中小企業のリスクマネジメントについて

研究のきっかけ

前田祐治教授
学部時代は工学部の電気工学科で、電気材料の研究をしていました。卒業後、エンジニアリングで英語を活かせる場所を求めていたところ、アメリカの保険会社からお誘いがあり、保険業界に多くのエンジニアがいることを知りました。アメリカでは、リスクマネージメントと保険を絡めた仕事があり、リスクエンジニアリングという職種でオファーを受けました。その後、アメリカのサンフランシスコとシカゴで2年間研修を受け、リスクエンジニアリングのトレーニングを受け、現在に至っております。

コのほけん！編集部
日本でリスクエンジニアリングという分野に携わっている方は、どの程度いらっしゃるのでしょうか？

前田祐治教授
損害保険会社の分野になりますが、少人数ですが存在します。たとえば、東京海上リスクコンサルティングが社内にエンジニアを抱えて、リスクエンジニアリングを独立して行っています。他の損害保険会社も同様です。アメリカではリスクエンジニアリングが常識だったのですが、日本では一般的ではなかったのですが、最近ようやく広まり始めました。

コのほけん！編集部
やはり、損害保険会社の方が多くて、生命保険ではあまりないのでしょうか？

前田祐治教授
生命保険においては、リスクマネジメントで保険料が変動するようなシステムがないため、リスクエンジニアリングが直接的に関わることはないと思います。損害保険会社の方がリスクエンジニアリングの専門家が多いと言えます。

企業のリスクマネジメントにおける保険の活用

前田祐治教授
損害保険の分野で、保険はリスクマネジメント対策の一つです。アメリカでは、リスクコントロールとリスクファイナンスが主な手法です。リスクコントロールではリスクエンジニアリングを実施し、リスク軽減や評価を行います。リスクエンジニアリングで除去できないリスクは、ファイナンス手法でリスクマネジメントします。保険はその一つであり、デリバティブ（金融派生商品）もリスクマネジメント手法です。

最近、保険リスクをデリバティブで解決する方法が流行っています。たとえば、キャットボンドという地震リスクを証券化する方法やリスクヘッジのデリバティブ手法が増えています。日本の中小企業では保険が有効です。大数の法則を用いてリスクをプールし、安い保険料で補償します。保険は非常に安く、デリバティブより安いことが多いです。ただし、企業規模によっては保険でリスク平準化できない場合もあります。その場合、デリバティブ契約や投資家にヘッジさせる方法が適用されます。

静岡の中小企業の例では、地震デリバティブを使ってリスクをヘッジしているケースがあります。保険会社所定の条件を満たす地震が発生した場合に補償額が支給される契約です。デリバティブ契約は長期契約ができず、1年契約で更新していくものです。

保険とデリバティブの選択は企業のニーズやリスク状況に応じて異なります。どちらもリスクマネジメントの一部であり、企業は自身のリスク状況を正確に把握し、適切な手法を選択することが重要です。

保険会社も多様化しており、保険デリバティブを引き受ける会社も増えています。これにより、企業は保険とデリバティブの組み合わせを使って、より効率的なリスクマネジメントを実現できるようになっています。

企業がリスク管理を行う上で、保険とデリバティブのどちらを選択すべきかは、企業の規模やリスク状況、資金繰りなど様々な要素を考慮する必要があります。リスクマネージメントの専門家や保険会社と相談しながら、適切な手法を選択し、企業のリスクを効果的に管理することが求められます。企業にとって最適なリスクマネジメント手法を選択することで、潜在的なリスクに対応し、企業の成長と持続的な発展をサポートできます。

中小企業のリスクマネジメントとその注意点

前田祐治教授
インターネット業界のリスクマネジメントは、ネットワークシステムへの依存度が高いことが特徴です。システムのリスクマネジメントは、銀行や金融業界で歴史があります。例えば、2000年のY2K問題（コンピューターの日付表示が2000年になった時にシステムが崩壊するリスク）に対応するため、金融業界ではリスクマネジメントやコンティンジェンシープラン（万が一の復旧計画）やBCP（緊急時の事業継続計画）が作成されていました。

