ESGリスクトピックス(2025年12月)
2025.12.1
『ESGリスクトピックス』では、E(環境)・S(社会)・G(ガバナンス)に関する国内・海外の最近の重要なトピックスをお届けします。
2025年12月のトピックス
サステナビリティ情報開示
○ 有報提出期限延長せず、投資家ニーズ反映しサステナ開示の迅速性優先、金融庁WG
2025年10月30日に開催された金融庁の金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ(WG)」で、現行で事業年度終了後3カ月以内とする有価証券報告書の提出期限を延長しないとする考えが示された。有報に掲載するサステナビリティ関連データの第三者保証義務化などに伴う企業の負担増への配慮として期限延長を求める声が高まっていたが、有報の迅速な開示を求める投資家のニーズが優先された格好だ。また、時価総額5,000億円以上1兆円未満のプライム市場上場企業にSSBJ基準の適用を開始する時期は、当初案どおり29年3月期が示された。
WGでは2025年7月に、それまでの論議を踏まえた中間論点整理を公表しており、25年内にも結論を出す予定だ。
「第三者保証が付されている場合における有価証券報告書の提出期限の延長」が、注目の論点のひとつだった。サステナビリティ情報開示の義務化による企業の負担増を考慮し、有報の提出期限を事業年度終了後3カ月以内から4カ月以内に延長する要否を、以下の観点を踏まえて検討してきた。
- WGにおいて早期の情報開示を望む意見がある(特に財務情報の開示が遅れることに懸念)
- 当初2年間は、保証の範囲をスコープ1・2、ガバナンス及びリスク管理に限定する方向性
- 欧州では比較的早期に「企業サステナビリティ報告指令(CSRD)」に基づく情報開示が行われている
本WGで、サステナビリティ情報開示の制度化に関わる国内外の動向に特段の変化がみられていないことを理由に、「提出期限の延長は実施しない」ことで合意した。企業の開示負担の軽減よりも、迅速な情報開示を求める投資家ニーズを重視した。
また、29年3月期を基本としつつ国内外の動向等を注視して検討することになっていた、時価総額5,000億円以上1兆円未満のプライム市場上場企業のSSBJ基準適用開始時期についても、状況の大きな変化が見られないことを理由に、当初案どおりの2029年3月期からの適用が示された。
他に、サステナビリティ情報の第三者保証の担い手について、監査法人に限定されない案が示された。グローバル企業の活動を阻害しない観点から、サステナビリティ保証は保証基準(ISSA5000)、品質管理基準(ISQM1)、倫理・独立性基準(IESSA)といった国際基準と整合性が確保された基準への準拠に言及。保証実務実施者は登録制で、監査法人・監査法人以外のいずれも可能とした。
これらを反映し「企業内容等の開示に関する内閣府令」が26年1月ごろに改正の予定だ。
【参考情報】
2025年10月30日、金融庁HP
https://www.fsa.go.jp/singi/singi_kinyu/sustainability_disclose_wg/shiryou/20251030.html
自然関連リスク管理・戦略
○ 世界初、生物多様性に取り組む組織向けの国際規格ISO17298が発行
残り6737文字
この先は「続きを読む」を押してください。
国際標準化機構(ISO)は2025年10月7日、組織が生物多様性に資する行動を支援する世界初の国際規格である、生物多様性分野のマネジメント規格「ISO17298:生物多様性 — 組織の戦略と事業における生物多様性の考慮 — 要求事項及び指針」を発行した。この規格は組織(企業、地方自治体、NGOなど)の規模や業種を問わず、あらゆる組織が生物多様性への依存、インパクト、リスク及び機会を評価し、実際の行動に移すための実用的な枠組みを提供している。
これまで、生物多様性が企業の持続可能性に与えるインパクトの重要性や対応の緊急性は認識されてきたが、生物多様性の観点を戦略や事業に統合するためのISOマネジメント規格は確立されていなかった。そのため、アプローチの断片化などが進み、実践までの道のりが複雑で困難であった。本規格は、生物多様性を単にサステナビリティ報告の枠にはめ込むのではなく、ガバナンスやリスク管理の中核として企業経営の実践に組み込むことを目的として、企業が生物多様性に関するインパクトを評価し、それらを戦略に効果的に反映させるためのロードマップを提供している。本規格は特に以下の点を支援する。
- 自社の活動が生物多様性とどのように関わっているかを評価する
