企業法務、内部統制、コンプライアンス、個人情報、サイバー、労務、知財、M&Aを横断し、リスクを見える化して経営判断へつなげる方法を整理します。
企業法務 ・内部統制・ コンプライアンスで何を優先するかを説明するため、まず結論と使い道を確認します。
リスクマップ作成の進め方では、法務相談を個別に処理するだけでなく、企業の目的達成を阻害し得る不確実性を同じ基準で並べ、優先順位、対応方針、責任者、期限、残余リスクまで説明できる状態を作ります。
次の重要ポイントは、この記事全体の結論を表しています。リスクマップが単なる色分け表で終わらないようにするため、目的、基準、情報、評価、承認、更新を一連の管理手続として読むことが重要です。読者は、最初にどの工程から着手し、どの成果物へつなげるかを確認してください。
目的と対象範囲を定め、リスク分類と評価基準を作り、事実情報からリスクシナリオを具体化し、固有リスク、統制、残余リスクを評価したうえで、対応方針と責任者を決めます。経営会議、取締役会、監査役等、内部監査、J-SOX、研修、規程、契約管理へ接続して、定期的に更新します。
リスクマップ作成の進め方を短く整理すると、まず全社リスク管理、法務部門運営、内部統制、サイバー、M&A、不祥事予防などの利用場面を決めます。そのうえで、影響度と発生可能性だけでなく、統制有効性、速度、検知可能性、相互依存性、法定期限も補助的に見ます。
リスク、統制、残余リスク、リスク登録簿の意味をそろえ、経営判断に使う前提を整えます。
リスクマップとは、企業が抱える複数のリスクを、一定の評価軸に沿って整理し、全体像と優先順位を視覚化する資料です。典型的には縦軸を影響度、横軸を発生可能性とする二軸の整理で、右上に近いほど重大リスクとして扱います。
次の一覧は、リスクマップ作成の進め方で最初にそろえる基本用語を表しています。用語の意味がずれると部門間で評価がそろわないため重要です。読者は、固有リスクと残余リスク、統制とリスクオーナーの違いを読み取ってください。
| 用語 | 意味 | 実務で見るポイント |
|---|---|---|
| リスク | 会社の事業目的、法令遵守、契約履行、資産保全、財務報告、社会的信用、人権尊重、事業継続を阻害し得る不確実性です。 | 法令違反だけでなく、契約、行政対応、労務、知財、情報漏えい、信用低下まで含めます。 |
| リスクアセスメント | リスクの識別、分析、評価を行う一連のプロセスです。 | 洗い出し、評価、対応策の検討を連続した手続として扱います。 |
| 固有リスク | 既存の統制を考慮する前のリスク水準です。 | 大量の個人データを扱う事業など、活動そのものが持つ危険性を見ます。 |
| 統制 | リスクを低減するための方針、規程、手続、承認、教育、監査、システム制御、契約条項、保険、専門家レビューなどです。 | 設計だけでなく、運用実績と証跡を確認します。 |
| 残余リスク | 既存の統制を考慮した後に残るリスクです。 | 経営として受容できる水準かを判断します。 |
| リスク許容度 | 会社が目的達成のために受け入れられるリスクの範囲です。 | 回避、低減、移転、受容の判断基準になります。 |
| リスクオーナー | 特定リスクの管理責任を負う者です。 | 法務だけでなく、事業、人事、IT、経理、知財などが共同で担うことがあります。 |
| リスク登録簿 | リスク名、シナリオ、原因、影響、現行統制、評価、対応策、責任者、期限、証跡を一覧化した管理台帳です。 | リスクマップの根拠資料として使います。 |
リスクマップが必要な理由は、ばらばらの法務問題を同じ基準で比較し、経営会議や取締役会に説明しやすくするためです。少額の契約トラブルが多数ある状況と、発生可能性は低くても行政処分や上場維持に影響する開示リスクでは、優先順位が異なります。
次の3つの項目は、リスクマップが企業法務で果たす役割を表しています。部門ごとの個別対応から全社判断へ広げることが重要です。読者は、どの役割が自社の作成目的に近いかを確認してください。
契約、労務、個人情報、知財、開示、サイバーなどを、影響度、発生可能性、統制有効性で並べます。
人員、外部専門家費用、システム投資、監査計画の優先順位を、抽象的な不安ではなく評価根拠で示します。
事故、通報、監査指摘、行政指導を兆候として扱い、再発防止策と予防策へつなげます。
目的、体制、範囲を先に決め、評価と対応が再現できる管理手続にします。
リスクマップ作成の進め方は、最初から図を描く作業ではありません。目的、体制、範囲、分類、基準をそろえたうえで、情報収集、シナリオ化、評価、対応計画、承認、更新へ進めます。
次の一覧は、実務に乗せやすい十一段階の進め方を表しています。工程が抜けると評価の根拠や責任者が曖昧になるため重要です。読者は、現在の自社がどの段階で止まっているかを読み取ってください。
| 段階 | 作業 | 主な成果物 |
|---|---|---|
| 0 | 目的と利用場面の確定 | 作成方針、利用者、報告先 |
| 1 | 体制構築 | 責任者、事務局、専門家、RACI |
| 2 | 対象範囲の設定 | 事業、地域、子会社、法領域、期間 |
| 3 | リスク分類の設計 | リスク分類表、法務リスク分類体系 |
| 4 | 評価基準の策定 | 影響度基準、発生可能性基準、統制評価基準 |
| 5 | 情報収集 | 資料レビュー、ヒアリング、ワークショップ結果 |
| 6 | リスクシナリオ化 | 原因・事象・結果を含むリスク文 |
| 7 | 固有リスク評価 | 影響度、発生可能性、速度、検知可能性 |
| 8 | 統制評価・残余リスク評価 | 統制一覧、統制不備、残余リスク |
| 9 | リスクマップ作成 | 5×5整理、重要リスク一覧 |
| 10 | 対応計画・承認・更新 | 対応方針、期限、責任者、モニタリング計画 |
目的は、全社リスク管理、法務部門運営、コンプライアンス体制整備、内部統制・J-SOX、サイバー・個人情報対応、M&A・PMI、子会社管理、不祥事予防などに分かれます。目的が異なれば、対象範囲、評価基準、粒度、更新頻度、報告先も変わります。
