資源の輸出規制、関税の揺り戻し、物流の遮断――地政学リスクが企業活動を直撃する時代になりました。そこに追い打ちをかけるのが、サプライヤーを起点に連鎖するサイバー攻撃です。サプライチェーンリスクは、もはや想定外の出来事ではありません。経営における日常的なリスクです。
現場では、サプライチェーン全体の情報が不足しているため、いざというときに影響範囲を把握できずに対応が遅れるケースも少なくありません。リスクは増えているのに、状態を把握する土台が追いついていない。ここにボトルネックがあります。
東芝が提案するのは、日常業務の中で2次以降のサプライヤーも含めて取引先の情報を収集・整理し、サプライチェーンを「構造」で見える状態にする。そのうえで、集めたデータを活用してリスクの見える化や業務の高度化、さらにはサプライチェーンの強靭化（きょうじんか）を図る。これを段階的に行うことです。前編では、調達業務の基盤の整備から、サプライチェーン全体を俯瞰（ふかん）して見えるようにするまでの道筋をご紹介します。

不確実性が常態化し、サプライチェーンを揺るがす要因が一気に増えました。自然災害やパンデミックに加え、地政学、環境対応、サイバー攻撃などが同時多発しています。しかもそれらは、発生頻度も影響範囲も拡大しています。

このように次々と発生するリスクへの対策は欠かせません。しかし現場では、それぞれのリスクへの対策が完了する前に新しいリスクが出現し、次の対策に追われるケースも少なくないのが現状です。例えば、地震により生産に影響を出した企業が地震への対策を講じようとしているときに、サイバー攻撃という次のサプライチェーンリスクのトレンドが発生する。その結果、地震への対策が万全ではない状態で、サイバー攻撃の対策にも追われるといった事象です。これはリスクごとにシステムの検討や対策をしようとしていることが要因だと考えています。さまざまなリスクが存在しますが、根本は「生産を止めない」という部分に集約されます。

またサプライチェーンのリスクは、「単発」では終わりません。物流の停滞が生産計画を崩し、代替調達が新たな品質・コンプライアンス問題を招きます。取引先のセキュリティ事故が自社の事業停止に直結する。リスクが「連鎖」する以上、個別の対応だけでは生産に影響を与えかねないのが現実です。

これらのことから、いま本当に必要なのは、サプライチェーン全体の情報を俯瞰（ふかん）し、弱点（脆弱性：ぜいじゃくせい）と影響が波及する経路を「構造」で捉える視点です。日本でも経済安全保障の文脈で、見える化やデータ共有基盤の整備によるサプライチェーンの強靭化・最適化の取り組みが始まるなど、企業に求められる水準は確実に上がっています。

現場でサプライチェーン全体を俯瞰することが難しい最大の理由は、情報収集の難易度にあります。日本の商習慣上、サプライチェーンのような機密情報は隠す傾向にあり、サプライヤーに聞いてもサプライチェーンの情報が集まりにくいのが実態です。

結果として、全体像を描く情報が不足し、リスクの見える化や業務の高度化に踏み出せなくなっています。

各企業が課題と捉えていてもこの取り組みが進みにくいのは、平時には何事もなく業務が回ってしまうからです。起こるかわからない事象への投資は優先度が下がりやすく、その効果も見えづらい。しかし、たとえ主要な取引先が管理できていても、その先（2次・3次）の依存関係が曖昧なままでは、有事の際に想定外のところから一気に火が回ります。影響範囲の特定に時間がかかり、対応が後手に回るケースは調達の現場ではよくある光景です。

例えば、ある部品に対して1次サプライヤーしか把握していなかった企業で、輸出規制の強化により特定の材料が突然入手しづらくなった事例があります。止まったのは、その企業が把握していた1次サプライヤーではなく、2次サプライヤーが特定国に依存していたある一つの工程でした。影響範囲の特定や代替材の評価、認証に時間がかかり、出荷の調整と顧客への説明に追われる結果になりました。まさに「見えていない調達先」が、操業停止の要因になった典型例です。

なぜこのような状況が生まれたのでしょうか。

一般にサプライチェーンは、企業の成長とともに継ぎ足しで広がっていきます。経緯を知る人だけが全体を理解し、ほかの人には見えない、属人化が起きやすい構造です。結果として「どの取引先が、どの工程に効いているのか」を横串で把握できず、リスクの所在や代替調達先の有無などがぼやけます。

加えて、部門ごとに管理する目的や粒度が異なり、同じようなサプライヤー情報でも、実際は管理する項目や更新するルールなどが統一されていないことがよくあります。この管理のズレが、全体把握を目的とした見える化をいっそう難しくします。