金融機関は、システムのリスクマネジメントを実際に行っていました。バックアップ施設を作ったり、システムが機能しなかった時に対応できるように、さまざまな計画が立てられていました。これにより、業界全体でリスクマネジメントの重要性が認識されました。

ITビジネスでも、システムがダウンした時や災害時の対応策を事前に計画するリスクマネジメントが必要です。金融機関から学んだホット、ウォーム、コールドサイトといった仕組みが役立ちます。例えば、東京で大地震が発生した場合、埼玉や千葉などにあるコンピューターファシリティを使ってバックアップを取り、東京のサーバーがダウンした際にはそちらのサーバーを立ち上げるようなトレーニングが実施されています。このようなリスクマネジメントは、ITを駆使した中小企業にとって非常に重要です。

サイバーセキュリティというリスク

前田祐治教授
サイバーセキュリティは現在、大きなリスクとなっており、アメリカではサイバー保険が注目を集めています。これは、システムリスクや個人情報の流出リスクを管理するための手段で、喫緊（きつきん）の課題となっています。

サイバー保険は、自動車保険や火災保険と異なり、企業ごとのリスク評価に基づいて保険プログラムが設計されます。リスクマネジメントが適切な企業とそうでない企業では、保険料が大幅に異なります。保険会社は、企業のリスクマネジメント体制を詳細に調査し、保険引受の判断を行います。リスク管理体制が整っていない企業に対しては、保険が引き受けられないこともあります。

一方、リスクマネジメントが適切な企業には、保険会社が適切な保険料を提示して引き受けます。企業向け保険は、一律の保険とは異なり、複雑な仕組みとなるため、保険会社との取引が重要です。

東京などの都市部では、リスクコンサルタントがリスクエンジニアリングを行い、リスク査定を実施します。サイバーセキュリティ以外のリスク（火災、賠償、大災害など）も評価しますが、現在はサイバーセキュリティリスクが重要視されています。アメリカの保険会社は、IT専門家を雇用し、サイバーリスク評価を行っています。

アメリカの保険会社のサイバー保険のアンダーライターは、ほとんどがIT専門家です。現場知識を持つ専門家が保険の設計や保険料の提示を担当しています。サイバー保険は企業のリスク管理体制が評価されるため、保険会社と企業が密接に協力する必要があります。リスク管理が整っている企業は、適切な保険を引き受けられることが期待できます。

今後、日本でもサイバー保険の普及が進むことで、企業は強固なリスクマネジメント体制の構築が求められるでしょう。そのため、IT専門家がリスク評価を行う保険会社と連携し、企業が適切な保険を得ることが重要となります。このようにして、非常に複雑な仕組みが構築されています。

サイバー保険の普及に伴い、日本の企業もリスクマネジメントへの意識が高まることが期待されます。企業は、サイバーセキュリティリスクを十分に認識し、適切なリスク管理体制を整えることが求められます。これにより、企業はサイバー攻撃やデータ漏洩に対するリスクを軽減し、事業の継続性と安定性を確保することができます。

今後のサイバー保険市場の発展と共に、企業のリスクマネジメントの在り方も変化することが予想されます。企業と保険会社が連携し、サイバーセキュリティリスクに対処する仕組みが整備されることで、社会全体のセキュリティ対策が向上し、企業活動の安定に寄与することが期待されています。

リスクマネジメントの必要性

前田祐治教授
保険には様々な種類がありますが、生命保険は非常にシンプルで、人間の生命や病気、がんなどに対応しています。一方、損害保険は多岐に渡り、飛行機や船、運送、製品賠償、労働災害などのリスクに対処します。それぞれの分野には専門家が存在します。

私はリスクエンジニアとして、倉庫や事務所、病院などの建物、機械や設備、運送や災害に関連するリスクを担当していました。他の専門家たちは、それぞれの分野に散らばっています。