次の比較表は、目的ごとの利用者と重点を表しています。利用者を先に決めることで、経営向けに要約するのか、実務担当者向けに証跡や期限まで細かく管理するのかが変わります。読者は、作成目的と成果物の粒度を対応させて読んでください。
| 目的 | 典型的な利用者 | 重点 |
|---|---|---|
| 全社リスク管理 | 経営会議、取締役会、監査役等 | 重大リスクの優先順位、予算配分 |
| 法務部門運営 | 法務部長、GC、CLO | 契約審査、紛争、規程、外部専門家活用 |
| コンプライアンス体制整備 | CCO、コンプライアンス委員会 | 法令遵守、研修、内部通報、懲戒・調査 |
| 内部統制・J-SOX | 経理、内部統制、内部監査、会計監査人 | 財務報告への影響、統制不備、証跡 |
| サイバー・個人情報対応 | CISO、DPO、IT、プライバシー担当 | 情報資産、漏えい、委託先、インシデント対応 |
| M&A・PMI | 経営企画、法務、会計士、税理士 | デューデリジェンス、統合後統制 |
| 子会社管理 | 親会社法務、内部監査、海外法務 | グループ規程、権限、報告、現地法規制 |
| 不祥事予防 | 監査役等、内部監査、外部専門家 | 兆候、通報、調査、再発防止 |
体制は、スポンサー層、事務局層、専門家層の三層で設計すると整理しやすくなります。スポンサー層は対象範囲やリスク許容度を承認し、事務局層は資料収集や評価案を担い、専門家層は重大領域のレビューを行います。
次の責任分担表は、リスクごとの実行者、最終責任者、相談先、共有先を表しています。作成責任者と管理責任者を分けることが重要です。読者は、赤く表示されるリスクについて、実際に誰が改善するのかを読み取ってください。
| 対象 | 実行 | 最終責任 | 相談 | 共有 |
|---|---|---|---|---|
| 全社リスクマップ | リスク管理・法務事務局 | CRO・GC・経営会議 | 内部監査、会計士、外部専門家 | 取締役会、監査役等 |
| 契約リスク | 法務、事業部門 | 法務部長、事業責任者 | 外部専門家 | 経営企画、経理 |
| 個人情報リスク | プライバシー担当、IT、事業部門 | DPO相当責任者、CISO | 専門家、セキュリティ専門家 | 経営会議、広報 |
| 労務リスク | 人事、労務法務 | CHRO、人事部長 | 社労士、専門家 | 監査役等、内部監査 |
| 知財リスク | 知財、開発、事業部門 | 知財責任者 | 弁理士、専門家 | 経営企画、法務 |
| 開示・会計リスク | 経理、IR、法務 | CFO | 公認会計士、外部専門家 | 監査役等、取締役会 |
対象範囲は、組織範囲、事業範囲、法領域範囲、時間範囲、リスク階層、成果物範囲の六つで設定します。範囲が広すぎると抽象的になり、狭すぎると経営判断に使いにくくなります。
次の一覧は、対象範囲を決める六つの観点を表しています。範囲設定は後の評価漏れと重複を防ぐため重要です。読者は、全社版と部門版を分ける必要があるかを確認してください。
| 軸 | 決めること | 注意点 |
|---|---|---|
| 組織範囲 | 親会社単体、国内子会社、海外子会社、JVなど | 海外では現地の労働法、個人情報法、腐敗防止法、輸出管理、競争法、税務も見ます。 |
| 事業範囲 | 全事業か、規制色の強い特定事業か | 医療、金融、教育、建設、食品、AIなどは別管理が有効です。 |
| 法領域範囲 | 契約、会社法、金商法、労働法、個人情報、知財、独禁法、下請法、税務、M&Aなど | 企業活動に応じて漏れやすい領域を明示します。 |
| 時間範囲 | 今後1年、3年から5年、長期変化 | 生成AI、地政学、サイバーなどは中期視点も要します。 |
| リスク階層 | 全社、部門、業務プロセス、案件 | 個人情報管理とマーケティング同意取得不備のように階層を分けます。 |
| 成果物範囲 | リスクマップ、登録簿、対応計画、報告資料、研修計画、監査計画、規程改定案 | 実務では登録簿と対応計画まで同時に作る方が効果的です。 |
分類、影響度、発生可能性、統制有効性、補助軸を文書化し、評価のばらつきを抑えます。
リスク分類は、リスクマップの骨格です。分類が曖昧だと、同じリスクが重複して登録される一方で、重要リスクが抜けます。経営層が理解できる程度に粗く、実務担当者が行動できる程度に具体化します。
次の分類表は、企業法務で扱う代表的なリスク領域を表しています。分類の粒度をそろえることは、部門間の比較と対応責任の整理に重要です。読者は、自社の事業に照らして不足している大分類と中分類を読み取ってください。
| 大分類 | 中分類 | 典型例 |
|---|---|---|
| 契約・取引 | 契約審査、債権回収、責任制限、解除、反社 | 不利な責任条項、検収不備、解除紛争 |
| 会社法・ガバナンス | 取締役会、株主総会、利益相反、子会社管理 | 議事録不備、決裁権限逸脱、子会社不祥事 |
| 金商法・開示 | 適時開示、インサイダー、内部統制報告 | 重要事実管理不備、虚偽記載 |
| 労務 | 労働時間、ハラスメント、懲戒、解雇、労組 | 未払残業代、メンタルヘルス、公益通報者保護 |
| 個人情報・データ | 取得、利用、委託、越境、漏えい | 同意不備、委託先管理不備、本人通知遅延 |
| サイバー・情報セキュリティ | ランサム、脆弱性、アクセス権限、ログ | サプライチェーン攻撃、内部不正 |
| 知財・技術 | 特許、商標、著作権、営業秘密、共同研究 | 侵害警告、権利帰属不備、秘密管理不備 |
| 競争法・取引規制 | 独禁法、下請法、景表法、贈収賄 | カルテル、優越的地位濫用、不当表示 |
| 業法・許認可 | 金融、医薬、建設、不動産、食品、運送 | 無許可営業、広告規制違反、行政処分 |
| M&A・組織再編 | DD、表明保証、PMI、少数株主対応 | 隠れ債務、統合不備、利益相反 |
| 紛争・危機対応 | 訴訟、保全、執行、刑事、不祥事調査 | 証拠保全失敗、調査独立性不足 |
| 税務・会計接点 | 組織再編税制、移転価格、不正会計 | 税務調査、粉飾、会計見積り不備 |
| サステナビリティ・人権 | 人権DD、環境、サプライチェーン | 強制労働、環境汚染、虚偽開示 |