複雑化したサプライチェーン全体の情報を、いかに収集・整理し、デジタルで管理し、常に更新していくのか。東芝では、「デジタルサプライチェーンツイン」という考え方で、その実現を目指しています。これは、サプライチェーン上のさまざまな企業がもつ企業活動データを、デジタル空間につなげて写像（再現）するというものです。企業間のコミュニケーションにより取得したさまざまな取引データを基に、デジタル空間にサプライチェーンを構築し、そのうえで、リスクの見える化やさまざまなシミュレーション、製造した部品のトレーサビリティーなどを行っていく。これにより、サプライチェーンの強靭化を図ります。例えば、CO2の排出量をサプライチェーン全体で見える化することができるようになります（図1）。

デジタルサプライチェーンツインは、段階的に実現していきます。最初のステップは、取引先の情報を集め、更新し、迷わず参照できる「置き場所」をつくることです。調達担当（バイヤー）と1次サプライヤーとのやり取りにより集められた、企業の基本情報や見積もり、CSR（Corporate Social Responsibility）、災害の履歴、さらにはCO2排出量の見える化に欠かせない電力や燃料の使用量（活動量）などの情報を一元管理します。当社では、1次サプライヤーとのコミュニケーションおよびデータの管理を「Meister SRM」で支援しています。Meister SRMは、企業の調達施策に応じて利用する機能（コンポーネント）を柔軟に選択できるクラウドサービスです。25年以上の実績があり、２万5000社以上のユーザーに活用されています。こうして蓄積したデータを基に、次のステップへと進めます。

サプライチェーンを強靭化するためには、リスクを把握できる範囲を、1次サプライヤーから2次、3次以降へと段階的に広げていくことが重要です。そこで、デジタルサプライチェーンツインの実現に向けた2つ目のステップでは、取引関係に基づくサプライチェーンネットワークをデジタル空間に写像し、必要な情報を適切な範囲・粒度で連携できる仕組みを構築します。ここを担うのが、「Meister SRM ポータル」です。Meister SRM ポータルは、各社の取引関係や情報開示の条件に応じて、業務上必要な情報を収集・共有・更新できる参加共有型の基盤です。サプライヤーにとっても、重複する調査依頼への回答負荷を減らし、自社の対応状況を顧客に示しやすくして信頼獲得と商機創出につなげるなど、参加するメリットを得られる形で活用を促します。こうした仕組みにより、従来は個別の聞き取りや属人的な管理に依存していた2次以降のサプライヤー情報についても、許諾された範囲から段階的に収集・整理し、サプライチェーン全体の構造をより深く把握できるようにしていきます。

最後のステップです。ステップ1、2により、1次サプライヤー、そして2次、3次、その先のサプライヤーの情報を収集・管理できるようになったことで、サプライチェーン全体のデータを活用した取り組みが進められるようになりました。このデータ活用についても、Meister SRMポータルが支援します。例えば、電力や燃料の使用量を収集してサプライチェーン全体のCO2排出量を見える化したり、コストの明細や企業情報を把握して最適な調達先を選定したり、さらにはサプライチェーン全体のリスクの見える化や有事の際の代替調達先の検討ができるようになったりします（図2）。

こうして実現したデジタルサプライチェーンツインによって、サプライチェーンの強靭化を図る。それが、複雑化するサプライチェーンのリスクに対して、当社が考える実効的な備えのかたちです。

ここまでの取り組みによって、サプライチェーン全体を構造として捉え、リスクを見える化するための基盤は整います。しかし、複合化するリスクに、より効果的に備えるためには、情報をもとに状況に応じた判断を行い、調達のあり方そのものを柔軟に変化させていくことが重要になります。

ここからは、将来に向けた取り組みについて触れます。

当社では現在、東芝の調達活動の一環として、見積業務の査定やサプライヤーの管理、BCP（事業継続計画）対策などにおいて、AIの活用を取り入れ始めています。例えば、見積もりの査定では、3種類のAIエージェントを組み合わせて熟練者並みの査定を大量に処理できるようになりました。このような将来の調達業務に向けた、さまざまなAI活用の検証を進めているところです。

また、製品を構成する個々の部品の供給ルートや工程を把握して、需要や為替、災害といった変動要因に応じた最適な調達ルートを決定する仕組みの検討もしています。いわゆる、「ダイナミックサプライチェーン」の実現への取り組みです。例えば、急な需要の増加に対しては、原材料の調達や、加工組立設備を保有しているサプライヤーの検索、短期間での増産体制の構築などを、また災害の発生に対しては、生産が止まった工場と同等の設備を保有するサプライヤーの検索などを、自律的に行えるようになります（図3）。

この記事では、さまざまなサプライチェーンリスクへの対応に向けて、サプライチェーン全体の情報を収集し整理する基盤の整備と、集めたデータの活用による見える化や高度化、さらには強靭化の取り組みを紹介しました。年々多様化するリスクの中でも、近年特に増えているのが、企業間のつながりを起点に広がる「サイバーセキュリティリスク」です。後編では、このサイバー攻撃によるセキュリティリスクに焦点を絞り、リスクにどう備えていくのかを掘り下げます。

• 戦略調達ソリューション「Meister SRM」
• サプライチェーンプラットフォーム「Meister SRM ポータル」