EUではCSRD(企業サステナビリティ報告指令)とCSDDD(企業デューデリジェンス指令)により、サステナビリティのガバナンスとリスク管理への第三者保証制度が進展しています。CSRDはサステナビリティ情報への限定的保証(将来的に合理的保証へ引き上げ)を義務付け、CSDDDは企業に人権・環境リスクの把握と対処を求め、企業統治への組み込みを促します。日本では法整備が未確定なものの、欧州動向を踏まえ今後企業に求められる保証制度の展望を論じます。
1.CSRDによるサステナビリティ情報への保証義務化
EUの企業サステナビリティ報告指令(CSRD)では、財務報告と同様にサステナビリティ情報にも独立第三者(監査人等)による保証を付与することが義務化されました。これは企業の環境・社会・ガバナンス(ESG)に関する情報開示の信頼性を高め、投資家や社会が比較可能で信頼性の高い情報を入手できるようにする狙いがあります。具体的には、CSRDの適用を受ける企業は適用初年度からサステナビリティ報告に対し限定的保証を第三者から取得する必要があり、将来的には合理的保証へ水準を引き上げる計画となっています。この段階的アプローチにより、まずは限定的保証で外部チェックを導入し、専門家の能力向上や企業の対応力の成熟に応じて最終的に財務監査と同等の保証水準へ高めていく政策方針が示されています。実際、CSRDは財務情報とサステナビリティ情報の統合開示を志向しており、ダブル・マテリアリティの原則と合わせ、外部監査による保証の義務付けを制度の柱に据えています。
オムニバス法案
もっとも、保証水準の将来的引き上げについては企業負担への配慮から見直しの動きもあります。2025年に提案された「オムニバス法案」では、将来的な合理的保証への移行規定を削除し、当面は限定的保証を維持する修正が検討されています。EU理事会もこの改訂案に賛同する姿勢を示しており、今後正式に合意されれば各国で法制化が進む見通しです。しかし第三者保証を義務付ける根幹部分に変更はなく、サステナビリティ情報開示の統合やダブルマテリアリティの原則、および第三者保証の義務付けといった基本方針自体は揺らいでいません。このようにCSRDは欧州企業に対し、ガバナンス体制下での厳格なESG情報開示とその検証を求めるものであり、企業は財務情報と同等にサステナビリティ情報の品質管理に取り組むことが求められています。
2.CSDDDによるESGリスク管理のガバナンス統合
一方の企業デューデリジェンス指令(CSDDD)は、企業の経営プロセスそのものにサステナビリティの視点を織り込む規制動向として重要です。CSDDDは一定規模以上の企業に対し、自社およびバリューチェーン全体で人権侵害や環境破壊といった実際または潜在的なリスクを特定・評価し、防止・軽減する措置を講じ、その情報を開示することを義務付けています。また企業はパリ協定の目標に沿った移行計画を策定し、ビジネスモデルや経営戦略と整合させることも求められています。これにより、企業統治の中にESGリスク管理を組み込むことが制度化され、取締役会を含む経営陣がサステナビリティ上の課題を自らの責任として監督・対応する枠組みが強化されます。実際、EUは2018年のサステナブルファイナンス行動計画において既に企業の取締役会にデューデリジェンス実施を含むサステナビリティ戦略の策定・開示責任を明確化しており、CSDDDはそれを法的義務として推し進めるものです。
ガバナンス保証
CSDDD自体はCSRDのような監査保証業務の規定こそありませんが、企業が開示するデューデリジェンスの内容はサステナビリティ報告の一部としてCSRDの枠組みで保証の対象となる可能性があります。すなわち、企業が「人権・環境リスクをどのように管理しているか」「取締役会がどのように関与しているか」といった情報も、サステナビリティ報告書に含められれば外部保証のプロセスで検証されることになります。さらに、サプライヤーにおける人権監査や環境認証など、バリューチェーン上で第三者の検証を受ける仕組みを構築することもリスク低減策として求められるでしょう。以上のようにCSRDとCSDDDは相補的に機能し、前者が開示情報の信頼性担保を、後者が企業行動そのものの適正化(ガバナンス強化)を狙いとしている点で、欧州ではESGに関する「内部統治」と「外部監査」の両輪が整備されつつあります。