評価基準は、リスクマップ作成の進め方で最も重要な工程です。影響度と発生可能性を1から5で採点する場合でも、基準が曖昧だと評価者の心理や部門の利害に左右されます。
次の表は、企業法務向けの影響度基準を表しています。金額だけでなく、法的責任、行政処分、刑事事件、事業停止、人的被害、信用、開示、役員責任を含めて見ることが重要です。読者は、自社規模に合わせて金額基準を調整する前提で読んでください。
| 点数 | 影響度 | 法務・コンプライアンス上の目安 |
|---|---|---|
| 1 | 軽微 | 部門内で是正可能です。顧客、当局、経営層への重大報告は通常要しません。 |
| 2 | 限定的 | 一部取引先への説明、軽微な損害、限定的な社内調査が想定されます。 |
| 3 | 重要 | 複数部門、主要顧客、外部専門家、経営層報告が関係し、行政相談、訴訟、内部統制不備へ発展する可能性があります。 |
| 4 | 重大 | 行政報告・行政処分、重要取引停止、大規模賠償、開示判断、役員責任、不祥事調査の可能性があります。 |
| 5 | 致命的 | 事業停止、上場維持への影響、刑事事件、重大な人的被害、企業存続・社会的信用への深刻な影響があります。 |
次の表は、発生可能性の基準を表しています。過去に発生していないことだけで低く見積もると、未経験リスクを見落とすため重要です。読者は、頻度、曝露量、兆候、統制不備、業界動向を合わせて確認してください。
| 点数 | 発生可能性 | 目安 |
|---|---|---|
| 1 | まれ | 5年以上発生しておらず、曝露も限定的です。発生には複数の例外条件が必要です。 |
| 2 | 低い | 数年に一度程度です。類似事例はありますが、現行統制により通常は抑制されます。 |
| 3 | 中程度 | 年1回程度または複数部門で兆候があります。監査指摘、ヒヤリハット、苦情が存在します。 |
| 4 | 高い | 四半期または月次で兆候があります。統制の運用不備が確認され、発生が現実的です。 |
| 5 | ほぼ確実・進行中 | 既に発生している、または継続的に発生しています。未対応なら短期に重大化します。 |
次の表は、統制有効性の評価基準を表しています。固有リスクが高くても統制が強ければ残余リスクは下がり、固有リスクが中程度でも統制が未整備なら残余リスクが重大になるため重要です。読者は、規程の有無だけでなく運用証跡まで見てください。
| 点数 | 統制有効性 | 目安 |
|---|---|---|
| 1 | 強い | 規程、責任者、承認、システム制御、教育、監査、証跡が整い、運用実績も確認できます。 |
| 2 | おおむね有効 | 基本統制はありますが、一部部門、子会社、委託先でばらつきがあります。 |
| 3 | 不十分 | 規程はありますが運用証跡が弱く、教育、監査、例外処理が不十分です。 |
| 4 | 弱い | 属人的運用に依存し、責任者、承認、記録、監視が不明確です。 |
| 5 | ほぼ未整備 | ルール、責任者、証跡、モニタリングがなく、問題発生時の対応も未定です。 |
次の補助軸は、影響度と発生可能性だけでは表しにくい企業法務リスクの性質を表しています。サイバー攻撃、情報漏えい、内部不正、適時開示のように短時間で重大化するリスクを見落とさないため重要です。読者は、点数に加えてどの補助軸で優先度が上がるかを読み取ってください。
| 補助軸 | 意味 | 高リスク例 |
|---|---|---|
| 速度 | 顕在化から重大化までの速さ | 漏えい、炎上、サイバー攻撃、製品事故 |
| 検知可能性 | 発生を早期に発見できるか | 内部不正、ハラスメント、海外子会社不正 |
| 相互依存性 | 他リスクへ連鎖するか | サイバーから個人情報、開示、訴訟へ連鎖する場合 |
| 可逆性 | 発生後に回復できるか | 営業秘密流出、ブランド毀損、死亡事故 |
| 法定期限 | 報告・通知・開示・届出期限があるか | 個人情報漏えい、労災、適時開示、許認可 |
文書レビュー、ヒアリング、ワークショップ、外部情報を使い、評価可能なリスク文へ整えます。
リスクマップは机上の想像では作れません。現実の資料、取引、組織、事故、通報、監査、契約、システムから情報を集め、リスク候補の根拠を確認します。
次の資料一覧は、リスクマップ作成時に確認する文書を領域別に表しています。資料の偏りを防ぎ、事業現場と管理部門の実態をつなぐため重要です。読者は、自社で未確認の資料カテゴリを読み取ってください。
| 領域 | 主な資料 |
|---|---|
| ガバナンス | 取締役会議事録、経営会議議事録、職務権限規程、稟議規程、子会社管理規程 |
| 契約 | 契約書雛形、重要契約、NDA、利用規約、委託契約、ライセンス契約、責任制限条項 |
| コンプライアンス | 行動規範、コンプライアンス規程、研修資料、通報制度規程、懲戒規程 |
| 個人情報 | プライバシーポリシー、個人情報管理台帳、委託先一覧、漏えい対応手順、越境移転資料 |
| 労務 | 就業規則、労使協定、勤怠データ、ハラスメント対応記録、メンタルヘルス対応記録 |
| 知財 | 特許・商標台帳、職務発明規程、共同研究契約、OSS利用規程、営業秘密管理規程 |
| IT・サイバー | アクセス権限、ログ、脆弱性診断、インシデント記録、BCP、バックアップ方針 |
| 会計・開示 | 内部統制評価資料、監査指摘、会計方針、開示チェックリスト、決算スケジュール |
| M&A | DDレポート、表明保証、PMI計画、統合後監査結果 |
ヒアリングでは、「何が心配ですか」と聞くだけでは不十分です。現場が重大リスクをリスクと認識していない場合があるため、事業目的、過去事故、例外処理、属人的判断、未記録承認、ルールと実態のずれを構造化して聞きます。
次の時系列は、標準的なワークショップの進行を表しています。参加者の印象や声の大きさに左右されず、同じ評価基準でリスク候補を出すため重要です。読者は、時間の順番に沿って、事業プロセス確認から仮評価まで進めることを読み取ってください。
守秘義務、評価基準、利用場面を確認し、参加者の前提をそろえます。
売上、顧客データ、知財、委託先、システムなど、守るべき対象を具体化します。