コのほけん！編集部
全く知りませんでした。先日、製鉄所内での死亡事故のニュースを見かけたのですが、工場内での死亡事故なども対象ですか？

前田祐治教授
はい、製鉄所内での事故で亡くなった場合、製鉄所の賠償責任となります。これには施設賠償や労働災害の賠償が含まれます。企業のリスクマネージャーは、人の安全はもちろん重要ですが、賠償リスクに対する対策も行います。

実際に施設に行って、安全管理や衛生面について評価し、事故が発生した場合の企業としての賠償責任を把握します。アメリカでは賠償が非常に高額で、懲罰的な賠償が科せられることがあります。

懲罰的な賠償の過去にあった事例ですが、マクドナルド・コーヒー事故では、1億円以上の賠償をマクドナルドが支払うことになりました。ドライブスルーを利用した高齢の女性が、コーヒーの入った紙コップを落としてしまい、中に入っていたコーヒーが身体にかかってしまいました。そのコーヒーが高温でひどい火傷を負ってしまったため訴訟になりました。これ以降、マクドナルドは紙コップの改善を行いました。

アメリカでは一般的な治療費などの賠償だけでなく、大企業に対しては事件・事故が二度と起こらないようにさせるために、懲罰的に高額の賠償金を課します。

そのため、各企業にはリスクマネージャーがおり、事故や事件が起こった際に対処策を立てます。特に、世界展開している企業では、リスクマネージャーが各国で対応を行います。

企業賠償は非常に大きな問題で、アメリカでは賠償責任が非常に高額です。日本ではそこまで高額ではありませんが、アメリカは訴訟大国であるため、製造賠償（PL）や懲罰的な費用が10億、100億と膨大になることがあります。

賠償問題によって企業の評判が悪化し、機会損失や利益の減少等で倒産に至ることがあります。例えば、日本のタカタは、アメリカで起こした製造物賠償問題が原因となって倒産しました。

タカタのケースからわかるように、アメリカの安全に対する賠償が非常に高額であり、企業が倒産するほどの影響があります。このようなリスクに対処するために、企業にはリスクマネージャーなどの専門職が必要です。日本ではまだリスクマネージャーが一般的ではありませんが、アメリカなどの国では専門職が求められています。

コのほけん！編集部
今後、日本でもリスクマネージャーの需要が増える可能性がありますね。

前田祐治教授
アメリカのリスクマネージメントの歴史は非常に長く、私が関わった時期でもすでに進化していました。それがさらに進歩しているので、現在の動向を追っていると非常に面白いですね。ここまでの知識を持っている人はあまりいないかもしれませんが、私はリスクエンジニアとして働いていました。

日本にいると、なかなかピンとこないかもしれません。私は日本の企業でリスクマネジメントのコンサルティングをしていましたが、リスクマネジメントに初めて取り組む企業も多かったです。たとえば、トヨタでもそうでした。私はトヨタの田原工場に行ったことがあります。トヨタはアメリカ市場が大きいため、アメリカにはリスクマネージャーがいます。海外進出しているほとんどの企業には、アメリカにリスクマネージャーがいることが一般的です。

リスクマネージャーの将来像は？

コのほけん！編集部
日本のリスクマネージメントにおいて、今後リスクマネージャーが導入される将来像はあるのでしょうか？

前田祐治教授
リスクマネージャーの資格制度を確立しようとする動きがあります。私はリスク学会に参加していて、そこでは安全や科学物質のリスク、気候変動のリスクなどを扱っています。リスク学会ではリスクマネージャー養成講座も開催していますが、リスクマネージメントのファイナンス部分が抜け落ちていることが問題です。リスクコントロールとリスクファイナンスの両方が揃わないと、リスクマネージメントが成立しないと私は考えています。

ファイナンスの知識がない現場の人たちが多く、リスクマネージメントのファイナンス部分を知っている人とコントロール部分を知っている人の間には大きな壁があるため、両方を知っている人はなかなかいません。アメリカではリスクマネージャーがいて、その下に担当部門がいろいろあります。

