コラム - LIBRUS株式会社

フィンテックビジネストレンドインサイトレポート

Librus株式会社コンサルティングサービス事業部エグゼクティブサマリーフィンテック業界は2024年に転換点を迎え、2025年には本格的なマス市場展開の時代に突入する。日本のフィンテック市場は2024年に92億米ドルに達し、年平均成長率14.1%で成長し、2033年までに302億米ドルに達すると予測されている。本レポートでは、技術革新、規制環境、投資動向、新興サービス分野の4つの観点から、フィンテックビジネスの最新トレンドを包括的に分析する。 1. 市場概況と成長予測 1.1 グローバル市場動向世界のフィンテック市場は2024年において正常化の兆しを見せており、投資環境の改善とともに持続的な成長軌道に回帰している。特に注目すべきは、エンベデッドファイナンス（埋め込み金融）市場の急速な拡大であり、2025年の1,461億米ドルから2030年には6,903億米ドルへと、年平均成長率36.41%で成長すると予測されている。 1.2 日本市場の特徴日本のフィンテック市場は、2015年の業界創成期から10年を経て、アーリーアダプター層からマス市場への移行という重要な転換点を迎えている。市場規模は2022年度の約1.2兆円から、2025年には約12兆円に達すると予測され、年間成長率15%を維持している。 2. 2025年度フィンテック10大トレンド 2.1 パートナー連携の活発化トレンド1: 金融機関とフィンテック企業の戦略的連携 2024年度には歴史ある金融機関とフィンテック企業間の連携深化が顕著となった。主要事例として、三菱UFJファイナンシャル・グループによるウェルスナビの子会社化、マネーフォワードと三井住友カードの提携、住信SBIネット銀行とデジタル証券オルタナの連携などが挙げられる。この傾向は、マス層ユーザー獲得において、革新的プロダクトだけでなく、既存顧客からの信頼やクロスセル営業力、コンプライアンス体制などの総合的な要素が重要であることを示している。 2.2 モダンな金融ITインフラの重要性トレンド2: API活用とシステム間連携の進化パートナー連携の実効性を高めるため、企業の垣根を越えたシームレスなシステム間連携が求められている。2024年度に登場した組込型金融サービス（JREバンク、Kyashスポットマネー、Finswer Bank）は、この流れを象徴する事例である。競争力の源泉として、モダンな金融ITインフラの構築が不可欠となっており、API活用による柔軟な接続性が重要な差別化要因となっている。 2.3 ユーザー獲得戦略の複線化トレンド3: 多様なチャネルを活用した顧客獲得フィンテック企業は、デジタルマーケティング、パートナーシップ、リアル店舗展開など、複数のチャネルを組み合わせた顧客獲得戦略を採用している。特に、従来のデジタルネイティブ層を超えたマス層へのアプローチが重要となっている。 2.4 中小企業デジタル化の最前線トレンド4: 支払DXの推進中小企業のデジタル化において、支払業務のデジタル化（支払DX）が重要な位置を占めている。請求書の電子化、自動決済システムの導入、キャッシュフロー管理の自動化などが急速に普及している。 2.5 キャッシュレス決済の進化トレンド5: 単価による棲み分けの崩壊従来の高額取引はクレジットカード、少額取引はQRコード決済という棲み分けが崩壊し、利用シーンや付加価値に基づく新たな競争構造が形成されている。 3. 技術革新の最前線 3.1 人工知能（AI）の実用化 AI技術のフィンテック分野への応用は、2024年から2025年にかけて実用段階に移行している。主要な応用分野は以下の通りである：詐欺防止・不正検知: AI詐欺管理市場は2024年の130.5億ドルから2025年に156.4億ドルに成長予測与信審査の高度化: 従来の信用スコアに加え、キャッシュフローデータや代替データを活用した包括的な与信判断個人化サービス: 顧客の行動パターンや好みに基づいたパーソナライズされた金融サービスの提供リスク管理: リアルタイムリスク監視と予測的リスク管理システム 3.2 ブロックチェーンとステーブルコインの普及ブロックチェーン技術は投機的な段階から実用的な金融インフラへと発展している。特にステーブルコインの利用が急激に拡大しており、2020年以降10倍の成長を遂げ、年間2.5兆ドルの決済が処理されている。 3.2.1 中央銀行デジタル通貨（CBDC）の進展世界の中央銀行の94%がCBDCの導入を検討しており、日本銀行も2021年4月から実証実験を継続している。CBDCは民間ステーブルコインとの差別化を図りながら、国家レベルでの金融システム近代化を推進している。 3.3 エンベデッドファイナンス（埋め込み金融）エンベデッドファイナンスは、非金融企業が自社のサービスやプラットフォームに金融機能を組み込む技術であり、2025年の主要トレンドの一つとなっている。市場規模は2024年の1,126億ドルから2029年には2,374億ドルに成長すると予測されている。 3.3.1 主要な応用分野 Eコマースプラットフォームでの決済・融資機能配車アプリでの保険サービス小売業での分割払い・後払いサービスSaaSプラットフォームでの請求・決済機能 4. 規制環境の変化 4.1 日本の規制動向金融庁は2024年事務年度金融行政方針において、フィンテックの健全な発展を支援する姿勢を明確にしている。主要な政策方向性は以下の通りである： Japan Fintech Week 2025: 国内外のフィンテック企業の交流促進と日本市場の魅力発信資金決済法改正: 2025年の通常国会への改正案提出を目指し、ステーブルコインなど新技術への対応強化AI活用促進: 金融機関のAI活用について官民で議論するフォーラムの設置実証実験支援: FinTech実証実験ハブを通じた革新的サービスの開発支援 4.2 オープンバンキング規制オープンバンキングは世界的に「オープンバンキング2.0」の段階に入っており、単なるデータ共有から価値創造型のサービス統合へと発展している。