3.限定的保証と合理的保証の違い
限定的保証と合理的保証は、第三者保証業務における保証レベルの違いを指します。これは「保証なし」から「絶対的保証」までの中間段階に位置づけられる概念で、それぞれ保証範囲の広さと検証深度に差異があります。端的に言えば、合理的保証の方が限定的保証よりも保証業務の範囲が広く、検証の深度も深いため、保証提供者が重要な虚偽記載を見落とすリスク(監査リスク)がより低く抑えられます。限定的保証では主に「特に問題が認められなかった」という否定的形式の結論が提示されるのに対し、合理的保証では「適正に作成されている」という肯定的結論が提供され、財務諸表監査に近い保証水準を意味します。
CSRDでの限定的保証
CSRDでも当初は限定的保証に留め、ゆくゆくは合理的保証へ高める方針が示されていました。この背景には、サステナビリティ情報の保証に関する現状の限界があります。気候変動リスクやサプライチェーンのデータなど非財務情報は、財務情報と比べ基準の整備やデータ信頼性の確保が発展途上です。まずは限定的保証で基本的な信ぴょう性確認を行い、企業側の内部統制整備や監査人の専門性向上を経て合理的保証へ段階的に引き上げることが現実的と判断されました。実際、欧州の専門家も「監査人がすべてのESGデータやプロセスを一から十まですべてチェックするのは不可能」であり、合理的保証に移行するには企業内のシステムやプロセス自体の高度化が必要と指摘しています。このように保証水準の違いは、単に監査手続きの量の差ではなく、企業のデータ管理体制や基準の成熟度とも深く関わっています。
ISSA5000
なお、国際的にもサステナビリティ保証の基盤整備が進んでおり、国際監査・保証基準審議会(IAASB)は2024年11月に「ISSA 5000」という包括的な保証基準を公表しました。ISSA 5000は限定的保証と合理的保証の双方について手続や原則を定めており、ISSB、欧州のESRS、さらには日本のSSBJ基準など各種サステナビリティ報告フレームワークに適用可能な国際基準となっています。これにより、保証業務の質の一貫性向上と国際比較可能性が高まることが期待されます。将来的に企業は、いずれの基準で開示する場合でもこうした国際基準に則った保証を受けることが標準化するとみられ、限定的保証から合理的保証へのステップアップも各国で足並みを揃えて進む可能性があります。
4.第三者保証による信頼性確保策と課題
サステナビリティ情報の第三者保証を制度化する目的は、企業開示の信頼性・透明性を高めることにあります。第三者による客観的・公正な検証が付与されることで、例えば企業が公表する温室効果ガス排出量や多様性に関するKPIが実質的に正確で基準に適合していることが裏付けられます。その結果、企業の情報に対する信頼度が向上し、投資家や取引先からの信用力強化によって企業価値の向上にもつながります。さらに、保証人によるチェックを受ける過程で企業内部の課題が浮き彫りになり、改善の指針が得られる副次的なメリットも指摘されています。このように第三者保証の導入は、単なる外部監査の追加コストではなく、グリーンウォッシング(見せかけだけの環境配慮)への懸念払拭や社内の体制強化という観点から企業に有益な取り組みと捉えられています。
保証に向けた準備
信頼性確保のためには、保証を受ける企業側の準備も重要です。保証業務の対象には、単に開示された数値データだけでなく、その算定プロセスや内部統制、報告システム自体も含まれます。したがって、保証人が十分な検証を行うためには企業内部のデータ管理プロセスや統制機能が整備されていることが前提となります。欧州の専門家は「監査人がすべてのプロセスやデータを一から十まですべてチェックするのは不可能」であり、合理的保証に進むには企業の内部統制の高度化と取締役会による監督の充実が不可欠と指摘しています。つまり、外部保証の効果を最大化するには、企業自身がガバナンス体制やリスク管理プロセスを強化し、データの正確性・網羅性・追跡可能性を高めておく必要があるのです。
合理的保証に向けた課題