リスクマネージャーはリスク全体を統括し、それをマネージメントします。ただ、リスクは多岐に渡ります。企業は様々なリスクに直面していて、それを統括しマネジメントするというにはあまりにも範囲が広すぎます。

アメリカのリスクマネジメントには資格制度があります。私も保有していますが、ARM（アソシエイト・リスク・マネジメント）という資格があり、リスクマネジメント業界で重要な資格とされています。また、リスク・マネジメント・ソサィエテティ（RIMS）という非常に大きな組織があります。

年に1回大会が開催されています。RIMSの大会には、銀行関係、証券関係、保険関係、大学関係、リスクマネージャー関係など、さまざまな関係者が参加し、それぞれの専門分野に関するディスカッションが行われます。この大会は1週間にわたり、様々なテーマについて議論が交わされます。

広い業界を一つにまとめるようなソサエティと表現すればいいでしょうか。アメリカのリスクマネジメントは非常に組織化されており、それが強みだと思います。

もし日本でもそういった組織があれば、とても良いのですが、実際には様々な学会が存在し、それぞれがリスクマネージメントについて異なる考えを持っており、統一性がない状況です。日本はこの点で遅れていますね。

企業のリスクマネージメントは最近ますます重要視されており、規制も厳しくなってきています。そのため、リスクマネージメントの知識が必要なのですが、ノウハウが不足しているため、誰が実際にそれを担当するのかという問題が生じています。

保険業界では、リスクマネージャーという役割が保険を管理する人として認識されていますが、実際には世界的に見ると、その段階はすでに終わり、全てのリスクを統括するようなチーフリスクオフィサー（CRO）が存在しています。このような役割を設けて、企業全体のリスクを管理するところに到達しています。

アメリカでは、私が3年前にニューヨークで1年間過ごした際にも、企業全体のリスク管理が非常に難しいと感じました。リスク評価する時点から、様々な部署の関係者が集まって協力しなければならず、それが難しいのです。

私はニューヨークのセントジョーンズ大学にいた時、月に1回リスクマネージャーが集まってワークショップを開いていました。それぞれの参加者が「私たちの組織ではこうやっています」と情報交換し、ディスカッションを通じてお互いの方法を議論し、最適なリスク管理方法を模索していました。このような場で、大学がファシリテーターの役割を果たしていました。

大学もリスクマネジメントに関心を持っており、大学の教員がファシリテーターとなって、様々なリスクマネジメント活動を支援していました。しかし、それぞれの企業が自分たちにとって最適なリスク管理方法をどのように実践すべきかについては、現在も模索しているのが現状だと思います。

コのほけん！編集部
日本でも必要性が高いと感じられます。工場の現場と管理側のリスクに対する認識の不一致という話を聞いたことがあります。

前田祐治教授
私は、アメリカや日本の企業の生産現場にたくさん訪れた経験があります。リスクマネージャーから現場に出向いてほしいと依頼されて行きます。現場の人たちはリスクについてよく知っています。現場の人たちは、リスクがあることや、それが起こった場合に問題となることを言いますが、その情報が上層部に伝わらないことがあります。現場はリスクについて知っているけれども、上層部には伝わっておらず、伝える方法がないため、問題を隠蔽するか、知らなかったことにすることがあるようです。

また、上層部に内緒で解決しようとすることが慣習としてあるのですが、一つの問題だけで済むなら良いのですが、2つ3つと問題がある場合、万が一の事態に発展する可能性もあります。この場合、現場の責任となってしまいます。

リスクマネジメントには、現場とのコミュニケーションが必要不可欠であると考えます。企業内にリスクマネジメントを担当する部署がなければ、誰も相談できないでしょう。

アメリカでは、リスクマネジメントの専門部署があり、そこから現場に派遣されることがあります。私のように、リスクマネジメントやコンサルティングの業務を行い、現場に行って、リスクを評価することがあります。リスク調査を行い、現場の人たちからリスクの情報を収集し、リスクマネージャーに報告します。