日本においても、API接続の標準化と安全性確保のための規制整備が進行中である。 4.3 国際的な規制調和フィンテック規制は国際的な調和が重要であり、特に以下の分野での国際協調が進んでいる：デジタル資産・暗号資産に関する規制框組みデータ保護とプライバシー規制AML/CFT（マネーロンダリング・テロ資金供与対策）サイバーセキュリティ基準 5. 投資環境と資金調達動向 5.1 グローバル投資動向フィンテック分野への投資は2022年と2023年の急激な冷却期を経て、2024年から正常化の兆しを見せている。しかし、投資家の選別眼はより厳しくなっており、持続可能なビジネスモデルを持つ企業への投資が優先されている。 5.2 日本市場の資金調達環境日本のスタートアップ資金調達総額は2024年に7,793億円となり、前年比3%増と横ばいで推移している。一方で、一社あたりの調達額は増加傾向にあり、投資の質的向上が見られる。 5.3 主要な投資テーマ AI・機械学習: 詐欺防止、リスク管理、個人化サービスエンベデッドファイナンス: 非金融企業との協業によるサービス拡張グリーンフィンテック: ESG投資とサステナブル金融RegTech: 規制遵守とリスク管理の自動化デジタル資産: ステーブルコイン、CBDC関連技術 6. 新興サービス分野 6.1 グリーンフィンテック環境・社会・ガバナンス（ESG）への関心の高まりとともに、グリーンフィンテック市場が急速に拡大している。この分野は「グリーンフィンテック2.0」の段階に入り、単なる環境データの提供から、包括的なサステナビリティ金融ソリューションへと発展している。 6.1.1 主要サービスカーボンフットプリント追跡・管理システムグリーンボンド発行・管理プラットフォームESGスコアリングサービスサステナブル投資プラットフォーム再生可能エネルギー投資・融資サービス 6.2 デジタル証券・資産トークン化デジタル証券市場は2024年に急成長を遂げ、2025年にはさらなる拡大が期待されている。不動産、アート、知的財産など、従来は流動性の低い資産のトークン化が進んでいる。 6.3 インシュアテック（保険テック）保険業界のデジタル化は加速しており、特に以下の分野での革新が顕著である：パラメトリック保険（気象データ連動型保険）使用量連動型保険（UBI: Usage-Based Insurance）P2P保険（相互保険）マイクロ保険（短期・少額保険） 6.4 レンディングテック融資業界では、代替データを活用した新しい与信モデルが普及している。従来の信用スコアでは評価が困難だった個人や中小企業に対する融資機会の拡大が進んでいる。 6.4.1 代替データ活用の例キャッシュフローデータ分析給与明細・雇用データ公共料金支払い履歴SNS・デジタル行動データ教育・資格データ 7. 決済・送金サービスの進化 7.1 リアルタイム決済の普及 FedNowやRTP（Real-Time Payments）などのリアルタイム決済インフラの普及により、即時決済が標準となりつつある。米国では参加金融機関数が前年の400から1,200に増加し、日本でも類似の動きが見られる。 7.2 Pay-by-Bank決済の成長銀行口座から直接決済を行うPay-by-Bank決済が急速に普及している。米国では消費者の67%がPay-by-Bank決済に前向きであり、フィンテック利用者では72%、ミレニアル世代では74%に達している。 7.3 国際送金の革新ステーブルコインを活用した国際送金サービスが拡大しており、従来の銀行送金に比べて大幅な時間短縮と手数料削減を実現している。年間2.5兆ドルの国際送金がステーブルコインで処理されている。 8. 課題と今後の展望 8.1 主要な課題 8.1.1 セキュリティ・詐欺対策フィンテックサービスの普及に伴い、詐欺被害も増加している。米国FTCの報告によると、2024年の詐欺被害額は125億ドルに達し、前年比25%増となっている。AI技術を利用したディープフェイク詐欺も新たな脅威として浮上している。 8.1.2 規制遵守コスト規制の複雑化により、特に中小フィンテック企業の規制遵守コストが増加している。国際展開を行う企業では、各国の規制に対応するための体制整備が重要な経営課題となっている。 8.1.3 人材確保 AI、ブロックチェーン、サイバーセキュリティなどの専門人材の確保が困難となっている。特に日本では、グローバル競争力のある人材の獲得が課題となっている。 8.2 今後の展望 8.2.1 2025年の重点分野 AI実装の加速: 単純な実験段階から本格的な業務活用へエンベデッドファイナンスの拡大: 非金融企業との協業深化国際標準化: 規制・技術標準の国際的な調和サステナビリティ: ESG要素の金融サービスへの統合金融包摂: 代替データ活用による金融アクセスの拡大 8.2.2 長期的な変化 2030年までの展望として、以下のような構造的変化が予想される：金融サービスの完全なデジタル化業界境界の更なる曖昧化個人化・カスタマイゼーションの高度化持続可能性を重視した金融システムの確立グローバルな金融インフラの統合 9. 結論と提言 9.1 主要な結論フィンテックビジネスは2024年から2025年にかけて、実験段階から実用・普及段階への重要な転換期を迎えている。特に日本市場においては、アーリーアダプター層からマス市場への移行が本格化し、従来の金融機関とフィンテック企業の協業が新たな価値創造の源泉となっている。技術面では、AI、ブロックチェーン、エンベデッドファイナンスが実用段階に到達し、規制環境も革新的サービスの健全な発展を支援する方向に整備されている。