また、保証水準を引き上げていく中ではいくつかの課題も予想されます。合理的保証へのステップアップは、保証人によるより包括的かつ詳細な検証を意味しますが、そのためには企業は膨大なESGデータの透明性と一貫性を確保しなければなりません。例えばGHG排出量に合理的保証を付与しようとすれば、単一企業内だけでなくサプライチェーン全体でデータを連携・集約できる体制や、排出量算定の標準化された方法論の確立が必要となります。業界横断でのデータプラットフォーム構築、中小企業も巻き込んだ情報開示の底上げなど、個社の努力だけでなく社会全体で取り組むべき課題が山積しています。さらに、保証業務を担う人材の育成・確保も重要です。サステナビリティ報告の監査には従来の財務監査とは異なる専門知識が求められるため、監査法人や認証機関はプロフェッショナルのトレーニングに力を入れる必要があります。実務上は、企業と保証提供者が協働し「何を報告すべきか」「どの水準まで検証すべきか」を相互に理解し合いながら進めることが不可欠であり、新たな保証制度の定着には一定の時間と経験の蓄積が求められるでしょう。
5.第三者保証導入のステップ
第三者保証業務は通常、事前のデスクレビューと現地確認を経て保証報告書が発行される流れで実施されます。こうしたプロセスを企業内に効率的に組み込むため、欧州の実践例も参考に以下のようなステップが考えられます。
1. ガバナンス課題の特定(マテリアリティ評価)
取締役会や管理職レベルで扱う重要課題を洗い出します。ESRS G1やESRS2では、企業統治(取締役会体制、ダイバーシティ方針など)やリスク管理システムの情報開示が求められているため、これらの課題をマテリアリティに含めます。
2. ガバナンス体制・リスク管理プロセスの整備
企業統治の枠組み(取締役会・委員会の責務や会議体制、内部監査部門の役割など)と、気候・人権リスク等を含むリスク管理プロセスを明文化します。これにはリスク管理方針の策定や内部統制の強化、CSRDで求められるデューデリジェンス体制の整備も含まれます。
3. 報告書への反映と内部レビュー
整備したガバナンス体制・リスク管理プロセスの内容をサステナビリティ報告書(または統合報告書)の該当セクションに記載します。企業内での検証(経営陣・内部監査によるレビュー)を経て情報の正確性を確認し、必要に応じて補足資料(会議議事録、リスク評価資料、ポリシー文書等)を整えます。
4. 第三者保証人による検証
公認会計士や認証機関等の保証提供者は、リスクベースのアプローチで保証業務を計画・実行します。計画段階で企業のガバナンス体制や統制環境を理解し、重要リスクを特定します。実行段階では、取締役会議事録の確認、取締役・管理職へのヒアリング、内部統制テスト、サンプルチェックなどを通じて、開示情報(ガバナンスおよびリスク管理プロセスの説明)が適切に提供されているか検証します。
5. 保証報告の発行と改善
検証結果に基づき保証報告書が作成され、開示内容が適正と結論付けられます。企業は報告書の指摘を受けてガバナンス・リスク管理体制をさらに改善し、翌年以降の保証プロセスへフィードバックを行います。段階的に合理的保証へ移行する際には、企業側の内部統制やデータ整備の成熟度が重要となります。
これらのステップを進める際には、多大な時間と労力がかかるため、余裕あるスケジュール設定が重要です。実際、第三者検証の需要増加に伴い監査人の不足も懸念されており、企業は計画的な人材確保と業務プロセスの標準化によって、円滑な保証取得に向けた体制構築を進める必要があります。
6.日本企業への影響と今後の展望
日本では現在、サステナビリティ情報の開示や第三者保証に関する法的義務は明確に定まっていません。しかし、近年公表されたサステナビリティ基準委員会(SSBJ)による国内基準や、排出量取引制度の導入検討など、段階的に義務化へ向けた動きが見られます。金融庁の金融審議会に設置された「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」では、プライム市場上場企業を時価総額規模で区分し2027年から段階的にサステナビリティ報告を義務化する方向が議論されています。その中で、開示情報に対する第三者保証の必要性についても活発に検討が行われており、日本企業にもいずれ外部保証の取得が求められる可能性が高まっています。実際に欧州CSRDに基づく開示義務は域外企業にも及び、2028年度以降は一定規模以上の日本企業もEU内で第三者保証付きのサステナビリティ情報開示を行うことが義務付けられます。こうした国際規制への対応を迫られる状況です。EUでは既に大手企業を中心に多くの企業が年度終了後ごく短期間で保証報告書付きの報告を実施しているとの調査結果もあり、日本企業の対応が遅れればグローバルな投資家から情報開示の充実度で見劣りし、資本市場で不利になる懸念も指摘されています。