事故、苦情、監査指摘、通報、外部環境の変化を材料に候補を出します。
抽象語ではなく、何が原因で何が起き、どの結果が生じるかを確認します。
事実情報と評価基準を照合し、未確認事項を明らかにします。
評価を確定するために必要な資料、専門家レビュー、担当者を決めます。
外部情報も重要です。法改正、行政ガイドライン、業界団体資料、裁判例、行政処分事例、同業他社不祥事、サイバー脅威動向、国際規制、取引先要請を確認します。特にサイバー領域は外部環境の変化が速いため、外部情報を取り込まないとリスクマップが古くなります。
次の判断の流れは、情報収集からリスクシナリオ化までの順番を表しています。単語だけのリスク名では評価も対応もできないため重要です。読者は、原因、事象、結果を一文で説明できる状態へ進むことを読み取ってください。
契約、規程、事故、通報、監査、システム、外部情報を確認します。
契約、労務、個人情報、サイバー、知財、開示などへ整理します。
抽象語だけなら、追加ヒアリングや資料確認へ戻ります。
例外承認不備により不利な契約を締結し、大規模賠償や事業停止が発生する、といった形にします。
シナリオは「原因があるため、事象が発生し、法的・財務的・事業的・信用上の結果が生じるリスク」という形で書きます。例えば、委託先のアクセス権限管理とログ監視が不十分なため、顧客個人データが不正取得され、当局報告、本人通知、取引先説明、損害賠償、信用低下が発生するリスク、という表現です。
固有リスクと残余リスクを分け、5×5整理を使いながら対応方針へ接続します。
固有リスク評価では、現行統制を考慮する前に、その業務や取引が本質的に持つリスクを評価します。大量の個人データ、人命・身体に影響する製品、業法規制が強い事業、委託先や海外子会社に依存する事業、重要知財や営業秘密を扱う事業などは、固有リスクが高くなりやすいです。
次の一覧は、固有リスクが高い傾向にある活動を表しています。現行統制がうまく機能しているかと、活動そのものの危険性を混同しないため重要です。読者は、自社の高曝露領域を読み取ってください。
大量データ、要配慮個人情報、金融情報、医療情報、未成年者情報を扱う事業です。
医薬、医療、食品、建設、運送、化学物質など、事故時の影響が大きい事業です。
独禁法、下請法、景表法、金融規制、薬機法、建設業法などの規制が強い事業です。
代理店、販売店、委託先、フランチャイズ、海外子会社に依存する事業です。
重要な知財、営業秘密、AI学習データ、ソースコードを扱う業務です。
M&A、IPO、資金調達、適時開示、インサイダー情報を扱う業務です。
統制評価では、規程が存在するだけでは不十分です。設計と運用の両面を確認し、証跡、教育、監査、ログ、アクセス権限棚卸し、委託先監査、インシデント時の実績まで見ます。
次の比較表は、統制設計と統制運用で確認する項目を表しています。設計だけの統制は実務で機能しないことがあるため重要です。読者は、規程、承認、記録、監視、実績のどこに弱点があるかを読み取ってください。
| 観点 | 確認項目 |
|---|---|
| 統制設計 | 規程、マニュアル、責任者、承認権限、職務分掌、例外承認、システム制御、契約条項、委託先管理、保険、専門家レビュー、インシデント時の報告先と初動 |
| 統制運用 | 承認記録、研修受講率、テスト結果、誓約書、例外処理の記録、内部監査指摘、自己点検、ログ、アクセス権限棚卸し、委託先監査記録、手順通り動いた実績 |
残余リスクは、固有リスク点数から統制点数を単純に引くだけで決めません。点数は意思決定の補助であり、統制の設計・運用、証跡、検知可能性、被害拡大防止、法定期限、横展開、リスク許容度を総合して判断します。
次の5×5整理は、影響度と発生可能性の組み合わせから優先度の目安を示しています。色や閾値は会社のリスク許容度で調整しますが、右上に近いほど優先対応が必要になる点を読むことが重要です。読者は、低頻度でも致命的な影響がある領域を後回しにしないよう確認してください。
| 影響度\発生可能性 | 1 まれ | 2 低い | 3 中程度 | 4 高い | 5 進行中 |
|---|---|---|---|---|---|
| 5 致命的 | 要監視 | 重要 | 重大 | 最優先 | 最優先 |
| 4 重大 | 要監視 | 重要 | 重大 | 最優先 | 最優先 |
| 3 重要 | 低 | 要監視 | 重要 | 重大 | 重大 |
| 2 限定的 | 低 | 低 | 要監視 | 重要 | 重要 |
| 1 軽微 | 低 | 低 | 低 | 要監視 | 要監視 |
次の重要リスク一覧は、リスクマップに載せる情報の粒度を表しています。図の中に短い名称だけを置くと後から意味が分からなくなるため重要です。読者は、ID、評価、残余評価、オーナー、期限が別紙のリスク登録簿へ紐づくことを読み取ってください。
| ID | リスク名 | 影響度 | 発生可能性 | 統制有効性 | 残余評価 | オーナー | 期限 |
|---|---|---|---|---|---|---|---|
| L-01 | 重要契約の例外承認不備 | 4 | 3 | 3 | 重大 | 法務・営業 | 2026/Q3 |
| P-01 | 委託先経由の個人情報漏えい | 5 | 3 | 3 | 重大 | DPO・IT | 2026/Q2 |
| C-01 | 下請法・優越的地位濫用 | 4 | 3 | 4 | 重大 | 調達・法務 | 2026/Q2 |
| H-01 | ハラスメント対応遅延 | 4 | 4 | 3 | 最優先 | 人事・法務 | 2026/Q1 |
| IP-01 | OSSライセンス管理不備 | 3 | 4 | 4 | 重大 | 開発・知財 | 2026/Q3 |
| S-01 | ランサム攻撃による業務停止 | 5 | 3 | 3 | 重大 | CISO | 2026/Q2 |
対応方針は、回避、低減、移転、受容に分かれます。赤いリスクをすべてゼロにするのではなく、リスクを知らずに放置しないこと、受容を誰が承認したかを明確にすることが重要です。
次の表は、対応方針と企業法務での例を表しています。優先度を付けた後に具体策、責任者、期限、証跡、残余リスクまで落とし込むため重要です。読者は、自社の重大リスクがどの対応方針に当たるかを確認してください。