投資環境も正常化の兆しを見せており、質の高いサービスを提供する企業への投資が活発化している。 9.2 企業への提言 9.2.1 フィンテック企業向けパートナーシップ戦略の重要性を認識し、既存金融機関との協業を積極的に推進するAI技術の実用化に向けた投資を継続し、特に詐欺防止・リスク管理分野での差別化を図るエンベデッドファイナンスの機会を活用し、非金融企業との協業を拡大するグローバル展開を見据えた規制対応体制の構築を行う 9.2.2 既存金融機関向けデジタル変革を加速し、モダンなITインフラの構築を優先するフィンテック企業との戦略的パートナーシップを通じて、イノベーションを取り込む顧客体験の向上に向けて、API活用とシステム統合を推進する新規事業領域（グリーンフィンテック、デジタル証券等）への参入を検討する 9.3 政策への提言規制サンドボックスの拡充と実証実験支援の継続国際的な規制調和への積極的な参画フィンテック人材育成に向けた教育・研修制度の整備サイバーセキュリティとデータプライバシー保護の強化中小企業のデジタル化支援政策の推進フィンテックビジネスの発展は、金融業界の変革だけでなく、経済全体のデジタル化と効率化に貢献する。2025年以降も継続的な技術革新と規制環境の整備により、より包摂的で持続可能な金融システムの構築が期待される。本レポートは2025年6月時点の公開情報に基づいて作成されております。最新の動向については、各企業・機関の公式発表をご確認ください。監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

サードパーティリスク・パートナー企業財務リスクトレンドレポート

Librus株式会社コンサルティングサービス事業部エグゼクティブサマリー 2024年は、サードパーティリスクが企業経営に与える影響が過去最大となった年として記録される。特に、パートナー企業の財務悪化による連鎖倒産件数が74件と過去30年で最多を記録し、負債1,000万円未満の小規模倒産も534件に達した。サードパーティを介したサイバー攻撃の割合は30%に倍増し、日本における第三者リスクは世界平均を大幅に上回る水準となっている。本レポートでは、サードパーティリスクの基本概念から実践的管理手法まで、2024年の最新インシデント事例とトレンドを踏まえた包括的な分析を提供する。第1章サードパーティリスクの基本概念 1.1 サードパーティリスクの定義サードパーティリスク（第三者リスク）とは、企業が外部組織（サードパーティ）との関係から生じる潜在的な脅威を指す。これには、ベンダー、サプライヤー、業務委託先、クラウドサービスプロバイダー、パートナー企業などとの取引関係に起因するリスクが含まれる。 1.2 サードパーティリスクの分類体系 1.2.1 リスクカテゴリー別分類オペレーショナルリスク：サービス中断、品質低下、納期遅延財務リスク：取引先倒産、信用悪化、連鎖破綻コンプライアンスリスク：法規制違反、監査不備、規制変更対応セキュリティリスク：データ漏洩、サイバー攻撃、情報セキュリティ侵害戦略リスク：事業継続性、競争力低下、技術的陳腐化レピュテーションリスク：風評被害、ブランド価値毀損、顧客信頼失墜 1.2.2 関係性による分類直接取引先：一次ベンダー、主要サプライヤー間接取引先：二次・三次サプライヤー、サブコントラクター重要インフラ提供者：クラウドプロバイダー、通信事業者規制対象サービス：金融サービス、個人情報取扱業務 1.3 2024年のサードパーティリスク環境 ■2024年主要統計データ第三者経由のデータ漏洩：30%（前年15%から倍増）サプライチェーン攻撃：431%増（2021-2023年比）連鎖倒産件数：74件（過去30年で最多）平均データ漏洩コスト：$4.88million（過去最高額）クラウド障害による年間ダウンタイム：77時間第2章パートナー企業の財務リスク分析 2.1 財務リスクの要因と影響 2.1.1 主要な財務リスク要因パートナー企業の財務悪化は、以下の要因により発生する：経済環境の悪化（インフレ、金利上昇、景気後退）業界固有の構造変化（デジタル化、規制変更）財務管理の不備（過剰債務、キャッシュフロー悪化）経営戦略の失敗（過度な拡張、投資ミス）外部ショック（自然災害、パンデミック、地政学リスク） 2.1.2 財務悪化の兆候兆候カテゴリー具体的指標警告レベル収益性売上高営業利益率3期連続悪化流動性流動比率100%未満安全性自己資本比率20%未満効率性総資産回転率業界平均の50%未満成長性売上高成長率3期連続マイナス 2.2 2024年の連鎖倒産事例分析事例1：テックコーポレーション破綻による連鎖倒産概要：2024年3月、広島のテックコーポレーション（負債191億9400万円）が破産。不自然な手形取引の末の破綻により、1ヶ月で取引先の連鎖倒産が発生。影響範囲：直接取引先10社以上、債権者445名、推定被害額約10億円教訓：手形取引の実態確認、取引先の財務状況の継続的監視の重要性事例2：小規模事業者の連鎖倒産急増概要：2024年度の負債1,000万円未満倒産534件のうち、「他社倒産の余波」が74件（64.4%増）と急増。