「人権リスク」その２：人権デューディリジェンスとは人権リスクマネジメントのPDCAサイクルのこと

要約
本文：人権デューディリジェンスとは
まとめ：人権デューディリジェンスとは

要約

企業活動における人権リスクマネジメントの全体像、その中の人権デューディリジェンスのプロセス、人権リスク評価の手法について解説します。人権デューディリジェンスは、自社や取引先などにおける人権リスクを特定し、防止・軽減し、取り組みの実効性を評価し、その結果を説明するという一連のプロセスです。

本文：人権デューディリジェンスとは

リスクの対象が財産・健康・環境に加えて人権などに広がりを見せており、世の中で人権を軽視した場合の悪影響が大きくなっています。前回の記事では、人権侵害の内訳とその経年変化のデータを示しながら、なぜ「人権リスク」に対応する必要があるのか？について解説しました。

「人権リスク」その１：なぜ「人権リスク」に対応する必要があるのか？

リスクの対象が財産・健康・環境に加えて人権などに広がりを見せており、世の中で人権を軽視した場合の悪影響が大きくなっています。人権侵害の内訳とその経年変化のデータを示しながら、なぜ「人権リスク」に対応する必要があるのか？について解説します。

今回は人権リスクその２として、企業活動において人権リスクを評価し、適切に管理するプロセスである「人権デューディリジェンス」について解説を試みます。人権デューディリジェンスとはまたずいぶんと聞きなれない言葉ですね。

人権リスク対応について112の企業から回答を得たアンケートによると、以下のように、人権デューディリジェンスという言葉を聞いたことがないが半数近くで、取り組みは2割未満にとどまるとのことです。これが2022年時点の現状です。

ほぼ全ての企業が自社に人権リスクありと認識するも、取り組みをしている企業は6割にとどまる。リスクの対象は約8割が「ハラスメント」

株式会社月刊総務のプレスリリース（2022年8月9日 11時00分）ほぼ全ての企業が自社に人権リスクありと認識するも、取り組みをしている企業は6割にとどまる。リスクの対象は約8割が「ハラスメント」

・ほぼ全ての企業が自社に人権リスクありと認識。ハラスメントが約8割で最多
・人権リスクに対する取り組みをしているのは約6割。内容は「通報・相談窓口の設置」「人権研修の実施」「各種社内制度の変更・改善」など
・半数近くが「人権デュー・ディリジェンス」という言葉を聞いたことがない
・8割以上が「人権デュー・ディリジェンス」は必要だと回答
・人権リスクに取り組んでいる企業のうち、「人権デュー・ディリジェンス」の実施は2割未満
・人権侵害が発覚した際のガイドラインを定めている企業は2割未満
https://prtimes.jp/main/html/rd/p/000000033.000060066.html

人権デューディリジェンスを実施していない理由は、「実施するためのノウハウがない」、「何をすればよいかわからない」、「実施するための時間がない」などとなっています。ただしそもそも言葉を聞いたこともなければ実施は無理ですね。

企業が積極的にリスクをマネジメントする姿勢がないというのは人権以外のリスクマネジメントにおいても同様です。「早く国のほうで規制を作ってくれ、法令遵守しているから大丈夫というお墨付きが欲しい」という態度なのです。

このような状況の下、最近になって人権デューディリジェンスに取り組むための良い資料が二つ公表されています。

経団連：人権を尊重する経営のためのハンドブック

経団連：企業行動憲章実行の手引き「第4章人権の尊重」の改訂および「人権を尊重する経営のためのハンドブック」の策定 (2021-12-14)

経済産業省：責任あるサプライチェーン等における人権尊重のためのガイドライン

日本政府は「責任あるサプライチェーン等における人権尊重のためのガイドライン」を策定しました（METI/経済産業省）

日本政府は「責任あるサプライチェーン等における人権尊重のためのガイドライン」を策定しました。

本記事ではこの二つの資料をもとに人権デューディリジェンスについて整理していきます。まず人権リスクマネジメントの全体像を示し、その中の人権デューディリジェンスのプロセス、人権リスク評価について解説します。

人権リスクマネジメントの全体像

まず人権リスクマネジメントの基本原則は、2011年に国連人権理事会が採択した「ビジネスと人権に関する指導原則」です。この指導原則の中に人権デューディリジェンスがあります。