| 対応 | 意味 | 企業法務での例 |
|---|---|---|
| 回避 | リスクを生む活動をやめます。 | 違法可能性の高い広告表現を中止する、規制未確認国での提供を延期する |
| 低減 | 発生可能性または影響度を下げます。 | 承認手続、研修、契約条項、監査、システム制御を強化する |
| 移転 | 保険・契約・外部委託で負担を移します。 | サイバー保険、補償条項、責任分担、専門業者委託を使う |
| 受容 | 経営判断として受け入れます。 | コストと影響を比較し、一定の残余リスクを承認する |
次の判断の流れは、評価から対応計画までを表しています。点数を付けただけでは実務が動かないため重要です。読者は、評価結果を責任者、期限、証跡、経営承認へつなげる順番を読み取ってください。
活動そのものの危険性を確認します。
規程、承認、証跡、監視、実績を見ます。
超える場合は、対応方針を決めます。
経営会議や取締役会への報告対象も整理します。
契約、個人情報、労務、知財、サイバー、競争法、M&A、子会社管理を領域別に確認します。
企業法務のリスクマップでは、リスク領域ごとに評価ポイントが異なります。契約書の文言だけでなく、運用、証跡、現場の例外処理、委託先、海外拠点、開示、サイバー、労務実態まで横断して見ます。
次の一覧は、企業法務リスク別の評価ポイント、高リスクの兆候、対応策を表しています。領域ごとの見落としを防ぐため重要です。読者は、自社の高リスク領域で、兆候と対応策がそろっているかを読み取ってください。
契約締結前の審査、交渉記録、例外承認、契約管理、更新・解約、債権回収、履行管理を評価します。口頭発注、事後契約、責任制限なし、広範な補償義務、反社条項不備、契約台帳未整備は高リスクの兆候です。標準雛形、プレイブック、条項別基準、契約管理システム、更新期限アラートを整備します。
取得、利用目的、第三者提供、委託、共同利用、越境移転、安全管理、漏えい対応、本人対応を評価します。管理台帳や委託先一覧が不完全、アクセス権限棚卸しやログ監視が弱い場合は注意します。データマッピング、委託先契約、アクセス管理、暗号化、漏えい対応手順、訓練を整備します。
労働時間、賃金、ハラスメント、解雇・雇止め、メンタルヘルス、労災、内部通報、懲戒を評価します。勤怠実態との不一致、管理監督者の誤分類、相談放置、退職者増加、就業規則未更新は高リスクです。勤怠モニタリング、管理職研修、調査手順、社労士・専門家レビュー、労務監査を整備します。
特許、商標、著作権、営業秘密、職務発明、共同研究、ライセンス、OSS、AI生成物を評価します。商標調査前のブランド使用、開発委託契約の権利帰属不備、退職者による情報持出し、OSS台帳未整備は高リスクです。権利化手続、商標調査、NDA、共同研究契約、営業秘密区分管理、OSSスキャンを整備します。
経営リスクとして、統治、識別、防御、検知、対応、復旧の観点で評価します。MFA未導入、脆弱性管理不備、復旧未検証、委託先未確認、管理者権限過多、退職者アカウント残存は高リスクです。法務は証拠保全、通知・報告、契約責任、委託先責任、広報、取引先説明を担います。
営業、調達、マーケティングの実態を確認します。競合との情報交換、価格調整発言、一方的条件変更、発注書不備、検収遅延、広告根拠不足、レビュー投稿依頼の管理不備は高リスクです。営業・調達・マーケティング研修、競合接触ルール、広告審査、下請取引チェック、根拠資料保存を整備します。
買収前DD、契約、クロージング、PMI、統合後内部統制を一体で見ます。短期DD、資料未提出、未払残業代、許認可名義不備、チェンジオブコントロール条項、知財帰属不明、個人情報同意不備は高リスクです。DDスコープ、表明保証、補償、前提条件、PMIリスクマップ、統合後監査を整備します。
親会社方針が現地で運用されているかを確認します。報告遅延、取締役会未開催、現地契約未レビュー、代理店管理不備、贈収賄リスク、内部通報窓口の未周知、現地法改正未把握は高リスクです。グループ規程、権限基準、重要契約報告、子会社法務監査、現地専門家ネットワーク、多言語研修を整備します。
登録簿を先に作り、企業規模に応じて簡易版または高度版へ調整します。
実務で使うリスク登録簿は、リスクマップの根拠資料です。先に登録簿を作り、そこから経営層向けの要約を作る方が、評価の再現性を保ちやすくなります。
次のテンプレートは、リスク登録簿に含める項目を表しています。図だけを先に作ると理由が後付けになりやすいため重要です。読者は、シナリオ、評価、統制、責任者、期限、証跡を一体で管理することを読み取ってください。
| 項目 | 記載例 |
|---|---|
| リスクID | P-01 |
| 大分類 | 個人情報・データ |
| リスク名 | 委託先経由の個人情報漏えい |
| シナリオ | 委託先のアクセス管理不備により顧客データが漏えいし、当局報告、本人通知、取引先説明、損害賠償が発生します。 |
| 原因 | 委託先監査未実施、契約条項不足、ログ監視不足 |
| 影響 | 行政対応、信用低下、損害賠償、業務停止 |
| 固有影響度 | 5 |
| 固有発生可能性 | 3 |
| 現行統制 | 委託契約、アクセス権限、年次点検 |
| 統制評価 | 3 不十分 |
| 残余影響度 | 5 |
| 残余発生可能性 | 2 |
| 残余評価 | 重大 |
| 対応方針 | 低減・一部移転 |
| 対応策 | 委託先監査、契約改定、ログ監視、訓練、サイバー保険確認 |
| リスクオーナー | DPO相当責任者、CISO |
| 期限 | 2026年9月末 |
| 証跡 | 監査報告書、契約改定履歴、訓練記録 |
| 次回レビュー | 2026年12月 |
中小企業では、専任の法務部、内部監査部、CISO、DPOがないことも多くあります。その場合でも、主要十領域を三段階評価する簡易版から始めると、経営者が重大リスクと外部専門家の投入先を判断しやすくなります。
次の一覧は、中小企業が最初に対象にしやすい十領域を表しています。完璧な網羅よりも、経営に直結する重大リスクを自覚することが重要です。読者は、自社の事業規模に照らして優先確認領域を読み取ってください。
| 番号 | 領域 |
|---|---|
