01　取引において考慮すべきリスク

テクノロジーの高度化やグローバル化の進展によって、企業活動における外部委託先をはじめとする第三者／サードパーティ（以下「取引先」という）との取引が急拡大しています。

一方で、反社会的勢力（以下「反社」と略す）との関係性をはじめ、マネーロンダリング、制裁、贈収賄、人権問題に至るまで、取引先に対して、より多面的にリスクの精査が求められるようになっています。

こうした背景から、国内外の規制当局による取引先のリスクの監視はますます厳格化しています。いまや取引先によってもたらされるリスクの適切な管理は重大な経営課題であり、企業が背負うべき社会的責任といえるでしょう。

取引先によってもたらされるリスクには、以下のようなものがあります。

規制・コンプライアンスリスク

当該企業が、暴力団排除条例や贈収賄規制をはじめとする法規制や、近年関心が高まっている人権コンプライアンスに抵触しているリスクがあります。

2026年現在では、EUのAI法や各国の経済安全保障法に基づく輸出入制限など、国際的なルールへの準拠状況も重要な確認ポイントです。

レピュテーションリスク

当該企業やブランドに対する社会的な評価・評判がネガティブなものであった場合、取引を行うことで自社の企業イメージまで下げてしまうリスクがあります。

特に、SNS上の炎上がサプライチェーン全体に拡散する「連座リスク」への対策が重要性を増しています。

セキュリティリスク

当該企業の情報セキュリティに対するリテラシーが欠如していたり、内部管理体制が構築されていなかったりする場合、情報漏えいなどを招くリスクがあります。

近年では、取引先を経由して侵入する「サプライチェーン攻撃」が高度化しており、AIなどの新技術の管理状況も重要な評価対象です。

事業継続リスク

災害やパンデミックなどの不測の事態が起きた場合、当該企業に十分な対策がなければ業績の著しい悪化によって事業の継続または早期復旧が困難になるリスクがあります。

特定地域や特定企業への依存度が高い場合、代替手段の有無や復旧体制の整備状況が重要な評価ポイントとなるでしょう。

オペレーショナルリスク

当該企業の内部管理体制が機能していない場合、通常業務において重大な損失につながるミスや事故、不正行為などが起こるリスクもあります。

こうした取引先に起因するリスクを低減・回避するため、第三者（取引先）管理において、取引先に対するリスクの精査が行われます。

デジタル・ガバナンスリスク

取引先が生成AIや独自アルゴリズムを業務に活用している場合、著作権侵害やバイアスのある意思決定、データの不正利用といったリスクが発生する可能性があります。

取引先の適切なAI利用ポリシーや管理体制の有無を確認することが重要です。

サステナビリティ・人権リスク

「人権デューデリジェンス」の制度化が進む中、強制労働や児童労働への関与の有無など、サプライチェーン全体を対象とした調査が求められています。

これらへの対応を怠ることは、グローバル市場からの排除につながる重大なリスクとなります。

また、人的資本経営の観点から、不適切な労務管理や過重労働の問題を抱える企業との取引は、自社のガバナンス上のリスクともなり得るでしょう。

02　リスク特定・低減のためのデューデリジェンス

取引先管理においては、一般的にサードパーティリスクマネジメント（TPRM）と呼ばれるフレームワークを用いてリスク管理が行われます。この枠組みにおいてデューデリジェンス（DD）は、取引先の分類、リスクの特定、評価、そして継続的な監視を行うための中核的なプロセスとして位置付けられています。

TPRMの中核をなすデューデリジェンスの役割

取引先に対するデューデリジェンスの役割は、これから取引を開始しようとする新規取引先、あるいは既に取引関係にある既存取引先について、規制違反やコンプライアンス上の問題がないかを客観的に評価することにあります。具体的には汚職や贈収賄への関与、経済制裁対象者との関係、反社との繋がりといった企業の存続を揺るがしかねない重大なリスクの有無を客観的に評価し、特定することにあります。

一般的に「デューデリジェンス」という言葉からは、M&Aなどの大きな経営判断の際に行われる、膨大なリソースと時間を要するスポット的な調査が連想されがちです。しかし、TPRMにおけるデューデリジェンスは、契約時や契約更新時などに定常的に組み込まれるプロセスである点が大きな特徴です。単なる事務的な手続きではなく、取引先が自社のコンプライアンス基準を満たし続けているかを定期的に検証することで、持続可能なサプライチェーンの構築を支える基盤となります。

スポット型DDと定常型DDの違い

2026年現在では、年1回の更新時だけでなく、外部環境の急変に即応するため、AIを活用した「継続的な自動スクリーニング」が導入されつつあります。

スポット型DDと定常型DD（継続的DD）の決定的な違いは、時間軸とリスク検知の即時性です。

従来の年1回程度の定期更新（スポット型）だけでは、激変する地政学リスクやAI規制、サイバー脅威に到底対応しきれないという認識が定着しています。

スポット型DDは、契約締結時や数年ごとの更新時に「その瞬間」の健全性を切り取る調査です。

これに対して定常型DDは、AIを活用した継続的な自動スクリーニングを導入することで、取引期間中すべてのフェーズを監視対象とします。

リソースを最適化するリスクベース・アプローチの重要性

すべての取引先を一律に扱うのではなく、所在国、事業内容、契約金額、過去の不祥事履歴などの属性に基づき、リスクの多寡に応じて調査の深度を変える考え方を「リスクベース・アプローチ」と呼びます。これにより、限られたリソースをもっとも警戒すべき対象に集中させることが可能になります。

リスクレベルに応じた具体的な調査手法の使い分け

リスクが低い取引先には、社内情報や公知情報を使った簡略的なDDが認められます。

その分、リソースを高リスク先に集中することが可能です。

高リスク先に対しては、質問票の送付や現地訪問、さらには実質的支配者（UBO）の特定や、複雑な資本関係の背後に潜む「経済安全保障上の懸念」まで深掘りした調査を行います。

経済安全保障に関連するデューデリジェンス

米国制裁法の「OFAC 50％ルール」のように、直接のリスト掲載者だけでなく、制裁対象者が実効支配（合計50％以上の所有）する企業も制限の対象となります。2026年現在は、複雑な多層出資構造やフロント企業の背後に隠れた、真の支配者を特定することが強く求められています。不透明な資金の流れを追跡し、経済安全保障上の懸念を払拭することが、グローバル企業の責任となっています。

特に、機密性の高い軍民両用技術や重要データが、制裁対象国や輸出制限リストに掲載されている組織へ流出するルートが存在しないかについて、サプライチェーンの深層まで遡って調査する必要があります。

これには、取引先が保有する特許の移転状況や、過去の技術提携先のバックグラウンドチェックが含まれます。

デジタル・サプライチェーンDDの拡充

ソフトウェア供給網のリスクや、取引先が利用するクラウドサービスの安全性を評価するデジタルDDも重要です。

2026年の商取引では、相手企業のサイバーレジリエンスを客観的なスコアリングデータに基づき評価する取り組みが進んでいます。

意思決定を支えるデータドリブンな評価指標の活用

主観的な判断を排除するため、外部ソリューションが提供するリスクスコアやESG評価、コンプライアンス指数などの客観的データを意思決定の軸に据える企業が増えています。

これにより、迅速かつ説明責任を果たしやすい高度な経営判断が可能になります。

03　デューデリジェンスの精度を高めるために

取引先に対するデューデリジェンスのプロセスにおいては、社内関係部署から情報収集を行ったり、取引先への質問票の送付を行ったりするなど、いくつかのアプローチがあります。膨大な数の取引先を管理する中で、デューデリジェンスの実効性を高めるためには、公知情報の活用が重要となります。

公的情報の活用と信頼性の担保

公知情報は、公的機関が発行する規制リストをはじめ、メディア情報、規制当局や企業のホームページ、インターネット上の風評情報など多岐にわたります。

より信頼性の高い一次情報を活用することで、情報の正確性を確認する手間が省け、効率的な調査が可能といえます。

DDにおいては、公的機関の規制リストやメディア情報などの「公知情報」が一次ソースとなります。贈収賄規制の観点では、公知情報を活用して取引先の経歴や外国公務員との関係を確認します。また、人権DDの文脈では、NGOレポートやニュースから強制労働の疑義をスクリーニングし、懸念がある場合には契約条件の見直しや改善勧告を行います。

2026年現在、AIによるディープフェイクや偽情報の拡散がリスクとなっているため、信頼性の高い一次ソースを活用し、情報の正確性をクロスチェックすることが、DDの効率化には重要です。

現地の公的情報を参照

米国制裁法の観点では、取引先自体が制裁対象となっていないかどうかだけでなく、制裁対象者によって実効支配されていないかどうかも確認します。

これは「OFAC50％ルール」と呼ばれる規則で、制裁対象者によって合計50％以上所有される企業は、米国制裁法上の対象となります。

直接的な制裁対象者であれば、制裁リストに対するスクリーニングによって調査可能です。しかし、OFAC50％ルールの対象企業は、当局からの公表がないため、一般的には公知情報を使って調査を行うことになります。

ただ、こうした対象企業を調査する場合、現地語での調査が必要であったり、OFACの規制要件を正確に理解した上で、複雑な出資構造を読み解く必要もあるため、自社での調査が非常に難しいのが現実です。

そのため、公知情報をもとに構築された外部データベースの活用も有効な手段といえます。

効率的な進め方の重要性

上記の例以外にも、環境規制やプライバシー規制など、自社だけでなく、取引先も含めた対応を求められる法規制が増えています。

そのため、取引先に対しては、より多面的にデューデリジェンスを行う必要がありますが、自社のビジネスに関係するすべての取引先に対して、重点的にデューデリジェンスを行うことは現実的ではありません。

公知情報や外部データベース、スコアリングツールをうまく活用しながら、リスクベース・アプローチに基づき、取引先のリスクを判断し、リスクの高い先に対して重点的にデューデリジェンスを行うといった効率的なアプローチが、今後ますます重要になってくるといえるでしょう。

人権コンプライアンスとサプライチェーン調査

欧州のCSDDD（企業持続可能性DD指令）などにより、人権DDは努力義務から、法的義務へと移行しました。

2026年現在、企業は自社だけでなく、直接・間接を問わずサプライチェーンの全体において、強制労働や児童労働、不当な低賃金労働といった人権侵害が発生していないかを確認する責任を負っています。これは、サプライチェーン全体の健全化に寄与し、ESG投資の観点からも高く評価される対応です。

現地の公的情報とAI翻訳・解析の活用

制裁対象や支配構造の調査には現地語の官報や登記情報の解読が必要ですが、自社調査には限界があります。現在は、高度なLLM（大規模言語モデル）を搭載した外部データベースを活用し、多言語の複雑な法的文書からリスクパターンを瞬時に抽出することが可能です。AIは人間が判断すべき「重要情報」のみを可視化し、DDの速度と精度を向上させています。

AIを活用した継続的なモニタリング

DDの精度を維持するため、2026年現在はAIによる「動的監視」が標準的な実務です。AIが世界中のニュース、SNS、行政処分、裁判記録、特許情報をリアルタイムでスキャンし、不祥事の兆候を検知した瞬間に担当者へアラートを通知します。これにより、リスクが表面化する前に対策を講じ、サプライチェーンの健全性を永続的に担保できます。

まとめ

2026年現在、デューデリジェンス（DD）を取り巻く環境は大きく変化しています。

かつてのDDは、M&Aや新規取引の直前に行われる形式的な確認作業（チェックボックス・エクササイズ）、あるいは「契約前の儀式」としての側面が強いものでした。

しかし、不確実性が常態化した現代において、DDは企業のレジリエンスと社会的信頼を支える「戦略的なインテリジェンス活動」へと進化しています。

取引先や投資対象によってもたらされるリスクは、もはや財務数値の妥当性や法務的な契約不備といった伝統的な領域にとどまりません。

2026年の最前線では、AIガバナンスの適正性、経済安全保障に基づく供給網の分断リスク、人的資本情報の透明性、そしてサプライチェーン全体を上流まで遡る「人権デューデリジェンス」への対応など、リスクの多様化が進んでいます。

これらの複雑に絡み合ったリスクを放置することは、経済的損失だけでなく、国際市場からの信頼低下やレピュテーションの毀損につながる可能性も少なくありません。

DDの結果、リスクが検知された場合の対応も進化しています。

反社との関与など是正が困難なリスクには回避が原則ですが、管理体制の不備などについては是正措置を提示し、共に改善を目指すリスク低減の考え方が広がっています。即座の切り捨てではなく、共にリスクを低減する姿勢が、ESG投資の観点からも高く評価されます。

迅速かつ正確なデューデリジェンスの実践は、単なる「守りの経費」にとどまらず、持続可能な成長と競争優位性の確保につながる「攻めの投資」といえるでしょう。

リスク管理体制を高度化し、情報の非対称性を解消することで、透明性が高くレジリエンスに優れた経営基盤の構築が可能です。

デューデリジェンスに関するよくある質問（FAQ）

Q1：デューデリジェンス（DD）とは具体的に何を調査することですか？

M&Aや新規取引の前に、対象企業の財務状況、法的リスク（契約・訴訟等）、事業の将来性、コンプライアンス遵守状況、ITセキュリティなどを多角的に評価することを指します。

近年はESG（環境・社会・ガバナンス）や、実質的支配者（UBO）の特定も重要な調査項目となっています。

Q2：取引先DDにおいて「リスクベース・アプローチ」が推奨される理由は何ですか？

すべての取引先に対して一律に深い調査を行うことは、時間的・コスト的に現実的ではないためです。

取引規模や重要度、所在国の地政学リスクなどに応じて調査の「深度」を変えることで、高リスクな案件に専門家のリソースを集中させ、実効性の高いリスク管理が可能になります

Q3：2026年現在のデューデリジェンスで注意すべき最新リスクは何ですか？

特に、人権デューデリジェンスの制度化への対応と、取引先を経由したサイバー攻撃（サプライチェーン攻撃）への対策です。

また、生成AIの不適切な利用による著作権侵害やデータ流出といった「デジタル・ガバナンスリスク」も、新たな精査対象として浮上しています。

Q4：公知情報だけでデューデリジェンスは十分ですか？

一次スクリーニングとしては有効ですが、高リスクな案件では不十分な場合があります。

公的リストやメディア情報に加え、複雑な資本関係をひも解く専門データベースの活用や、対象先への質問票、必要に応じた現地訪問など、多層的なアプローチを組み合わせることが精度向上の鍵となります。

Q5：DDの結果、リスクが検知された場合の対応はどうすればよいですか？

デューデリジェンスによって何らかのリスクが検知された場合、その深刻度とビジネスへの影響度を天秤にかけ、戦略的な意思決定を下す必要があります。

一般的には「回避」「軽減」「移転」「保有」の4つの選択肢から最適な対応を選択しますが、2026年の実務においては、単なるリスクの切り捨てにとどまらない「高度な管理手法」が重視されています。

まず、反社との関与や重大な法令違反など、是正が困難なリスクに対しては「回避（取引中止・契約見送り）」が原則です。

一方で、管理体制の不備や軽微な環境規制違反などの場合は、是正措置を提示し、取引先と共に改善を目指すエンゲージメントが重視されています。