アメリカ企業が日本で工場を持っている場合に、情報が伝わってこないため課題となっています。

そのため、私はリスクマネージャーからの依頼で、現場に出向き、リスクマネージャーからの指示を実行しています。私が行くことで、リスクマネージャーからの趣旨を理解してもらい、協力してもらえるようになります。

日本でも、最近はリスクマネジメントに対する意識が高まってきています。この仕事をしていると相談されることも多いです。リスクコンサルティングは、実際に自社内で行うのは困難ですが、第三者から見た客観的な評価ができるため、非常に重要な仕事だと思います。リスクコンサルティングで働く人々は、大学の先生になることが少ないと言われていますが、アメリカではこの職業が確立されています。

SDGs時代におけるリスクマネジメントは？

前田祐治教授
SDGs、ESGなど様々なイニシアティブがありますが、リスクマネージメントに関連して言えば、サステナビリティです。サステナブルな成長をどう達成していくのかというところが、非常に重要な部分であり、リスクマネージメントと密接に関わってきます。リスクマネージメントの用語では、レジリエンスと言います。このレジリエンスというのが、ESGやSDGsの中に入っていますが、耐久性や対応能力があるということを指します。こういったところで、リスクマネージメントの役割が重要視されていることがあります。

たとえば、気候変動に伴う規制の要求が広まっている中、自動車業界では、CO2排出を抑える技術的な変革が進んでいますが、それに伴ったリスクも大きくなっています。したがって、サステナブルな事業活動においては、リスクマネージメントを怠らずに対応することが必要です。

過去には、ホンダがタイで洪水被害に遭った際、重要な部品を生産していた工場が被災したことで、全体の生産がストップした例があります。

本来であれば洪水が起きないようなところに、温暖化の気候変動の影響で洪水が起きているという話を最近はよく聞きます。

そのような事態に陥らないためにも、リスクマネージメントが重要であり、リスクマネージメントとジャストインタイム生産というシステムは、相反するところがあると言えます。企業としては、リスクに対してバックアップを取らないと機械損失が大きくなるため、リスクマネージメントを十分に行うことが必要です。

リスクマネージメントを取り入れると、たとえば、部品工場が生産停止した場合に、他に生産ができる工場を作っておくとか、外注先を用意しておくとか、本社でバックアップのシステムを作っておくとか、そういったところで保険に頼るのではなく、サステナブルな生産を維持するためのリスクマネージメントプランを作っておく必要があります。このようなプランを「コンティンジェンシープラン」と呼んでいます。

トヨタに代表されるようなジャストインタイムシステムは非常に効率的ですが、リスクが大きく、一つがダメになった場合にサプライチェーン全体が壊れ、生産が停止してしまう可能性があります。そのため、リスクマネージャーが企業内にいることが重要であり、効率性ばかりを追求するとレジリエンス（強靭性）が低下し、リスクに対応できなくなる可能性があります。

経営者は効率的な経営を求めるため、現金を保有しないような経営を行うことがあります。しかし、この方法はリスクマネージメントに反していると言えます。レジリエンスを確保するためには、ある程度のバッファーや余裕が必要です。たとえば、現金があると急な出費に対応できますし、臨時で人を雇って対応させることも可能です。しかし、そういったものが全くない場合、慌てて借り入れに頼ることになり、借り入れが難しい状況もあり得ます。

阪神大震災の際には、関西圏の金融機関に製造業者から融資依頼が殺到しましたが、銀行の審査には時間がかかります。そのため、中小企業は自分で緊急ファンドを積み立てる必要があります。

再保険とキャプティブ

前田祐治教授
アメリカでは、保険のシステムを活用し、再保険システムを作ることができます。私が研究対象にしているキャプティブ保険会社は、企業が子会社として保険会社を設立し、再保険のシステムを作るものです。世界には7000社ほど、日本の企業でも100社程度がこのシステムを利用しています。

キャプティブ保険会社では、保険料を再保険のシステムで子会社に貯蓄していきます。事故が起きなかった場合、保険料が貯金箱のように貯まります。万が一事故が起きた場合には、その貯蓄から買い戻すことができます。このキャプティブと呼ばれる仕組みは、アメリカやヨーロッパでも用いられており、1950年代から使われています。