| 1 | 重要契約・取引条件 |
| 2 | 債権回収・与信 |
| 3 | 労働時間・ハラスメント |
| 4 | 個人情報・顧客データ |
| 5 | サイバーセキュリティ |
| 6 | 許認可・業法 |
| 7 | 広告表示・景表法 |
| 8 | 知財・商標・営業秘密 |
| 9 | 税務・会計・資金繰り |
| 10 | 代表者依存・事業承継 |
次の三段階基準は、中小企業向けの簡易評価を表しています。大企業と同じ詳細版でなくても、評価基準と対応責任者が明確なら実務に使えるため重要です。読者は、まず高・中・低の判断を文書化することを確認してください。
| 評価軸 | 高 | 中 | 低 |
|---|---|---|---|
| 影響度 | 事業停止、主要顧客喪失、行政処分、重大賠償、資金繰り悪化の可能性があります。 | 経営者判断、外部専門家対応、複数部門対応が必要です。 | 通常業務内で是正可能です。 |
| 発生可能性 | 既に兆候がある、または年内に起こり得ます。 | 類似事例がある、または統制が弱いです。 | 曝露が限定的で、統制もあります。 |
大企業・上場企業では、リスクマップを内部統制、開示、監査、取締役会監督と連携させます。法務、内部監査、J-SOX、情報セキュリティ、サステナビリティ、品質、労務で別々の分類を使うと経営層が比較しにくくなります。
次の高度化項目は、大企業・上場企業でリスクマップを経営管理へ接続する方法を表しています。監督と実務の両方で使える資料にするため重要です。読者は、分類統一、三線モデル、取締役会報告、監査計画、データ化の接続点を読み取ってください。
| 高度化項目 | 内容 |
|---|---|
| リスク分類の統一 | 全社共通のリスク分類を作り、部門別の詳細分類をぶら下げます。 |
| 三線モデルとの連携 | 第一線のリスクオーナー、第二線の監督担当、第三線の監査予定を明確にします。 |
| 取締役会報告 | 重大リスクの変動、許容度超過、対応遅延、重要インシデント、外部環境変化、次回までのアクションを報告します。 |
| 監査計画への反映 | 統制評価が弱く、証跡が不足し、過去監査がない領域を優先します。 |
| データ化 | 契約管理、インシデント管理、内部通報、監査指摘、教育受講、委託先管理、アクセス権限棚卸しのデータと接続します。 |
評価の形骸化、点数の過信、機微情報の扱いを避け、予防と改善の資料として運用します。
リスクマップ作成で避けるべき失敗は、評価基準の曖昧さ、抽象的なリスク名、統制を見ない評価、低頻度・高影響リスクの軽視、点数の過信、リスクオーナー不明、経営への未接続、更新不足です。
次の一覧は、典型的な失敗と対策を表しています。見た目の整った資料でも、責任者や更新手続がなければ改善につながらないため重要です。読者は、自社のリスクマップがどの失敗に近いかを読み取ってください。
影響度5や発生可能性4の意味を定義しないと、評価者の印象表になります。必ず基準表を作ります。
労務、個人情報、契約だけでは対応できません。原因、事象、結果を含むシナリオで書きます。
固有リスクだけで作ると、現行統制の効果や弱点が見えません。固有リスク、統制評価、残余リスクを分けます。
製品事故、重大情報漏えい、刑事事件、上場廃止、重大労災、海外制裁違反は、頻度が低くても備えます。
5×5の点数は順序の目安です。同じ点数でも、法定期限、不可逆性、社会的影響を文章で補足します。
赤いリスクが特定されても、責任者が決まらなければ改善しません。リスクごとにオーナーを置きます。
重大リスク、受容リスク、対応遅延リスクは、経営会議や取締役会へ報告します。
法改正、事業変更、M&A、システム変更、委託先変更、事故、通報、訴訟、行政調査があれば更新します。
法的観点では、リスクマップに調査中の不正疑義や個人名を不用意に記載しないことが重要です。守秘、閲覧範囲、資料保全、社内共有範囲を慎重に設計し、個人情報、要配慮情報、内部通報者保護、証拠保全、名誉・労務・ハラスメント配慮に注意します。
次の比較表は、法的観点から注意すべき事項を表しています。リスク管理資料であっても、記載内容や共有範囲によって労務、名誉、個人情報、訴訟戦略上の問題が生じることがあるため重要です。読者は、情報の抽象化とアクセス制限の必要性を読み取ってください。
| 注意点 | 実務上の対応 |
|---|---|
| 調査資料の管理 | 外部専門家による不祥事調査、訴訟準備、法的意見の管理では、守秘、閲覧範囲、資料保全、共有範囲を設計します。 |
| 個人情報と要配慮情報 | 従業員、通報者、被害者、顧客、取引先担当者の情報は必要最小限にし、匿名化・仮名化、アクセス制限、保存期間、利用目的を整理します。 |
| 内部通報者保護 | 通報者探索や不利益取扱いにつながらないよう、個別通報者が特定されない抽象化を行います。 |
| 証拠保全 | 訴訟、不祥事、サイバー、情報漏えい、営業秘密、労務紛争が関係する場合は、メール、チャット、ログ、契約書、稟議、会議録、監査記録、端末の保全を検討します。 |
| 名誉・労務・ハラスメント配慮 | 個人名や部署名の記載は、必要性、正確性、共有範囲を確認し、機微情報は慎重に扱います。 |
作成後は研修、監査、規程、投資、取締役会報告、AI活用、更新手続へつなげます。
リスクマップは、経営資源配分のための資料です。法務部門の優先順位、研修計画、規程改定、監査計画、システム投資、外部専門家費用へつなげることで、単なる一覧ではなく経営管理の道具になります。
次の表は、リスクマップを経営に活かす場面を表しています。作成後の使い道を決めておくことで、評価が資料作成で終わらないため重要です。読者は、どの意思決定に使うかを読み取ってください。
| 活用場面 | 使い方 |
|---|---|
| 法務部門の優先順位 | 高リスク契約、低リスク契約、標準処理可能契約を分類し、レビュー基準を変えます。 |
| 研修計画 | 営業には競争法・景表法、開発には知財・OSS・営業秘密、人事にはハラスメント・労働時間、マーケティングには個人情報・広告表示を重点化します。 |
| 規程改定 | 実態とずれている規程、存在しない規程、承認権限が不明な規程を優先的に改定します。 |