特徴：親会社や主要取引先への売上依存度が高い小・零細企業が多数被害業種別影響：サービス業236件、建設業80件、小売業72件 2.3 業界別財務リスク分析業界主要リスク要因2024年倒産予測ランキング対策優先度電子部品製造業複数年赤字、設備投資過多1位極高宿泊業コロナ後遺症、人材不足2位高農業気候変動、原材料コスト増3位高運輸業2024年問題、燃料費高騰4位中建設業資材価格上昇、人件費増5位中第3章 2024年重大インシデント事例 3.1 サイバーセキュリティ関連インシデント ■株式会社イセトーランサムウェア攻撃発生日：2024年5月26日被害規模：約150万件の個人情報漏洩可能性影響範囲：銀行、保険会社、自治体など150以上の組織原因：VPN経由の不正アクセス、データ管理体制の不備経済損失：数十億円規模の対応コスト学んだ教訓：サプライチェーン全体のセキュリティ管理、データ保管ルールの徹底、VPN機器の脆弱性管理 ■CrowdStrike グローバル障害発生日：2024年7月19日被害規模：全世界850万台のWindows端末影響範囲：航空、金融、医療、小売業界経済損失：$5.4billion（米国のみ）学んだ教訓：クリティカルシステムの冗長化、段階的アップデート、ベンダー依存度の分散 3.2 クラウドサービス障害発生日サービス障害時間主要影響原因2024年1月18日Atlassian Jira4時間プロジェクト管理停止データベース更新失敗2024年2月22日AT&T12時間通信サービス全般ネットワーク設定ミス2024年7月30日Microsoft Azure9時間クラウドサービス全般DDoS攻撃とシステム障害2024年9月30日Verizon10時間モバイル通信ネットワーク機器障害 3.3 業務委託先起因のインシデント ■2024年業務委託先関連インシデント統計総件数：213件（全インシデントの36.3%）情報漏洩件数：約2,164万件最多業種：製造業（18社）、サービス業（14社）平均復旧期間：23日平均対応コスト：$4.1million 第4章サードパーティリスク管理フレームワーク 4.1 TPRM（Third Party Risk Management）の基本構造 TPRMライフサイクル管理計画（Planning）事業要件の明確化リスク評価の実施予算・リソース計画デューデリジェンス（Due Diligence）財務状況調査セキュリティ評価コンプライアンス確認契約交渉（Contract Negotiation）SLA/SLO設定責任分担明確化終了条項整備継続監視（Ongoing Monitoring）パフォーマンス監視財務状況追跡インシデント管理契約終了（Termination）移行計画実行データ返却・削除知的財産権整理 4.2 財務リスク評価手法 4.2.1 定量的評価指標評価項目主要指標健全性基準警告基準危険基準収益性営業利益率5%以上2-5%2%未満安全性自己資本比率40%以上20-40%20%未満流動性流動比率150%以上100-150%100%未満効率性総資産回転率1.0以上0.5-1.00.5未満成長性売上成長率5%以上0-5%マイナス成長 4.2.2 定性的評価項目経営陣の質：経営経験、業界知識、危機管理能力事業モデル：競争優位性、市場地位、収益構造ガバナンス：内部統制、コンプライアンス体制、透明性市場環境：業界動向、競合状況、規制環境オペレーション：品質管理、効率性、技術力 4.3 リスク軽減策 4.3.1 予防的対策多様化戦略：複数ベンダーの活用、地理的分散契約条項強化：SLA設定、ペナルティ条項、保険要求継続的監視：定期的財務確認、早期警戒システムエスクロー制度：ソースコード預託、データバックアップ 4.3.2 事後対応策事業継続計画：代替ベンダー確保、内製化準備損失軽減措置：保険活用、法的措置、債権回収顧客対応：情報開示、代替サービス提供、補償検討学習・改善：事後分析、プロセス見直し、予防策強化第5章規制動向と業界標準 5.1 国内規制動向 5.1.1 金融業界金融庁は2024年5月、「第三者リスク管理ガイダンス」を発行し、金融機関に対してより厳格なTPRM体制構築を求めている。特に、以下の要件が強化された：重要業務の特定と分類第三者の財務健全性評価継続的監視体制の確立事業継続計画の策定 5.1.2 個人情報保護個人情報保護委員会は、委託先管理に関するガイドライン改正を検討中。主なポイント：委託先の選定基準明確化再委託管理の強化データ移転時の安全管理措置インシデント時の報告体制 5.2 国際規制動向 5.2.1 EU規制 DORA（Digital Operational Resilience Act）：金融機関のデジタル運営レジリエンス要求NIS2指令：重要インフラの第三者リスク管理義務化CSRD：企業持続可能性報告指令における供給網リスク開示 5.2.2 米国規制連邦準備制度理事会ガイダンス：コミュニティ銀行向けTPRM指針SEC要求事項：サイバーセキュリティインシデントの迅速報告CISA推奨事項：重要インフラの供給網セキュリティ強化第6章 2025年以降の展望 6.1 新興リスクとトレンド 6.1.1 AI・自動化リスク AIサービス依存度増加に伴う新たなリスクアルゴリズムの透明性と説明責任AI判断エラーの組織全体への波及学習データの品質・バイアス問題 6.1.2 地政学リスク国際制裁によるサプライチェーン分断データローカライゼーション要求技術移転制限と知的財産保護クロスボーダー取引の複雑化 6.1.3 環境・社会リスク気候変動による物理的影響ESG要求事項の厳格化人権デューデリジェンス義務化サステナビリティ報告要求 6.2 推奨対応策 2025年に向けた戦略的対応短期対応（6ヶ月以内）既存第三者の財務健全性緊急チェック重要業務の特定と影響度評価インシデント対応体制の見直し契約条項の最新化中期対応（6-18ヶ月） TPRM統合プラットフォーム導入リスクベース監視システム構築代替ベンダー戦略策定デジタル化による効率性向上長期対応（18ヶ月以上）エコシステム全体の最適化予測分析による先制的管理ゼロトラスト原則の完全実装レジリエント組織への変革第7章実践的管理手法 7.1 組織体制の構築 7.1.1 ガバナンス構造役割責任者主要職務報告関係戦略策定取締役会方針決定、予算承認株主・規制当局統括管理CRO全社リスク管理CEO・取締役会実務運営TPRMオフィサー日常的監視・評価CRO・各部門長専門支援法務・IT・調達専門知識提供TPRMオフィサー 7.1.2 