2026年4月17日、金融庁・経済産業省が「企業のリスクマネジメントの高度化に向けた検討会」報告書を公表しました。

そして同じ日、日本経済新聞電子版がデロイト トーマツによる「企業のリスクマネジメントおよびクライシスマネジメント実態調査2025年版」の結果を報じました。

 

（参考記事）
日経電子版「上場企業の最優先対応リスクは『人材不足』、4年連続　デロイト調査」（2026年4月17日）

 

デロイト調査は企業が何を怖がっているかを示し、報告書はなぜ備えきれないかを示す。

並べて読むと、日本企業のリスクマネジメントの現在地が二層で見えてくる。

 

順位表の「動き方」

デロイト調査は、毎年実施されている上場企業対象の調査です。
今回は国内3,500社を対象とし、283社から回答を得ています。

 

日経で見出しとして取り上げられていたのは「人材不足が4年連続で1位（44.2%）」ですが、今回の特徴は1位ではなく2位にあるように思いました。

 

サイバー攻撃などによる情報漏えいと、大規模システムダウンが、ともに同率26.5%で2位に並んだこと——その並び方は、過去の順位と比べると一段深く読めます。

情報漏えいは、前年版で3位から2位に上昇しており、今回は同じ位置で横ばい、割合が23.1%から26.5%に増えました。
他方、大規模システムダウンは前年版で5位（18.4%）だったものが、今回2位タイに急浮上。

つまり、「漏らさない」という関心は2年前から上位に定着していましたが、「止めない」という関心は今回新たに肩を並べた、と読むことができます。

 

同時に、後退した項目もあります。
原材料・原油価格の高騰は2年前の2位から、前年4位、今回5位へと段階的に下がっています（注）。

 

異常気象・自然災害も前年3位から今回4位に後退しています。
サイバー2種類が同率2位に並んだ分、他項目が相対的に押し下げられた格好です。

サイバーの浮上と原材料・自然災害の後退を合わせて見ると、順位表の構造変化として、物理領域のリスクが後退し、デジタル領域のリスクが浮上する流れが明瞭になっています。

 

備えの体質

一方。

同日公表された金融庁・経産省報告書は、損害保険市場と企業のリスクマネジメントの結節点を主題としています。

2025年12月から3月にかけての計3回の議論を経てまとめられたもので、本来は損保市場の高度化がコアですが、日本企業のリスクマネジメントの体質に関する具体的な診断が随所に含まれています。

 

報告書は、国内企業の課題として次のような指摘をしています。

保険を「コスト」として扱う傾向が強く、戦略的なリスク移転が進みにくいこと。
「壊れたら保険で対応できる」という発想により、リスク低減策の実効性が弱いこと。
そして、失敗を恐れる企業風土から脱却できていないこと。

 

より構造的な診断としては、リスクファイナンス（移転）、リスクコントロール（予防）、レジリエンス（回復）の三要素が統合的に管理されていないこと、CRO等の権限が明確化されておらず経営陣の主体的関与が弱いこと、が挙げられていました。

危機感の不足ではなく、危機感を経営システムに統合する仕組みの不足。

 

二つを重ねると何が見えるか

デロイト調査が示すのは、日本企業が「何を怖がっているか」。
金融庁・経産省報告書が示すのは、「なぜそれに備えきれないか」。

二つを重ねると、やや皮肉な構造が浮かぶように思います。

 

企業が怖がる対象の重心は、物理領域（自然災害、原材料高騰）から、デジタル領域（情報漏えい、システムダウン）に移りつつあります。

一方で、備えの仕組みを議論する報告書は、依然として損害保険市場——すなわち物理被害の移転を主に扱う市場——を軸にしています。

「怖がるもの」と「備え方」のあいだに、構造的なズレがあります。

 

日本企業に不足しているのは、危機感ではありません。
何を怖がるべきかは、順位表が示すように、かなり正確に把握されています。

足りないのは、怖がっているものと備え方を統合する仕組みのほうではないでしょうか。

 

結び

リスクマネジメントは、もはや保険やBCPの話ではなく、経営そのものの設計の話になってきています。

金融庁・経産省の公表と日経の報道が同日だったのは偶然ですが、片方だけでは見えないものが、並ぶことで見えた、といえるかもしれません。

 

ーーー

本日もお読みいただき、ありがとうございました。

それではまた、次回のブログで。

 

執筆担当：川上 佳子

—

（注）調査は2026年1〜2月に実施されており、その後の価格動向とは時点差があります。