| 監査計画 | 前回監査から時間が経過し、統制不備があり、残余リスクが高い領域を優先します。 |
| システム投資 | 契約管理、個人情報台帳、アクセス権限管理、内部通報、研修管理、委託先管理、インシデント管理の投資根拠にします。 |
| 外部専門家費用 | リスクの大きさと社内能力の不足を示し、依頼の合理性を説明します。 |
更新は、定期更新と臨時更新を組み合わせます。全社リスクマップは少なくとも年1回更新し、上場企業や規制業種では半期または四半期レビューを検討します。サイバー、個人情報、法改正、不祥事関連は、随時更新が重要です。
次の一覧は、定期更新で見る項目を表しています。前回からの変動を説明できるようにするため重要です。読者は、新規、上昇、低下、遅延、受容のどこに変化があるかを読み取ってください。
| 確認項目 | 内容 |
|---|---|
| 新規リスク | 新規事業、法改正、M&A、海外展開、システム変更 |
| 上昇リスク | 事故、通報、苦情、監査指摘、外部環境変化 |
| 低下リスク | 統制強化、契約改定、教育完了、監査完了 |
| 対応遅延 | 期限超過、責任者未設定、予算未承認 |
| 受容リスク | 経営承認済みの残余リスク |
次の判断の流れは、臨時更新の契機を表しています。年1回の棚卸しだけでは変化の速い領域に対応できないため重要です。読者は、どの出来事が起きたら待たずに更新するかを確認してください。
インシデント、行政調査、訴訟、内部通報、不祥事疑義、法改正、同業他社不祥事を確認します。
影響度、発生可能性、統制有効性、法定期限、対外説明に変化があるかを見ます。
作成日、更新日、作成者、承認者、変更履歴、配布範囲、重大リスクの評価変更理由を残します。
専門家の役割分担も、リスクマップ作成の進め方では重要です。企業内法務、外部専門家、司法書士、弁理士、社労士、税理士、公認会計士、内部監査、コンプライアンス、個人情報保護担当、CISO・IT、危機管理・広報、経営層・取締役会が、それぞれ異なる観点を補完します。
次の役割分担表は、複数専門家・部門の主な役割を表しています。一つの専門領域だけでは全社リスクを評価しきれないため重要です。読者は、どの領域で専門家レビューを入れるかを読み取ってください。
| 専門家・部門 | 主な役割 |
|---|---|
| 企業内弁護士・法務担当 | 契約、規程、紛争、法令遵守、取締役会報告の統合 |
| 外部専門家 | 高リスク領域の法的評価、訴訟・行政・不祥事対応、海外法確認 |
| 司法書士 | 商業登記、会社機関変更、組織再編登記、議事録実務 |
| 弁理士・知財担当 | 特許、商標、意匠、著作権、営業秘密、ライセンス評価 |
| 社会保険労務士・人事労務 | 労働時間、就業規則、ハラスメント、労使協定、労務監査 |
| 税理士 | 税務調査、組織再編税制、国際税務、取引スキームの税務影響 |
| 公認会計士・内部統制担当 | J-SOX、財務報告、内部統制、監査証跡、会計不正リスク |
| 内部監査 | 独立的評価、統制運用確認、監査計画への反映 |
| コンプライアンス担当 | 研修、内部通報、規程、行動規範、懲戒・調査連携 |
| 個人情報保護担当 | データマッピング、委託先管理、漏えい対応、本人対応 |
| CISO・IT | サイバーリスク、アクセス権限、ログ、脆弱性、BCP |
| 危機管理・広報 | 不祥事公表、メディア対応、被害者対応、ステークホルダー説明 |
| 経営層・取締役会 | リスク許容度、予算、対応方針、残余リスク受容の承認 |
AI・データ活用は、契約条項のリスク抽出、通報傾向分析、監査指摘分類、法令改正影響分析の補助として有効です。ただし、入力データの偏り、説明可能性不足、機密情報管理、個人情報・著作権・営業秘密の問題があるため、最終評価は専門家と経営者が行います。
次の一覧は、AI・データ活用時の注意点を表しています。効率化と機密管理を両立するため重要です。読者は、AIの出力を経営判断に直結させず、人による確認を残すことを読み取ってください。
| 注意点 | 内容 |
|---|---|
| 機密情報管理 | 機密情報や個人情報を外部AIサービスへ入力しないか、契約・設定を確認します。 |
| 根拠記録 | AIの評価根拠を記録します。 |
| 人のレビュー | 誤検知・見落としを前提に、人間が確認します。 |
| 公式情報確認 | 法令改正、裁判例、行政ガイドラインは公式情報に当たります。 |
| 機械的利用の制限 | AIスコアを機械的な人事評価、懲戒、取引停止に使いません。 |
リスクマップには限界もあります。複雑なリスクを二軸へ圧縮し、点数には主観が入り、リスク間の連鎖を表しにくく、低頻度・高影響リスクが過小評価されやすく、過去データが未来を保証しません。リスクマップは最終結論ではなく、対話と意思決定の入口として使います。
上場準備中のクラウド企業を例に、評価、対応計画、確認事項を具体化します。
実務例として、国内上場準備中の法人向けクラウドサービス企業を想定します。顧客データを取り扱い、外部クラウド、開発委託、販売代理店を利用し、従業員が急増し、海外展開とM&Aを検討している会社です。
次の評価表は、この想定企業で抽出されたリスク候補と評価を表しています。実際のリスクマップでは、事業の特徴、成長段階、外部委託、データ、IPO準備を同時に見ることが重要です。読者は、最優先と重大に分類されたリスクがどの領域へ集中しているかを読み取ってください。
| ID | リスク | 影響度 | 発生可能性 | 統制評価 | 残余評価 |
|---|---|---|---|---|---|
| P-01 | 顧客データ漏えい | 5 | 3 | 3 | 重大 |
| S-01 | ランサム攻撃 | 5 | 3 | 4 | 最優先 |
| IP-01 | 知財帰属不備 | 4 | 3 | 3 | 重大 |
| IP-02 | OSS違反 | 3 | 4 | 4 | 重大 |
| AD-01 | 代理店不当表示 | 4 | 4 | 3 | 最優先 |
| HR-01 | 長時間労働・ハラスメント | 4 | 4 | 3 | 最優先 |
| CT-01 | 重要契約責任制限不備 | 4 | 3 | 2 | 重要 |
| IC-01 | IPO内部統制不備 | 5 | 3 | 3 | 重大 |
| MA-01 | 買収先未払残業代 | 4 | 2 | 4 | 重大 |
| GL-01 | 海外個人情報法違反 | 5 | 2 | 4 | 重大 |
次の対応計画は、残余評価が高いリスクに対する具体策、責任者、期限を表しています。リスクマップを経営資源配分へつなげるため重要です。読者は、技術対応、契約改定、研修、訓練、内部統制整備が組み合わされている点を確認してください。
| ID | 対応策 | 責任者 | 期限 |
|---|---|---|---|
| S-01 | MFA全面導入、バックアップ復旧訓練、インシデント対応演習、委託先セキュリティ条項改定 | CISO・法務 | 3か月 |
| AD-01 | 代理店契約改定、広告審査手続、表示根拠保存、代理店研修 | 営業・法務 | 2か月 |
| HR-01 | 勤怠モニタリング、管理職研修、ハラスメント調査手順、社労士レビュー | 人事・法務 | 2か月 |
| P-01 | データマッピング、漏えい対応訓練、委託先監査、本人通知テンプレート | DPO・IT | 4か月 |
| IC-01 | J-SOX準備、職務分掌、証跡管理、会計監査人との事前協議 | CFO・内部統制 | 6か月 |
実務チェックリストは、作成前の企画、評価基準、情報収集、リスク記述、対応計画の抜け漏れを確認するために使います。リスクマップ作成の進め方をチームで再現するため、チェック項目を会議体や承認資料に組み込みます。
次のチェックリストは、実務で確認すべき事項を段階別に表しています。担当者の経験に依存せず、同じ品質で作成するため重要です。読者は、目的、基準、情報、記述、対応の五つがそろっているかを読み取ってください。
| 段階 | 確認事項 |
|---|---|
| 企画段階 | 目的、利用者、報告先、対象範囲、作成責任者、承認者、専門家レビュー領域を確認します。 |
| 評価基準 | 影響度1から5、発生可能性1から5、統制評価基準、低頻度・高影響リスクの補足評価、リスク許容度を確認します。 |
| 情報収集 | 重要契約、規程、議事録、監査指摘、通報、事故記録、部門ヒアリング、法改正、行政ガイドライン、同業事例を確認します。 |
| リスク記述 | 原因・事象・結果で記載し、抽象語だけの名称を避け、既存統制と残余リスクを分け、リスクオーナーを決めます。 |
| 対応計画 | 回避、低減、移転、受容の方針、具体策、責任者、期限、証跡、予算、人員、外部専門家、報告対象、次回レビュー日を確認します。 |
結論として、リスクマップ作成の進め方は単なる図表作成ではありません。企業法務、内部統制、コンプライアンス、監査、経営判断を接続する方法論です。目的と利用場面を決め、関係部門と専門家を巻き込み、分類と評価基準を文書化し、原因・事象・結果のシナリオで書き、固有リスクと残余リスクを分け、対応方針、責任者、期限、証跡を決め、経営会議や取締役会へ接続し、外部環境の変化に応じて更新します。
一般的な制度・実務の考え方として、作成体制、更新頻度、内部監査、取締役会との関係を整理します。
一般的には、目的と利用場面を確定します。取締役会報告、法務部門の優先順位付け、内部監査計画、サイバー対応など、利用場面によって対象範囲と粒度が変わります。具体的な設計は、会社の事業内容、組織体制、規制環境、既存統制に応じて専門家へ確認してください。
一般的には、法務、コンプライアンス、リスク管理、内部統制、内部監査が事務局となり、事業部門、IT、人事、経理、知財、外部専門家が協力する形が想定されます。ただし、会社規模や業種によって体制は変わります。具体的な責任分担は、権限規程や会議体と合わせて確認してください。
一般的には、初期段階では5×5整理で足りる場合があります。ただし、重大リスクでは、速度、検知可能性、不可逆性、相互依存性、法定期限を補足することが重要です。点数だけで結論を固定せず、事実情報と専門的判断を併せて確認してください。
一般的には、全社版は年1回以上、重要領域は四半期、サイバー、個人情報、法改正、不祥事関連は随時更新が望ましいと考えられます。重大インシデント、M&A、新規事業、行政調査、法改正があれば臨時更新を検討します。具体的な頻度は、リスク許容度と報告体制に応じて決めてください。
一般的には、中小企業でも有効です。ただし、大企業と同じ詳細版にするのではなく、重要契約、債権回収、労務、個人情報、サイバー、許認可、広告表示、知財、税務・会計、代表者依存などの主要領域から始める方法があります。具体的な優先順位は、事業規模や主要取引に応じて確認してください。
一般的には、残余リスクが高く、統制が弱く、過去監査がない領域を内部監査の優先候補にします。監査結果は次回のリスクマップに反映します。ただし、監査範囲や監査頻度は、監査計画、法定対応、経営上の優先度によって変わります。
一般的には、重大リスク、リスク許容度超過、対応遅延、残余リスク受容、外部環境変化を監督する資料として使います。個別案件の結論は事実関係や法令、証拠によって変わります。取締役会報告の設計は、会社法、上場規則、内部統制体制と合わせて専門家へ確認してください。
一般的には、評価基準へ戻り、事実、過去事例、外部情報、専門家意見を確認します。不確実性が残る場合は、意見の差と前提条件を記録し、経営判断として暫定評価を決める方法があります。具体的な判断は、会社のリスク許容度や証拠関係に応じて変わります。
一般的には、予防と改善のための資料として運用します。ただし、個人名、通報情報、調査中情報、機微情報の記載には注意が必要です。共有範囲、アクセス制限、保存期間、守秘管理を設計し、具体的な取り扱いは専門家へ確認してください。
一般的には、図としてのリスクマップだけでなく、リスク登録簿と対応計画が重要です。リスクID、シナリオ、評価、統制、責任者、期限、証跡がなければ、実務は動きにくくなります。会社の規模や会議体に合わせて、経営向け要約と実務向け台帳を分けて作成してください。
公的資料、国際標準、内部統制・リスク管理の基礎資料を整理します。
参考資料は、リスクマップ作成の進め方を検討する際に基礎となる公的資料、国際標準、実務資料を資料名で整理したものです。