日本のロードマップ
日本のロードマップは欧州ほど一足飛びではなく、対象企業を絞りつつ現実的な移行を図る方向です。欧州が上場・非上場を問わず幅広い企業にCSRD適用を試みたのに対し、日本は当面、大企業や時価総額上位企業から開示義務と第三者保証制度を導入することを検討しており、むしろEU側が最近になって適用範囲縮小や猶予期間延長の議論を始めたことで、日本の段階的アプローチに近づいてきているとの見方もあります。したがって、日本企業としては自国の制度整備を注視しつつ、欧州をはじめとする海外規制の動向を俯瞰的に捉えて対応策を講じることが重要です。特にグローバルに事業展開する企業は、「どの地域で・いつ・何を・誰が」対応すべきかを整理したロードマップを策定し、全社的なガバナンス体制の下でサステナビリティ情報開示と保証取得の準備を進める必要があります。単に一部部門に任せるのではなく、経営戦略と結びつけた形で統合的に取り組むことが求められています。
内部統制とデータ管理プロセス
日本企業が第三者保証の時代に備えるべき具体的なアクションとしては、まず内部統制やデータ管理プロセスの整備が挙げられます。現状、日本企業では信頼性の高いサステナビリティ情報を開示するための内部統制が十分に整っておらず、体制構築は途上にあります。早期に自社のサステナビリティ情報フローを可視化し、必要なデータ収集・検証手順を確立するとともに、担当部門や取締役会へのトレーニングを開始することが急務です。内部統制の未整備な状態では、保証対応に多大なコストと時間がかかり、制度開始に間に合わないリスクも生じるため、各部署横断でのデータ統合やレビュー体制の構築など、基盤強化に着手すべきでしょう。その上で、試行的にでも第三者保証プロバイダーによるレビューを受けてみることで、自社報告の弱点を洗い出し改善につなげる取り組みも有効です。第三者保証は今後、企業のサステナビリティ経営における信頼性のお墨付きとして欠かせないものとなる公算が大きく、持続可能な企業価値向上の観点からも前向きに捉える必要があります。欧州発のガバナンス・リスク管理に対する第三者保証の潮流は日本企業にとっても無関係ではなく、むしろ自社の情報開示とリスク管理を見直しレベルアップさせる好機といえます。今後の法整備を見据えつつ、自発的かつ戦略的に信頼性確保の態勢を構築することが、サステナビリティと企業価値の双方を高める鍵となるでしょう。
引用
https://finance.ec.europa.eu/capital-markets-union-and-financial-markets/company-reporting-and-auditing/company-reporting/corporate-sustainability-reporting_en
https://www.ssb-j.jp/jp/ssbj_standards/2025-0305.html
https://www.iaasb.org/publications/international-standard-sustainability-assurance-5000-general-requirements-sustainability-assurance
https://www.efrag.org/en/sustainability-reporting
https://www.ethicsboard.org/publications/final-pronouncement-international-ethics-standards-sustainability-assurance-including-international