三線防御モデル第一線：事業部門によるリスクオーナーシップ第二線：リスク管理部門による独立監視第三線：内部監査による客観的保証 7.2 技術的ソリューション 7.2.1 統合リスク管理プラットフォームベンダー情報の一元管理リアルタイムリスク監視自動アラート機能ダッシュボード・レポート機能 7.2.2 AIを活用した予測分析財務悪化の早期予測異常検知アルゴリズムシナリオ分析・ストレステスト自動リスクスコアリング 7.3 測定・評価指標（KPI）指標カテゴリーKPI名称目標値測定頻度予防効果高リスクベンダー比率5%以下月次検知能力インシデント早期発見率90%以上四半期対応効率平均復旧時間24時間以内インシデント毎コスト効果TPRM投資回収率3:1以上年次業務継続サービス可用性99.9%以上月次結論 2024年は、サードパーティリスクが企業経営の中核課題として浮上した転換点となった。パートナー企業の財務悪化による連鎖倒産、サイバー攻撃の第三者経由侵入、クラウドサービス障害による業務停止など、従来のリスク管理の枠組みを超える事象が多発している。これらの課題に対処するためには、従来の契約ベースの管理から、継続的監視と予測分析を組み合わせた動的なリスク管理への転換が不可欠である。また、組織内の縦割りを排し、全社横断的なガバナンス体制の構築が求められる。 2025年以降は、AI・自動化の進展、地政学リスクの高まり、環境・社会要求の厳格化により、サードパーティリスクはさらに複雑化することが予想される。企業は、これらの変化を先取りし、レジリエントな組織への変革を進めることで、持続可能な成長を実現していかなければならない。本レポートは2025年6月時点の公開情報に基づいて作成されております。最新の動向については、各企業・機関の公式発表をご確認ください。監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

コーポレートガバナンスインシデント・トレンドレポート

Librus株式会社コンサルティングサービス事業部エグゼクティブ・サマリー 2024年は、コーポレートガバナンスにおいて重大な転換点となった年である。国内外で発生した一連の企業不祥事は、従来のガバナンス体制の脆弱性を露呈し、より実効性のある企業統治の必要性を浮き彫りにした。本レポートでは、2024年に発生した主要なガバナンス関連インシデントを分析し、新たなトレンドと今後の展望を提示する。 1. 2024年ガバナンス情勢概観 1.1 統計的概要 2024年における企業統治関連のインシデントは、量的・質的両面で深刻化した。主要な統計は以下の通りである：指標2023年2024年変化率内部統制不備開示企業数57社58社+1.8%企業不祥事報告件数383件587件+53.3%株主提案数61社113社+85.2% 1.2 ガバナンス問題の多様化 2024年のガバナンス問題は、従来の財務不正や法令違反から、ESG課題、デジタル変革に伴うリスク、地政学的リスクまで多岐にわたった。特に、AI技術の急速な発展とサイバーセキュリティリスクの増大は、新たなガバナンス課題として企業経営に大きな影響を与えた。 2. 主要インシデント事例分析 2.1 国内重大事件 ①大手中古車販売/損害保険会社に関する問題発生時期：2023年〜2024年概要：損害保険会社と大手中古車販売事業者との癒着による保険金不正請求事件。持株会社のガバナンス機能が問われた。影響：損害保険会社会長兼CEOの辞任、業界全体のコンプライアンス体制見直し ②大手自動車製造業認証不正問題発生時期：2024年6月概要：計7車種での認証不正が発覚。同社会長の取締役再任に議決権助言大手2社が反対推奨。ガバナンス示唆：グローバル企業における経営責任の在り方と取締役会の独立性が焦点となった。 ③大手製薬会社製品問題発生時期：2024年3月概要：機能性表示食品による健康被害発生。社外取締役の監督機能と危機管理体制の不備が問題となった。課題：製品安全管理体制、情報開示の遅れ、社外取締役の実効性 2.2 内部統制失敗事例 2024年度に内部統制の重要な不備を開示した企業は過去最多の58社に達した。主な分類は以下の通りである：全社的内部統制の不備：30社（51.7%）- 不適切会計の判明等決算・財務報告プロセスの不備：24社（41.3%）- 経理・会計処理ミス等業務プロセスの不備：4社（6.9%）- 商流ルールの形骸化等 2.3 国際的な事例グローバルな役員報酬スキャンダル 2024年、複数の多国籍企業で役員報酬に関するガバナンス問題が発生。特に、業績悪化にも関わらず高額報酬を維持した事例が株主から厳しく批判された。 Wells Fargo CEO: 2024年報酬額31.2百万ドル（従業員大量解雇実施中）Warner Bros. Discovery CEO: 2024年報酬額51.9百万ドル（+4.4%増） 3. 新たなガバナンストレンド 3.1 株主アクティビズムの高度化 2024年は株主アクティビズムが量的・質的に大きく進化した年となった。主な特徴は以下の通りである：統計的動向グローバルなアクティビストキャンペーン数：6年ぶりの高水準米国における時価総額20億ドル以下企業への集中：全体の50%超APAC地域での記録的な活動レベル戦略・運営変更に焦点を当てたキャンペーンの増加 3.2 ESGガバナンスの課題 2024年のESG投資動向では、投資家の関心が3年連続で減少（2021年66%→2024年48%）する一方、実際のESG課題への対応はより厳格化された。 