のリスクが上位に位置したことは、近年の大規模なサイバー攻撃事例が企業の危機意識を引き上げたことを示していると考えられます。さらに、昨今の不安定な国際情勢を踏まえた地政学リスクへの注目度の高さや課題意識の高まりが浮き彫りになりました。加えて今年度は国内において「事業固有の業法・規制への違反」のリスクが上位となり、海外において「各国における経済安全保障上の関税・規制・制裁の強化」といったコンプライアンス関連のリスクをあげる企業が増加しています。不確実な経営環境が続く中で、法規制等のリスクに確実に対応していく一方、成長に向けてテイクすべきリスクを検討・実行するなどリスクマネジメント・クライシスマネジメントのあり方が問われています。本調査においては、グループガバナンスの高度化支援などに関するデロイト トーマツの豊富な知見を踏まえ定期的にリスクおよびクライシスの分類を見直しており、今回は新たに6つのリスクを加えています。リスク分類も含めた調査の結果が、リスクマネジメントの高度化に向けたベンチマーキングとして参考になれば幸いです。

調査概要

• 調査目的：
  • 国内上場企業における、「リスクマネジメント」および「クライシスマネジメント」の対応状況を把握し、現状の基礎的データを得ること
  • 本調査の実施および結果の開示を通じ、国内上場企業における「リスクマネジメント」ならびに「クライシスマネジメント」の認識を高めること
• 調査対象：日本国内に本社を構える上場企業より、売上の上位　約3,500社を対象（有効回答数：283社）
• 調査方法：2026年1月中旬～2月中旬にかけ、郵送による調査を実施
• 調査項目：
  • 【第1部】・・・上場企業が着目しているリスクの種類
  • 【第2部】・・・上場企業が経験したクライシスの分析

※本調査ならびに本ニュースリリース中の数値は小数点第2位を四捨五入しているため、合計値が100％にならないことがあります。

なお、本調査における「リスクマネジメント」と「クライシスマネジメント」の用語については、以下のとおり定義しています。

• リスクマネジメント：
  企業の事業目的を阻害する事象が発生しないように防止する、その影響を最小限にとどめるべく移転する、または一定範囲までは許容するなど、リスクに対して予め備え、体制・対策を整えること
• クライシスマネジメント：
  どんなに発生しないよう備えても、時としてリスクは顕在化し、企業に重大な影響を与えるクライシスは発生し得ることを前提に、発生時の負の影響・損害（レピュテーションの毀損含む）を最小限に抑えるための事前の準備、発生時の迅速な対処、そしてクライシス発生前の状態への回復という一連の対応を図ること