GRC（ガバナンス・リスク・コンプライアンス）に関するサーベイ結果【2025年度】について

三菱UFJリサーチ&コンサルティング株式会社（本社：東京都港区、代表取締役社長：池田 雅一）は、2025年8月に「GRC（ガバナンス・リスク・コンプライアンス）に関するサーベイ」を実施しました。このほど調査結果を取りまとめましたのでお知らせいたします。

1. 調査趣旨と結果概要

(１) 調査趣旨

本サーベイは、さまざまなステークホルダーにおいてGRC領域全般に対する関心が高まっていることを踏まえ、ガバナンス態勢やリスク・コンプライアンス管理態勢の整備状況について、企業の取り組み実態を把握することを目的として、2021年度より継続的に実施しています（※）。

目まぐるしく変化する不確実な事業環境において、企業価値向上を実現すべく自社の経営戦略を着実に遂行していくためには、GRCの各領域における適切な態勢の構築・運用と、それによるリスクへの適切な対応が必須です。昨今のこうした状況を念頭に、本サーベイでは、日本企業が現在重要視しているリスクを把握するとともに、GRC領域における各企業の取り組み状況を調査しています。

本サーベイの結果が、日本企業のGRC領域に係る取り組みの推進および見直し検討の一助となれば幸いです。

本サーベイのエグゼクティブサマリーについては、「GRC（ガバナンス・リスク・コンプライアンス）に関するサーベイ」よりダウンロードいただけます。なお、サーベイにご協力いただいた企業には、全体レポートを無料配布いたします。

（※）過去の調査結果

・2024 年度 「GRC（ガバナンス・リスク・コンプライアンス）に関するサーベイ結果【2024年度】について～不確実性の高い環境下で求められるガバナンス態勢～」

https://www.murc.jp/news/information/news_250310/

・2023 年度 「GRC（ガバナンス・リスク・コンプライアンス）に関する サーベイ結果【2023年度】について～「攻めのガバナンスとGRC領域におけるDX」が重要に～」

https://www.murc.jp/news/information/news_240111/

・2022 年度 「GRC（ガバナンス、リスクマネジメント、コンプライアンス）に関するサーベイ結果について～企業価値向上の観点からみるガバナンス・リスク管理態勢の課題～」

https://www.murc.jp/news/information/news_230201/

・2021 年度 「コーポレートガバナンス／リスクマネジメントに関するサーベイの結果について～サステナビリティ時代を生き抜くガバナンス態勢構築は道半ば～」

https://www.murc.jp/news/information/news_220201/

(２) 調査結果のポイント

昨今の日本企業を取り巻くビジネス環境とそこに内在するリスクを概観すると、「地政学リスクの常態化」と「業務へのAIの浸透」が大きな特徴として挙げられます。国際情勢の混迷やAI活用の拡大は、この1年でより鮮明になり、多くの企業にとって無視できないリスク要因となっています。

国際情勢に目を向けると、「協調なき多極化」の状況下で国家間の競争や対立が激化し、日本企業はサプライチェーンの不安定化や突発的な規制変更などにさらされています。次に情報技術に関しては、生成AIの発展と社会への浸透が目覚ましく、受容から活用の段階へと移行しています。AI活用は人手不足の解消や業務の効率化を実現する上で不可欠です。一方で、情報漏洩や倫理的問題も懸念されており、企業はこれらの新たなリスクにも対応を迫られています。

これらのメガトレンドを踏まえ、本サーベイは新たに、地政学リスクと関連の深い「経済安全保障」およびAIの利用を想定した「データガバナンス」の取り組みを調査項目に加えました。その結果、これらメガトレンドに対する日本企業の関心は高いものの、人手不足やノウハウ不足などを理由に十分な対応が進んでいない実態が明らかになりました。

メガトレンドから垣間見える日本企業の課題

■複雑化する地政学リスクへの対応

国際情勢の変化に伴い経済安全保障への関心が高まる中、各種取り組みの中でも多くの企業が挙げたのが安全保障貿易管理です(図表A参照)。しかしそれとは裏腹に、十分な人数の割り当てや専門人材の確保に苦慮している実態が判明しました（図表B参照）。企業は安全保障貿易管理をリスクと認識しながらも、対応が追い付いていない状況が推察されます。

【図表A】「経済安全保障」に関連した現在の取り組み

【図表B】安全保障貿易管理に対して十分に取り組むことができていない領域

■AI隆盛時代におけるデータガバナンス態勢の構築

生成AIの業務活用は年々拡大しています。世界の潮流を見ても、企業とAIの関わりは、「人を代替する脅威」として警戒する段階から、「業務効率化のツール」として活用する段階へ移行しています。人手不足に悩む多くの日本企業も例外ではなく、これに伴い情報の取り扱いや技術領域におけるリスク管理の重要性が高まってきています。

一方で、情報の取り扱いや管理を定める取り組みは十分に進んでいません。本サーベイでは回答企業の過半数が、データ管理について定めた規程を策定していませんでした（図表C参照）。情報の持ち出し・漏洩を防ぐためにも、管理方法や権限を明確化し、社内へ徹底して周知することが喫緊の課題となります。

【図表C】データ管理について定めた規程の作成状況

今後の日本企業に求められる対応

■新たなリスクへの対応

技術革新や政治経済の変動により、従来想定されなかったリスクの発現や、特定のリスクの重要性が突然高まることも珍しくはありません。重要となるのは、その兆候を見逃さないことです。今回の調査では、日本企業の新たなリスクに対する認識自体は高いことが分かりました。認識したリスクへの対応は十分ではなく、目前の明白な脅威に対して手をこまねいているようにも見受けられます。この傾向は、対応に必要な知識や、人材（技能・人数）の不足が原因と考えられるため、定期的な情報収集、リスク認識に基づいた人員計画の策定が必須となります。

■攻めのリスク管理による収益力の強化および企業価値の向上

激変する事業環境においては、損失回避を目的とした従来の「守りのリスク管理」のみでは収益力を維持できません。それどころか、「風」を読み誤り、業績の悪化を招くおそれすらあります。今後、企業が収益を上げ企業価値を持続的に向上させるには、不確実性を恐れて守りに徹するのではなく、冷静かつ客観的なリスク分析に基づき自社への影響を適切に把握するべきです。その際、不確実性はマイナスだけではなく、「機会」となり得ると意識して行動すること、すなわち「攻めのリスク管理」が重要です。日本企業はリスクを単なる損失要因ではなく、「中立的な不確実性」に則り、リスクが包含するプラスとマイナスの両面を捉える必要があります。

しかし、従来の「守りのリスク管理」の意識は日本企業に根強く、一朝一夕に覆されるものではありません。そのため、経営陣をはじめとする全社的な意識改革が必要不可欠であり、それによって「攻め」と「守り」の両面から対峙していく体制が実現できます。

２. 調査概要