ESG要素主要課題ガバナンス上の対応環境（E）気候変動対応、ESGウォッシュCSRD対応、透明性向上社会（S）人権デューデリジェンス、多様性取締役会多様性、サプライチェーン管理ガバナンス（G）取締役会独立性、報酬制度社外取締役比率向上、長期インセンティブ 3.3 デジタル時代のガバナンス課題 AI技術の急速な発展に伴い、新たなガバナンス課題が顕在化した： AIガバナンス：生成AIの業務利用におけるリスク管理体制の構築サイバーセキュリティ：取締役会レベルでのサイバーリスク監督強化データガバナンス：個人情報保護とデータ活用のバランスデジタル変革：DXプロジェクトの適切な監督と評価 3.4 内部告発制度の進化 2024年は内部告発制度が大幅に強化された年となった。主要な動向：制度的強化従業員300人超企業での内部通報制度義務化（公益通報者保護法）SEC内部告発者プログラム：記録的な1,744件の情報提供CFTC内部告発者プログラム：12件の報奨金支給内部告発者への報奨金総額：98百万ドル超（SEC） 4. 規制・制度変更動向 4.1 国内規制動向 2024年の国内規制環境では、以下の重要な変更が実施された：内部統制報告制度の改訂：2024年4月施行、より厳格な開示要求コーポレートガバナンス・コード改訂検討：実質化に向けた議論継続金融庁アクション・プログラム2024：建設的対話の促進公益通報者保護法強化：内部通報制度の実効性向上 4.2 国際的規制動向グローバルレベルでは、以下の規制強化が実施された：地域主要規制施行時期ガバナンスへの影響EUCSRD（企業持続可能性報告指令）2024年1月ESG報告の標準化、取締役責任強化EUDORA（デジタル運用レジリエンス法）2025年1月予定ITリスク管理の取締役会監督強化米国気候関連開示規則段階的施行気候リスクガバナンス強化英国企業統治改革継続検討取締役責任・報酬制度見直し 5. 業界別ガバナンス課題 5.1 金融業界 2024年の金融業界では、デジタル変革とESG対応が主要課題となった：フィンテック企業のガバナンス体制整備サイバーセキュリティリスクの取締役会監督気候リスクの財務影響評価デジタル通貨・ブロックチェーン技術のガバナンス 5.2 製造業製造業では、サプライチェーン管理と品質保証体制が焦点となった：データ偽装・認証不正の防止体制グローバルサプライチェーンの人権デューデリジェンス環境規制対応とカーボンニュートラル戦略IoT・DXプロジェクトのガバナンス 5.3 テクノロジー業界急速な技術革新の中で、以下の課題が顕在化： AI開発・利用における倫理的ガバナンスデータプライバシーとセキュリティ管理プラットフォーム責任とコンテンツガバナンス技術者の内部告発増加への対応 6. 今後の展望と提言 6.1 2025年以降の予測 2025年以降のコーポレートガバナンスは、以下の方向性で進化すると予想される：主要トレンド予測 AIガバナンスの制度化：AI利用に関する取締役会監督基準の確立サイバーレジリエンス強化：サイバーセキュリティの取締役責任明確化ESG統合報告の義務化：財務・非財務情報の統合開示株主アクティビズムの高度化：ESG要素を含む包括的改善要求内部告発制度の国際標準化：グローバル企業での統一基準 6.2 企業への提言 6.2.1 短期的対応（1年以内）内部統制システムの全面的見直しと強化取締役会の実効性評価と改善内部通報制度の整備・強化サイバーセキュリティガバナンス体制の構築 6.2.2 中期的対応（2-3年） ESG統合経営体制の確立AIガバナンスフレームワークの構築グローバルガバナンス体制の統一ステークホルダーエンゲージメント強化 6.2.3 長期的対応（5年以上）持続可能な価値創造モデルの確立次世代リーダーシップ開発プログラムデジタルネイティブなガバナンス体制グローバル規制対応の標準化 6.3 投資家・ステークホルダーへの提言機関投資家およびその他のステークホルダーは、以下の観点から企業のガバナンスを評価すべきである：評価項目重要指標期待される水準取締役会構成独立性、多様性、専門性独立取締役比率50%以上、女性役員30%以上リスク管理サイバー、気候、ESGリスク対応統合的リスク管理体制、定期的見直し透明性情報開示、対話姿勢統合報告、建設的対話の実践実効性業績連動、長期価値創造持続的成長、社会価値創造の両立 7. 結論 2024年は、コーポレートガバナンスが新たな局面を迎えた年として記録されるであろう。従来の財務中心のガバナンスから、ESG、デジタル変革、ステークホルダー資本主義を包含する統合的なガバナンスへの転換が求められている。企業は、単に規制遵守にとどまらず、持続可能な価値創造のための自律的なガバナンス体制を構築する必要がある。投資家をはじめとするステークホルダーも、短期的な財務パフォーマンスだけでなく、長期的な企業価値と社会価値の創造を評価する視点を持つべきである。 2025年以降は、AIガバナンス、サイバーレジリエンス、ESG統合経営が企業統治の中核となることは確実であり、日本企業も国際的な最良実践に学びながら、独自の強みを活かしたガバナンスモデルの確立が急務である。本レポートは2025年6月時点の公開情報に基づいて作成されております。最新の動向については、各企業・機関の公式発表をご確認ください。監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

サイバーセキュリティインシデント/トレンドレポート

