昨今、ヘルスケアおよびライフサイエンス(HCLS)業界に新たなリスクが浮上しています。規制コンプライアンスや高度化するサイバー脅威等の課題に対応するため、最高リスク管理責任者(CRO)は、リスクとビジネス各々の目標を整合させるための強力なコンプライアンス文化の構築に取り組んでいます。
KPMGでは、企業が現在直面しているリスクマネジメントに関する課題についてより深い洞察を得るために、グローバル規模で「最高リスク管理責任者(CRO)調査」を実施し、2024年5月にKPMG米国より発表しました。この調査結果からは、リスク回避、成長または戦略的変化、コンプライアンスリスクへの対策、リスク管理における有効性と効率性、包括的コスト削減、といったリスク変革を推進する5つの複合的なドライバーにおいて、企業が現在および将来のリスク課題、機会、優先事項にどのように対処しているかが示されています。
グローバルレポートでは、HCLSセクターが特に直面している課題を特定するために、「リスク回避」「成長または戦略的変化」「コンプライアンスリスクへの備え」「リスク管理における有効性と効率性」「包括的なコスト削減」の5つの複合的なドライバーについて、米国82社のHCLS業界の企業・組織のリスク責任者から得た回答を集計し、KPMGのリスクアドバイザリーパートナーの分析と視点を交え、グローバル全体でのKey Findingsと推奨すべき事項をまとめています。
本稿では、グローバル調査の結果を基に、日本国内のライフサイエンス業界に今後求められるリスク対応とその管理について、5つの複合的なドライバー別に考察します。
【図表1:リスク管理における5つの複合的なドライバー】
出所:「最高リスク管理責任者(CRO)調査」(KPMG)
| 1 | リスク回避 | 組織がリスクの露出を減らし、予測される市場状況に備えるための取組み |
| 2 | 成長または戦略的変化 | 組織の有機的または無機的成長、製品・サービス・配信チャネルの変更、およびその他の大規模な戦略的イニシアチブ |
| 3 | コンプライアンスリスクへの備え | 新規または新興の規制要件、既存要件への非遵守、または監督機関との関係を強化する必要性 |
| 4 | リスク管理における有効性と効率性 | リスク管理の要件や成果物の質、一貫性・拡張性・信頼性の向上 |
| 5 | 包括的なコスト削減 | ガバナンス、維持管理、監督およびリスク要件と実践の実行に伴うコストの包括的コスト削減 |
ドライバー1:リスク回避
HCLS企業は今後数年で最も重要なリスクとして規制課題を挙げており、これは業務運営やビジネス慣行に影響を与えるような変化が起こるとの予測を示唆しています。この傾向は、非常に速いペースで変化する規制環境や、生成AIの急速な普及とその影響、さらにそれが企業のビジネスの在り方全体に与える影響と密接に関係しています。
また、サイバーセキュリティの脅威も主要なリスクと見なされています。医療機関が以前からランサムウェアを含むサイバー攻撃の標的となってきたこと、そして攻撃者の手口が高度化していることを踏まえれば、当然だと言えるでしょう。さらに、HCLS企業は膨大な健康情報を取り扱っており、その情報漏洩を防ぎ、電子化された医療情報に関するプライバシー保護・セキュリティ確保に関する米国の法律であるHIPAAの基準を満たすためには、その保護に莫大なコストがかかります。
サブセクター別にみると、ヘルスケア(HC)とライフサイエンス(LS)の企業・組織の回答者は、それぞれの組織が将来的に直面し得る長期的な課題について、異なる認識を持っていることがわかりました。LSの回答者の60%が将来的な規制の課題を懸念しており、HCの30%に比べて大きな差があります。
【図表2:今後2~5年以内に組織が直面する主な課題】
出所:「最高リスク管理責任者(CRO)調査」(KPMG)
日本国内のHCLS業界の動向
国内においても規制問題は急務であり、特に医療機器、薬機法改正に伴うサイバーセキュリティ対策が整っていないとグローバルに上市できない状況です。しかしながら、資金力の差が要因となり、国内企業は欧米と比較して十分に対策できていないケースが散見されます。特にグローバル規制への対応では、大手LS企業を除きノウハウを持った人材の不足、日本での情報収集の限界、グローバルガバナンス態勢の不足、グローバルコミュニケーションの人材不足などが原因となり、対応に苦慮しています。
サイバーセキュリティの脅威は国内でも広がっています。技術革新によって数年前に言語によるファイヤーウォールがなくなったことをきっかけに、日本企業が攻撃されるようになりました。また、攻撃者もAIを使用することから、国内企業におけるリスク対応への要請が高まっています。実際に病院で電子カルテが止まるなどの被害が発生しサイバーセキュリティ対策が求められている一方で、対策に要する資金と人材が不足しているのが現状です。
HC業界では、海外と比較すると医療専門職に対するIT人材の人件費が低く見積もられ、その重要性が正しく認識されていません。そのため、サイバーセキュリティに対する投資ができていない病院が少なくありません。また、病院経営においては情報セキュリティへの投資が直接的には集患につながらず十分な予算が取れないことから、問題の解消に向けた足並みが揃っていない状況が続いています。
海外と比較すると、(1)資金力の差(海外では自由診療で利益を上げている)、(2)個人情報に対する消費者意識の差(米国では情報漏洩による集団訴訟がある)、(3)規制の厳重度の差(欧州では最重要情報として位置付けられているため、問題が起こると対策が強制執行される)という3つの差異が、国内の対応が進まない傾向に結び付いていると言えます。
ドライバー2:成長または戦略的変化
【図表3:今後2~5年間でリスク目標とビジネス目標を調和させるための主な戦略】
出所:「最高リスク管理責任者(CRO)調査」(KPMG)
LS企業では、より多くの回答者(62%)が、「従業員にトレーニングとリソースを提供するリスク管理と企業戦略」を、両者の連携手段として挙げています。
HCLS業界のCROたちは、今後に向けて、リスクマネジメント活動を強化する方法を模索していくことになるでしょう。全体として、回答者は「新たなリスクやトレンドの分析」(46%)を最優先事項とし、「リスクの特定と評価」(41%)を続く優先課題に挙げ、新たなリスクを効果的に把握し対応する力の強化を図っています。
LSサブセクターでは、52%の回答者が、リスクマネジメント活動の最優先事項として、「進行リスクおよびトレンドの分析」を挙げています。HCサブセクターでもこのテーマは優先事項ではありますが、回答者の割合は40%とやや低くなっています。 また、「リスクの特定と評価」は、LSサブセクター回答者の50%が優先課題とする一方で、HCで同様に考える者の割合は33%に留まりました。
リスクマネジメントの取組みを成功させるためには、経営層の支持が不可欠です。全回答者の大多数(84%)が経営層から強力な支持を得ていると答えています。サブセクター別に見てもHCの回答者の73%、LSの回答者の95%が経営層からの強力な支持があると答えています。 経営層からの支持が「少ない」または「中程度」と答えた回答者のうち、13人中9人が、リスクマネジメントを経営戦略と調和させるために、経営層からのより強い後押しを望んでいました。
日本国内のHCLS業界の動向
サイバーセキュリティやリスクに対応するための支援として、経営層のトレーニングが注目を集めています。KPMGでは、ランサムウェアへの対応を経営層に考えさせる機会を事前に提供し、リスクに備える支援を行っています。経営者による意識の引き上げや内部からのセキュリティ改定ニーズに関する要請は増加しており、国内においてもリスクとコンプライアンスの文化を強化する企業戦略の重要性が認識されています。
ドライバー3:コンプライアンスリスクへの備え
HCLS業界のCROの45%が、今後予測される最大の課題として、「規制対応やコンプライアンス上の課題」を挙げています。この傾向はLSサブセクターではさらに高いものの(60%)、HCの回答者にとってはそれほど大きな課題として認識されてはいないようです(30%)。
HCLS業界のCROはまた、リスク部門に最も大きなプレッシャーや期待を与えているのは「規制当局/政府機関」であると述べており、38%の回答者がこれを挙げています。この傾向はLSの回答者により顕著で、48%が「規制当局/政府機関」を主なプレッシャー要因として挙げています。しかし、HCの回答者は、「業界の同業者/競合他社」(25%)が、「規制当局/政府機関」(28%)とほぼ同じ程度にプレッシャーの要因となっているとしています(図表4参照)。
【図表4:リスク対応機能に対するプレッシャーと高まる期待の主な要因】
出所:「最高リスク管理責任者(CRO)調査」(KPMG)
日本国内のHCLS業界の動向
国内では、同業他社の取組みがリスク管理に関するプレッシャーの要因になっている傾向が強く見られ、今後インシデントが発生した場合には、より規則への準拠やサイバーセキュリティへの対応におけるプレッシャーが上がると予想されます。
本来であれば、個社が保持する機器・薬剤の重要度に合わせた独自の判断が必要ですが、資金不足を原因として対応できていない企業も見受けられます。また、ステークホルダーや投資家によるプレッシャーも存在するものの、急務ではないことから、変化には一定の時間がかかると見込まれます。
ドライバー4:リスク管理における有効性と効率性
HCLS業界のCROは、(調査時点より)過去12ヵ月間は予算が比較的横ばいだったものの、今後は効率性と品質向上を図るために自部門の予算が増加すると述べています。全体として、回答者の55%が過去12ヵ月間のリスク管理予算が(マイナス5%からプラス5%の範囲で)ほぼ変わらなかったと回答し、39%は5.1%から10%の増加があったと回答しています。
しかし今後については、回答者のほぼ90%が、今後12ヵ月間でリスク管理予算が5%以上増加すると予測しています。サブセクター別で、今後12ヵ月に月間5.1%~10%のリスク管理予算の増加を報告する割合は、HCがLSを上回っていました(65%対45%)。
CROが資金を投じている分野としては、技術関連が一貫して最優先されています。「テクノロジー主導のリスク管理」に次いで「情報技術とセキュリティ」が重視されており、これらは今後も引き続き重要な分野となる見込みです(図表5参照)。
【図表5:現在および将来のリスク管理予算の配分】
出所:「最高リスク管理責任者(CRO)調査」(KPMG)
HCLS業界の回答者にとって、現在の予算配分における「運用リスク評価とプロセスの改善」と「情報技術およびセキュリティ」の重要性は同等とされています。しかしながら、今後はITインフラとセキュリティがより重要になると見込まれます。LSサブセクターでは、現在は「業務リスク評価とプロセスの改善」が最も多く予算を割り当てられていますが、今後12ヵ月間では、「テクノロジー主導のリスク管理」と同等の比重になると予想されます。
日本国内のHCLS業界の動向
国内においても、技術革新とともに対応すべきリスクの種類が増えていることから、リスク低減のための投資が続いており、企業のリスク対策予算は年々上昇傾向にあります。特に製造現場のセキュリティは、工場に機器・機材・システムを設置するタイミングで検討する必要があり、既存機器・機材の大掛かりな変更を伴う可能性もあるため、投資は高額となります。そして新しい機器・機材・システムの運用に伴い、前述したように、改めてヒューマンファイヤーウォール(トレーニングによる対策)が見直されています。
ドライバー5:包括的なコスト削減
【図表6:リスクマネジメント戦略を強化するためにアウトソーシングが検討される分野】
出所:「最高リスク管理責任者(CRO)調査」(KPMG)
HCLS業界のCROは、リスク機能の最適な組織体制や、役割と責任の割り振りについて、継続的に改善を図っています。全体として、HCLSリスク管理における役割と責任の29%は、専任の集中リスク管理部門が担っており、規制で定義された「3つのディフェンスライン」が次に続きます。
しかしながら、リスク管理体制の構築に関するアプローチは、サブセクター間で意見が異なります。HCでは35%が集中型のリスク管理体制を採用している一方、LSの回答者の33%は規制で定義された「3つのディフェンスライン」を採用しています。
日本国内のHCLS業界の動向
国内においても総括的なサイバーセキュリティへの対策を目指したガバナンス態勢構築のサポートは注目度が上がり、KPMGでもサービス提供を行っています。 お気軽にお問い合わせください。
※本稿は、KPMG米国が2024年に発表した「Chief Risk Officer Survey」を翻訳・要約し、日本の見解を加筆したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