コのほけん！編集部
歴史のあるシステムですね。

前田祐治教授
そうです。歴史があります。世界最大のキャプティブの設立地はバミューダです。

コのほけん！編集部
バミューダというと、魔のトライアングルしか思いつきません。

前田祐治教授
そう、そこです。バミューダトライアングルの1つであるバミューダ諸島は英国連邦の1つです。ニューヨークから飛行機で大体1時間半ぐらいの小さい島で、そこが実はキャプティブのメッカになっています。金融で繁栄していて、銀行や再保険会社など、多くの企業がペーパーカンパニーを設立しています。さらに、バミューダはタックスヘイブンの1つで、法人税率が0（ゼロ）です。

また、バミューダは保険に特化しています。保険会社がたくさん設立しており、ペーパーカンパニーと呼ばれる会社もあります。要するに、バミューダで貯金箱を溜め込んでいるような感じです。こういったことを調べると、バミューダは非常に興味深い場所だとわかります。バミューダはこのような理由から、非常に繁栄しており、潤っているのです。

コのほけん！編集部
全然そんなイメージがありませんでした。 

前田祐治教授
タックスヘイブンというと悪いイメージがありますが、バミューダやルクセンブルク、ガーンジー島、ダブリン、ミクロネシア、ハワイ、シンガポール、バーモント州などがその代表例です。これらの場所では、規制が緩く金融会社や保険業界が設立されています。

キャプティブ保険とは、企業が自社の保険会社を設立し、自社グループのリスクに合った保険プログラムを作ることができます。規制が緩い場所に設立することで、柔軟な保険設計が可能になります。再保険システムとして、自社の貯金箱を作り、緊急時に利用できるようになります。

日本では、保険会社は税前で非常時の準備金を積み立てることができますが、一般企業は税前での積立てが認められていません。損金控除ができません。しかし、保険会社を通じて保険料を払い、その後ろに再保険会社で貯金を積立てることができます。再保険会社は自社の子会社となります。

たとえば、中小企業の社長が自分の生命保険に1億～5億円をかける場合、生命保険会社の中に貯金箱を作り、万が一の時に解約して解約金を利用できます。日本では、法人保険（事業保険）の役割として、リスクマネージメントの一つとして生命保険を貯金として使うことが行われています。

法人保険（事業保険）は税金関係の規制が徐々に厳しくなって、多額の税金がかかるようになったため、メリットが小さいというのが現実です。

企業はリスクマネジメントのためのファンドを作る必要があります。中小企業は生命保険を利用してファンドを生命保険会社の中に作ろうとしていますが、税務当局の対応で税メリットがなくなっています。

日本は様々な問題を抱えています。アメリカでは、リスクマネジメント体制が保険会社や社会、行政に浸透しており、その推進の雰囲気があります。アメリカはリスクマネジメントにおいて日本より20年ほど進んでいると思われます。私はこのトピックに興味を持ち、研究活動を行っています。

私はバミューダやルクセンブルク、アリゾナ、バーモントなどを訪れ、リスクマネージャーが集まる場所で情報交換を行っています。キャプティブ保険の社長を務めるほとんどの人はリスクマネージャーであり、彼らと話すことで最近のトレンドや困り事、取り組み方などがわかります。私はフィールド調査を通じて研究活動を広げており、教育分野からリスクマネジメントを普及したいと考えています。

まとめ（編集部後記）

前田教授のお話から、サイバーセキュリティリスクや損害保険など、企業ごとのリスク評価と対策が大切だとわかりました。また、適切なリスク管理が整っている企業は、保険会社から適切な保険を引き受けられることが期待できます。さらに、リスクマネジメント戦略とSDGsへの取り組みを通じて、中小企業もより強固な経営体制を築くべきだとアドバイスされています。リスクマネージャーの役割が今後ますます重要になるとのことで、中小企業にとっても大変参考になるお話でした。