Librus株式会社コンサルティングサービス事業部エグゼクティブサマリー 2024年は日本のサイバーセキュリティにとって転換点となった年であった。国内法人組織で公表されたサイバー攻撃被害は587件に達し、前年の383件から53.3％増加した。これは1日平均1.7件のペースで被害が発生していることを意味し、サイバー脅威が日常的なリスクとなったことを示している。特に注目すべきは、サプライチェーン攻撃による二次被害の急増である。2024年の二次被害報告は213件に上り、全体の36.3％を占めた。これは委託先企業が攻撃を受けることで、委託元企業にも連鎖的に被害が拡大する新たな脅威パターンの定着を示している。 1. 国内サイバーセキュリティインシデント概況 1.1 インシデント発生件数の推移 ■2024年主要統計総インシデント件数：587件（前年比＋53.3％）1日平均発生件数：1.7件ランサムウェア被害：84件（過去最大）個人情報漏洩件数：2,164万件二次被害件数：213件（全体の36.3％） 2024年のサイバーセキュリティインシデント発生状況は、前年と比較して大幅な増加を記録した。特に下半期における二次被害の急増が全体の件数押し上げに寄与している。2022年のEMOTETによる集中的な被害（140件）とは異なり、2024年は多種多様な攻撃手法による被害が分散して発生している点が特徴的である。 1.2 業種別被害状況業種インシデント件数構成比個人情報漏洩件数製造業30件24.8％840万件卸・小売業18件14.9％848万件サービス業14件11.6％-教育・学習支援14件11.5％-情報通信業13件10.8％145万件製造業が最も多くのインシデントに見舞われた背景には、IoTデバイスの普及とデジタル化の進展による攻撃面の拡大がある。また、製造業のサプライチェーンの複雑性が、攻撃者にとって魅力的なターゲットとなっている。 1.3 攻撃手法別分析 1.3.1 ランサムウェア攻撃の深刻化 2024年のランサムウェア被害は84件と過去最大を記録し、被害は年々増加傾向にある。警察庁のデータによると、ランサムウェア被害報告は222件に達している。攻撃者はRaaS（Ransomware as a Service）モデルを活用し、攻撃の裾野を拡大している。 ■ランサムウェア攻撃の主要原因 VPN等ネットワーク機器の脆弱性：50％以上設定ミス：主にVPN機器の設定不備アカウント侵害：認証情報の不正利用 1.3.2 不正アクセスによる被害 2024年のインシデントの61.1％が不正アクセスに起因している。特にクラウドサービスへの不正ログインが増加しており、多要素認証の導入不備が主要な要因となっている。 1.4 サプライチェーン攻撃と二次被害 2024年最大の特徴は、サプライチェーン攻撃による二次被害の激増である。株式会社イセトーの事例では、同社のランサムウェア被害が伊予銀行、東海信金ビジネス等の金融機関に連鎖的な影響を与えた。また、東京ガスエンジニアリングソリューションズの不正アクセス被害、ライクキッズのランサムウェア被害なども、多数の委託元企業に二次被害をもたらした。 2. グローバルサイバーセキュリティトレンド 2.1 AI技術を悪用したサイバー攻撃 2024年は人工知能（AI）を悪用したサイバー攻撃が本格化した年である。Center for Security and Emerging Technology（CSET）の調査によると、AI技術を活用したサイバー攻撃は50％増加すると予測されており、実際に以下のような攻撃が確認されている。 AI生成フィッシングメール：60％の成功率を記録ディープフェイク技術：音声・画像偽造による詐欺自動化された脆弱性探索：効率的な攻撃対象の特定マルウェア生成：生成AIによる不正プログラム作成 2.2 ゼロデイ脆弱性の動向 Google Threat Intelligence Teamの2024年年次レポートによると、2024年に確認されたゼロデイ脆弱性の悪用は75件で、前年の98件から減少した。しかし、エンタープライズプラットフォームを標的とした攻撃は44％に増加（前年37％）しており、企業を狙った攻撃の高度化が進んでいる。 2.3 サプライチェーン攻撃の国際的動向 2021年から2023年にかけて、サプライチェーン攻撃は431％の急増を記録し、2024年も継続的な増加傾向にある。主要な攻撃事例には以下が含まれる： Discord Bot Platform攻撃（2024年3月）：悪意のあるコードがソースコードに直接注入npm パッケージ攻撃（2024年1月）：GitHubに悪意のあるパッケージがアップロードCrowdStrike障害（2024年7月）：世界規模のITサービス停止 2.4 クラウドセキュリティインシデント 2024年のクラウド関連セキュリティインシデントでは、60％以上の組織がパブリッククラウド利用に関連するセキュリティ事案を経験した。主要な脅威は以下の通りである： Snowflake攻撃：複数の顧客データベースが侵害設定ミス：33％がクラウドデータ漏洩の原因環境侵入攻撃：27％を占めるクリプトマイニング：23％の攻撃が仮想通貨採掘目的 2.5 IoTデバイス攻撃の増加 SonicWallの「2025年サイバー脅威レポート」によると、IoT攻撃は2024年に124％増加した。特に以下の脆弱性が悪用されている：脆弱性タイプ構成比主な影響バッファオーバーフロー28.25％システム制御の乗っ取りサービス拒否攻撃27.20％サービス停止古いファームウェア-既知脆弱性の悪用 3. 注目すべき特定事例分析 3.1 国内主要インシデント 3.1.1 大手メディアグループへのランサムウェア攻撃 2024年6月、大手メディアグループがデータセンター内サーバーへの大規模なサイバー攻撃を受けた。この攻撃により255,241人分の個人情報が外部漏洩し、動画サイトの一時的なサービス停止や売上・利益の下方修正を余儀なくされた。 3.1.2 大手鉄道グループモバイルシステム障害 2024年5月、大手鉄道グループがサイバー攻撃を受け、関連モバイルサービスが一時的に使用不可となった。交通インフラへの攻撃として社会的影響が大きな事例となった。 3.1.3 国内大手インフラグループ顧客情報漏洩大手インフラ子会社のネットワークへの不正アクセスにより、416万人分の顧客情報が漏洩した2024年最大規模の個人情報流出事案。連鎖的に京葉ガスも81万人分の顧客情報漏洩を公表した。 