ビジネスと人権に関する指導原則：国際連合「保護、尊重及び救済」枠組実施のために（A/HRC/17/31） | 国連広報センター

これをもとに、欧州各国では人権デューディリジェンスの実施を企業に義務付ける国内法を制定しています。日本では2020年に政府がNational Action Planを公表しました（https://www.mofa.go.jp/mofaj/files/100104121.pdf）が、基本的に企業の自主的取り組みとなっています。

人権リスクマネジメントの全体像は、経団連の資料にあった以下の図がわかりやすいと思います。

human-rightDD — 経団連：人権を尊重する経営のためのハンドブック
https://www.keidanren.or.jp/policy/cgcb/2021handbook.pdf

人権リスクマネジメントは
・人権方針の策定
・人権デューディリジェンス
・是正・苦情処理メカニズムの構築
・ステークホルダー・エンゲージメント
の4つから成り立ちます。

さらに人権デューディリジェンスは
・人権リスクの評価
・リスク管理措置の実施
・追跡調査
・情報開示
の4つを繰り返し回していくプロセスになります。

本ブログの過去記事で書きましたが、ISO31000で示されているリスクマネジメントのプロセスとよく似ていることがわかりますね。

リスクマネジメントその４：リスクマネジメント文脈におけるリスク評価のプロセス

リスクマネジメント文脈におけるリスク評価について、リスク学文脈との比較の視点から整理しました。リスクアセスメントはリスク特定（リスクの洗い出し）、リスク分析（リスクの発生確率や影響度の評価）、リスク評価（リスクの判定と優先順位付け）という3つのプロセスにより成り立っています。

人権方針は、企業が人権尊重責任を果たすという約束を内外のステークホルダーに向けて明確に示すものです。

人権デューディリジェンスについては後で詳しく解説します。

人権侵害が明らかになった場合にただちに是正措置をとる必要があります。さらに苦情処理メカニズムを構築することで、リスク要因についての情報を収集でき、未然防止にもつながります。

ステークホルダー・エンゲージメントは、企業とステークホルダーとの対話に加えて、社会的弱者の課題を把握して自立を支援することも含まれます。支援が入っているという部分が、通常のリスクコミュニケーションと異なる点ですね。

通常のリスクマネジメントと同様に、専門に扱う部署を作って丸投げでは成立せず、経営陣のコミットメントが極めて重要です。また、自社だけではなく、取引先などサプライチェーン全体にわたって取り組む必要があることも重要な点です。

人権対応を進めることで、
・新規顧客の開拓
・人材定着率の向上（採用コストの減少）
・生産性の向上
・企業・ブランド価値の向上
などのプラスの影響があり、さらに人権の問題による
・製品・サービスの停止、事業撤退
・顧客との取引停止
・不買運動の発生
・罰金、損害賠償、訴訟によるコスト増加
・人材定着率の低下（採用コストの増加）
・企業・ブランド価値の低下
といったマイナスの影響を減らすことができます。これはまさに経営全体の問題なのです。

人権デューディリジェンスのプロセス

人権デューディリジェンスは、自社やグループ会社、取引先などにおける人権リスクを特定し、防止・軽減し、取り組みの実効性を評価し、その結果を説明するという一連のプロセスです。

また、人権侵害が起こってから対処するのではなく、起こる確率を減らしていく活動（起こりにくい体制作り）とも言えます。今まで起こってないから大丈夫とか、そういうことではないのです。確率をゼロにすることもまた不可能なので、効率的に低減していくことが求められます。

先ほど説明したように、人権デューディリジェンスは以下の4つに分かれています。リスク評価については最も興味があるところなので、さらに後のほうで詳しく解説します。残りの3つについてここで解説していきます。
・人権リスクの評価
・リスク管理措置の実施
・追跡調査
・情報開示

「リスク管理措置の実施」では以下のような取り組みを行います。
１．人権リスクに対処するための責任者や担当部門を明確にする。
２．リスク評価の結果を事業活動に反映させるための手続きなどのしくみを導入する。
３．負の影響の原因となったり助長する活動の停止・軽減に努め、必要に応じて是正措置を実施する。
４．取引先にリスクがある場合は、停止・軽減・是正を求めるなどの影響力を行使する。

「追跡調査」では以下のような取り組みを行います。
１．リスク管理措置の有効性を適切な質的・量的指標に基づいて追跡調査する。
２．追跡調査の結果をもとに、必要があれば事業活動の修正を行う。
３．取引先についても追跡調査を実施し、リスクが軽減されているかを確認する。
４．苦情処理メカニズムによって得られた情報をリスク評価に反映させる。
５．影響を受けた人々を含む、企業内外からのフィードバックを活用する。

「情報開示」では以下のような取り組みを行います。
１．人権デューディリジェンスの方針やプロセス、リスク評価の結果、実施したリスク管理措置などについて、報告書やWEBサイトなどで情報を開示する。
２．人権への負の影響が発生している（発生していた）場合には特に十分な情報を提供する。
３．影響を受けた、もしくはその可能性のある人々の秘密保持に務め、商取引上の秘密保持にも配慮する。

人権リスク評価

最後にリスク評価の進め方について整理します。リスクマネジメントにおけるリスクアセスメントは
・リスク特定
・リスク分析
・リスク評価
の3つのプロセスに分かれます。まず、リスク特定ではリスク要因の洗い出しを行い、リスク分析で各リスク要因について発生確率と発生した際の影響度を評価し、リスク評価で重大なリスクかどうかの判定と取り組みの優先順位付けを行います。

人権デューディリジェンスにおいても基本的には同じ方法でリスク評価を行います。

リスクの特定では、セクターのリスク、製品・サービスのリスク、地域リスク、企業固有のリスクなどの分類を行い、各工程・領域・地域において、人権への負の影響がどのように発生するか（誰がどのような人権について負の影響を受けるか）を洗い出していきます。

洗い出しの方法としては、チェックリスト方式、アンケート方式、ブレインストーミング方式、インタビュー方式、ベントツリー方式、インシデント方式、シミュレーション方式などがあります。以前の記事に詳細を書きましたのでそちらもご参照ください。

リスクマネジメントその４：リスクマネジメント文脈におけるリスク評価のプロセス

リスク分析では、一般的なリスクマネジメントのような発生確率と発生した際の影響度の2軸で評価する方法とは若干異なります。人権リスクの大きさは、
１．人権への負の影響の重大性
２．負の影響の範囲
３．被害者の救済困難度
という3つの軸から判断されます。これも定量的というよりは大、中、小のような定性的な分類でも十分でしょう。

負の影響には3つのケースがあります。
１．Cause: 企業がその活動を通じて直接負の影響を引き起こす場合
２．Contribute: 企業がその活動を通じて直接または他の組織を通じて負の影響を助長する場合
３．Directly linked: その企業は負の影響を引き起こしたり助長したりしていないが、取引関係によって事業・製品・サービスが人権への負の影響に直接関連する場合

Contributeは下請け企業などに無理なスケジュールで納品を要請し、結果として下請けで過剰労働が発生するなどのことです。Directly linkedは生産を委託している外国の企業がこっそりと児童労働をさせているなどのことです。

この時、人権リスク評価で考慮するのはあくまでも被害者視点であり、企業経営に与える負の影響（経営リスク）の大小ではない、とされています。ただし、経営リスクの大小を無視していては実効的なマネジメントにならないので、当然4つ目の軸として経営リスクを評価しておく必要もあると思います。

最後に、リスク分析の結果を用いて、人権リスクに対する措置の優先順位付けを行います。

人権デューディリジェンスにおいて特別な点は、脆弱な立場にあるステークホルダーに注意することです。すなわち、外国人、女性や子ども、障害者、先住民族、民族的・宗教的・言語的少数者、などです。リスク評価のプロセスにおいてもこのようなステークホルダーとの対話が重要とされています。

また、人権をめぐる状況は急速に変化するため、継続的・定期的な評価が必要です。加えて、新規事業の立ち上げ、新規取引先との契約などのタイミングで人権リスクをあらかじめ評価する必要もあります。さらに繰り返しになりますが、自社だけではなくサプライチェーン（川上、川下）の評価も必要です。

まとめ：人権デューディリジェンスとは

人権デューディリジェンスは、自社や取引先などにおける人権リスクを特定し、防止・軽減し、取り組みの実効性を評価し、その結果を説明するという一連のプロセスです。これに人権方針の策定、是正・苦情処理メカニズムの構築、ステークホルダー・エンゲージメントを加えたものが人権リスクマネジメントの全体像になります。

人権リスクその３では、実際の企業における人権リスク比較事例を紹介します。