- オペレーションとランドスケープ両方の視点から優先的に取り組むべき行動を特定する
- 測定可能な目標を設定し進捗をモニタリングする
- 生物多様性の取り組みをより広範なサステナビリティの取り組みに統合する
本規格は60ヵ国以上の専門家で構成された委員会で検討され、TNFDとの密接な協力下で開発されており、ISO14001(環境マネジメントシステム)、ISO26000(社会的責任に関する指針)、TNFD、持続可能な開発目標(SDGs)、昆明–モントリオール生物多様性枠組みなど、世界で広く用いられている既存の制度や取り組みと整合性がとれるよう設計されている。さらに今後、重要な分野については規格を拡充することも予定されている。
現在、全世界GDPの1/2以上である44兆米ドルが自然に中~高程度に依存しているとされている(世界経済フォーラム2020年)ことから、本規格は企業のレジリエンスのための重要なツールとなる可能性がある。特に企業は、レジリエンス向上を目的とした自然関連課題への対応を経営戦略へ組み込む際に本規格を活用することで、投資家からの信頼を得ることにつながる。
【参考情報】
2025年10月7日付 ISO HP
https://www.iso.org/news/2025/10/standard-17298_biodiversity
https://www.iso.org/standard/17298#lifecycle
ビジネスと人権
○ 「ビジネスと人権」政府行動計画改定案が公表、外国人労働者やAIが優先分野に
外務省は2025年10月1日、国連「ビジネスと人権に関する指導原則」を国内で推進するため、法制度の整備や政策の実施、企業の取り組みの促進など、今後の政府の取り組みをまとめた行動計画の改定案を公表した。20年に策定した現行動計画の改定版の位置づけ。
それによると、企業による人権侵害リスク抑止の取り組みがレジリエンス及び企業価値の向上につながると意義を強調。その上で、昨今の社会・経済状況を踏まえて、外国人労働者の就労・生活環境の改善や人工知能(AI)との安全な協調などを政府の取り組みの優先分野に挙げた。一方で、これまでに国連やNGOなどが設置を求めている政府から独立して人権侵害の調査や救済を担う機関の設置のほか、人権デューデリジェンスを企業に義務付ける法制化についての言及はない。
10月30日までのパブリックコメントを経て、25年内に確定する予定。
改定案では、行動計画の目的について現行計画と同じ4点を継承した。
- 国際社会を含む社会全体の人権の保護・促進
- 「ビジネスと人権」関連政策に係る一貫性の確保
- 日本企業の国際的な競争力及び持続可能性の確保・向上
- SDGsの達成への貢献
その上で、グローバル企業を念頭に、サプライチェーンを含めた人権尊重の取り組み推進を通じて、国際社会の信頼や投資家の高評価を引き出し、最終的には自社の企業価値向上につなげる意義を強調している。
また、目的の達成のために各省庁が実施する施策や措置を具体的なテーマやトピックスに応じて列挙する現行計画の構成を維持。改定案では「優先分野」に名称が変更されたものの、同様の趣旨で整理されている。現行計画と改定案を比較すると、取り上げられているテーマやトピックスは大部分は共通だ。ただ、改定案では、現行計画策定時との社会・経済の状況変化を反映して記載の濃淡が若干変化している。
【表】政府行動計画に記載の主要施策の現行・改定案比較
| 現行計画 | 改定案 |
|---|---|
|
(1)横断的事項
(2)人権を尊重する企業の責任
|
1.人権デューデリジェンス及びサプライチェーン 2.「誰一人取り残さない」ための施策推進
3.テーマ別人権課題
|
出典:当社作成
中でも、外国人労働者とAIは、現行計画と比べて重要度が引き上げた印象の記載となっている。
まず、外国人労働者について、現行計画が「在留資格を有するすべての外国人を…社会を構成する一員として受け入れていく」といった概括的な表現なのに対して、改定案では「日本が『選ばれる国』になる環境の整備は…国際競争力の向上に重要」と切実さが際立つ記載に変更。その上で、就労環境や能力開発、日常生活などの各側面できめ細やかな配慮を備えた施策を挙げた。国内の急速な人口減少を受けて、国内経済の維持や持続的成長のために外国人労働者の存在が不可欠な現状への危機感が垣間見える。
一方で、AIは改定案で「テーマ別人権課題」の個別の項目に特出しされている。23年5月の主要7カ国首脳会議(G7広島サミット)で日本が主導した「広島AIプロセス」やその後の施策を引き合いに、AIイノベーションの促進とリスク対応の両立による人権尊重・法令遵守・安全な協調を重視したガバナンスの実現や国際的な協調の推進を今後の主要施策に挙げている。現行計画では「新しい技術の発展に伴う人権」のうち、インターネット上の名誉毀損やヘイトスピーチ対策と併せ、AIと人権やプライバシー保護について「議論の推進」を挙げるにとどまっていたのとは対照的だ。
また、国連指導原則の3本の柱のひとつ「救済のアクセス」では、公的・民間双方の通報・相談窓口の周知促進や企業の公益通報窓口体制の整備促進などを具体的施策に例示した。ただ、23年7月に来日した国連ビジネスと人権作業部会の調査団が報告書で指摘したほか、国内外のNGOなどが政府に繰り返し設置を要求している国家人権機関(NHRI)の設置に触れる記載はなかった。NHRIは、政府から独立し、差別への対処や権利の保護、人権侵害に対する司法以外の救済などの役割を担う機関だ。国連は各国に設置を求めており、持続可能な開発目標(SDGs)にも含まれている。
【参考情報】
2025年10月1日、e-Govパブリック・コメントHP
https://public-comment.e-gov.go.jp/pcm/detail?CLASSNAME=PCMMSTDETAIL&id=350000222&Mode=0
EUデータ法
○ 「EUデータ法」が施行
2025年9月12日、EUの「Data Act(EUデータ法)」(以下、「本法」とする)が施行された。本法は、欧州委員会が掲げる「欧州デジタル戦略(European Data Strategy)」を具体化するための法規制の一つである。欧州デジタル戦略では、欧州域内のデータ活用が産業競争力強化の源泉とされており、データの流通や活用を妨げる技術的・法的・経済的な問題を解消し、公共及び民間の双方でデータ流通を促進することが重視されている。
IoT製品やクラウドサービスから得られるデータは、特定の大企業に集中している。一方で、中小企業は、大企業と競争するために必要なデータを手に入れにくく、欧州域内でのイノベーションや産業発展を阻害する状態となっている。
そこで本法では、欧州域内で提供される製品及びサービスの使用中に自動的に生成されるデータ(機器が発するログ情報や稼働情報など)の取り扱いルールを定め、契約条件によるデータ共有や移転の制限、事業者間の乗り換えや相互運用性の低さ、欧州域内での産業データ活用の遅れによる新産業の創出の遅れ等の問題を解消することを狙った。対象となるのは、IoT機器、スマート家電、自動車、産業用機械、医療機器、農業機械、建設機械、クラウドサービスなど、日常的な利用の中でデータを生成するコネクテッド製品※1及びそれらの関連サービス※2である。欧州域外企業であっても欧州域内でこれらを提供する場合は適用対象となる※3。
本法では、以下のような項目が規定されている。
| 項目 | 規定された内容 | 該当(関連)条文 |
|---|---|---|
| データ抽出を可能とする設計 (Data-by-Design) |
製品・サービスの設計段階から、データ 抽出・共有機能を組み込むことを要求 (第3条、第4条の定義・権利義務に基づく) |
第3条 第4条 |
| 利用者のデータアクセス権 | 利用中に製品やサービスが生成するデー タを、利用者が取得できる権利 |
第4条 |
| 利用者の指示による第三者へ のデータ提供義務 |
利用者が選んだ修理業者・外部サービス 等へデータを提供する義務 |
第5条 |
| 不当な契約条項の禁止 | データアクセス妨害・データ移転妨害な どの不当な契約条項は無効化 |
第13条 |
| クラウドサービスの乗り換え 容易化(クラウドポータビリ ティ) |
データ移転時の技術的・契約的障壁を取 り除く義務 |
第23条~ 第28条 |
| 制裁措置 | 欧州加盟国に対する制裁制度の整備義務 (制裁金額の上限は各国の判断による が、欧州委員会が公開しているFAQ※4 では、GDPRと同水準となる最大2,000万 ユーロまたは全世界売上高の4%が想定 されるとしている。) |
第40条 |
出典:EUデータ法原文(https://eur-lex.europa.eu/eli/reg/2023/2854)をもとに当社作成
上記の内容を踏まえると、対象企業においては、まず自社製品やサービスの提供に際し、どのプロセスで生成される、どのデータが本法規制対象となるのかを明確にすることが最重要となる。
その上で、特定したデータに関連するステークホルダー、それらに紐づく規制範囲を整理・把握した上で、適切なデータの取り扱いに係るシステム確立などを行った製品・サービスの設計が求められる。
なお、本法に関する今後の整備方針については、欧州委員会のFAQ※4で示されている。たとえば、クラウドポータビリティ(第23条~第28条)に関しては、施行後1年~1年半後に適用が開始される予定である。また、制裁措置(第40条)に関しては、制裁金額の上限は各国の判断によるとするものの、最大2,000万ユーロまたは全世界売上高の4%が想定されるとしている。データ形式やAPIの標準化については、欧州標準化機関等が今後策定を進めることが公表されている。
今後、継続して運用ルールや実務上の解釈が明確化されていくことが予想されるため、対象企業においては、欧州委員会からの公表内容に加えて、各加盟国の規制内容や法の整備状況について注視する必要がある。すでに対応を進めている企業であっても、継続的な情報収集と本法に対応するための製品・サービス設計、自社態勢の定期的な見直しを行うことが望ましい。
※1)コネクテッド製品とは、利用・性能・環境に関するデータを生成・取得・収集し、ケーブルまたは無線通信でデータを外部に送信できる製品を指す。スマート家電、産業機械、医療機器、スマートフォン、TVなどが該当する。(参照:欧州委員会が公表したデータ法に関するFAQ)
※2)関連サービスは、コネクテッド製品の機能に直接影響を与えるデジタルサービス(例:スマート家電のアプリなど)が対象となる。双方向のデータ交換と、製品の機能・挙動・操作への影響が要件となる。(参照:欧州委員会が公表したデータ法に関するFAQ)
※3)既存のデータ取り扱いを規定するEUの法律としては「GDPR(一般データ保護規則)」があるが、両者が矛盾する場合はGDPRが優先されるとしている。
※4)欧州委員会が公表したデータ法に関するFAQ: 2025年9月12日公表 バージョン1.3
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
【参考情報】
欧州委員会データ法公式HP
https://digital-strategy.ec.europa.eu/en/policies/data-act
サイバーセキュリティ
○ ランサムウェア脅威に国際連携で対処 5回目の国際会合を開催
2025年10月24日、シンガポールにおいてランサムウェアの脅威に対処するための国際連携について議論する「カウンターランサムウェア・イニシアティブ(CRI)会合」が開催された。本会合は2021年から数えて5回目の開催となり、米国や英国、国際刑事警察機構(インターポール)など、合計74の国や機関が参加しており、日本からは国家サイバー統括室、警察庁及び外務省が参加した。
会合後に発表された概要文書では、CRIメンバーが共有する共通のビジョンと取り組みを公表した。今年度は、概要文書で示された共通のビジョン達成に向けて、CRIメンバー間でどこで・いつ・どのように・誰と情報共有すべきかを取りまとめたCRI情報共有ガバナンス・フレームワークが採択され、ランサムウェア攻撃者に対する包囲網が形成されつつある。
| 概要文書のポイント |
|---|
|
出典:国家サイバー統括室「『カウンターランサムウェア・イニシアティブ(CRI)会合』への参加」をもとに当社作成
また、本会合では、各組織・企業がサプライチェーン上の脆弱性を悪用したランサムウェアの脅威に対処することを目的として、サプライチェーンのセキュリティ体制強化に関するガイダンスが公開された。このガイダンスは各組織・企業がサプライチェーン上のセキュリティ態勢を改善することで、ランサムウェア攻撃が各組織・企業に重大な影響を及ぼす可能性を低下させることを目指している。
ランサムウェアの脅威に対処するため、各国の法執行機関が連携してランサムウェア攻撃者を摘発し、攻撃者グループのテイクダウン※1に成功した事例が存在するが、ランサムウェアの脅威を完全に弱体化させるには至っておらず、日本国内においても多数のランサムウェア攻撃の被害が発生している状況である。各組織・企業はランサムウェアの脅威が経営の根幹を揺るがしかねないリスクの一つとして捉え、セキュリティ対策の実施状況確認やインシデント発生を想定した訓練などを実施して、ランサムウェア攻撃をはじめとしたサイバー攻撃への対応体制を強化することが重要である。
※1)サイバー攻撃者グループが悪用しているフィッシングサイト等を閉鎖すること
【参考情報】
国家サイバー統括室「『カウンターランサムウェア・イニシアティブ(CRI)会合』への参加」
https://www.nisc.go.jp/pdf/press/press_cri_20251027.pdf
PDFでもご覧いただけます