3.2 国際的な重大インシデント 3.2.1 Change Healthcare ランサムウェア攻撃米国最大級の医療決済処理業者であるChange Healthcareが攻撃を受け、米国の医療システム全体に深刻な影響を与えた。約3分の1の米国人の個人健康情報が影響を受けたとされる。 3.2.2 CrowdStrike障害によるグローバルIT障害 2024年7月19日、CrowdStrikeのセキュリティソフトウェアアップデートの不具合により、世界中で大規模なシステム障害が発生。航空、金融、医療、放送などの重要インフラが影響を受けた。 4. 新興脅威と技術トレンド 4.1 生成AI悪用の脅威 2024年は生成AIの悪用が本格化した年である。以下のような新たな脅威が確認されている：自動化されたフィッシング攻撃：大規模かつ個人化されたフィッシングメールの生成ディープフェイク詐欺：音声・映像偽造による振り込め詐欺の高度化マルウェア自動生成：専門知識なしでの不正プログラム作成偽情報の大量生成：災害時等における偽の救助情報の拡散 4.2 フィッシング攻撃の進化フィッシング対策協議会のデータによると、2024年のフィッシング報告件数は171万8,036件に達し、前年比約52万件（44％）増加した。特に注目すべき進化として以下が挙げられる：リアルタイム型フィッシング：被害者の入力情報をリアルタイムで正規サイトに中継AI生成コンテンツ：より自然で説得力のあるフィッシングメールボイスフィッシング（Vishing）：AI音声合成技術を活用した電話詐欺 4.3 暗号資産を悪用した犯罪の高度化 2024年は暗号資産を利用したマネーローンダリングが一層高度化した。特に匿名性の高い暗号資産「モネロ」への交換による資金洗浄が増加している。北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」による暗号資産関連事業者からの窃取も確認されている。 5. 脅威対策と推奨事項 5.1 組織に求められる優先対策 5.1.1 アカウントセキュリティの強化多要素認証の導入：特にクラウドサービスアカウントアカウント監視：異常なログイン試行の検知定期的なアクセス権見直し：最小権限の原則の徹底 5.1.2 VPNセキュリティの徹底ファームウェア最新化：定期的なセキュリティアップデート設定の見直し：不要なアカウント・サービスの削除多要素認証導入：VPNアクセスの二要素認証 5.1.3 サプライチェーンリスク管理委託先セキュリティ監査：定期的なリスク評価最小権限アクセス：委託先への情報提供の最小化契約条項の強化：セキュリティ要件の明確化代替委託先の確保：リスク分散とBCP策定 5.2 業種別対策指針 5.2.1 製造業 IoTデバイスのセキュリティ強化OT（Operational Technology）システムの分離サプライチェーン全体のセキュリティ標準化 5.2.2 金融業リアルタイム不正検知システムの導入顧客情報の暗号化強化ボイスフィッシング対策の徹底 5.2.3 自治体・教育機関職員のセキュリティ教育強化レガシーシステムの刷新バックアップシステムの冗長化 5.3 新興脅威への対応 5.3.1 AI脅威対策 AI検知システムの導入：ディープフェイク検出技術従業員教育の強化：AI悪用手口の認識向上多層防御の構築：技術的対策と人的対策の組み合わせ 5.3.2 ゼロトラスト原則の採用継続的認証：アクセス毎の身元確認ネットワーク分離：マイクロセグメンテーション行動分析：異常な行動パターンの検出 6. 今後の展望と課題 6.1 2025年以降の脅威予測 2025年に向けて、以下の脅威の拡大が予想される： AI技術の悪用拡大：より高度で自動化された攻撃量子コンピューティング脅威：暗号化技術への挑戦6G通信への移行リスク：新技術導入に伴う脆弱性メタバース空間の脅威：仮想空間における新たなリスク 6.2 日本のサイバーセキュリティ政策 2024年5月、日本は「アクティブサイバー防衛法」を成立させ、より積極的なサイバー防衛への転換を図っている。また、警察庁はサイバー特別捜査部を設置し、国際共同捜査体制を強化している。 6.3 国際協力の重要性サイバー犯罪の国境を越えた性質を踏まえ、国際的な協力体制の構築が不可欠である。ランサムウェアグループ「Phobos」の摘発では、日本、米国、EUROPOLの連携が成果を上げた。 7. 結論 2024年のサイバーセキュリティ環境は、従来の防御中心のアプローチでは対応困難な複雑性を増している。特にサプライチェーン攻撃による二次被害の拡大は、組織間の相互依存性が生み出す新たなリスクを浮き彫りにしている。今後求められるのは、技術的対策の高度化だけでなく、組織文化の変革、人材育成の強化、そして業界を越えた協力体制の構築である。AI技術の発達は攻撃者と防御者の双方に新たな可能性をもたらしており、この技術革新の波を適切に活用できるかが、組織のサイバーレジリエンス向上の鍵となる。サイバーセキュリティは、もはや技術部門だけの課題ではなく、経営戦略の中核に位置づけられるべき重要な要素である。2025年以降、この認識を共有し、継続的な投資と改善を行う組織のみが、激化するサイバー脅威に対抗し得るであろう。参考資料：• 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」• トレンドマイクロ「2024年年間セキュリティインシデントを振り返る」• 東京商工リサーチ「2024年上場企業の個人情報漏えい・紛失事故調査」• サイバーセキュリティクラウド「企業のセキュリティインシデントに関する調査レポート2024」• フィッシング対策協議会「フィッシングレポート2024」• Google Threat Intelligence「2024年ゼロデイレポート」監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact