"CSDDD"——この横文字、初めて聞いたという方も多いのではないでしょうか。「うちはEUに輸出してないし、関係ないでしょ?」。そう思いますよね。でも実は、その判断が一番危険かもしれないんです。
CSDDDとは、EUが企業に「人権や環境への悪影響を放置するな。自分で見つけて、自分で直せ」と命じる新しい指令のことです。ここで重要なのは、CSDDDの矛先が「EU企業だけ」ではないということ。そして、法的に対象外であっても、取引先の大企業を通じて事実上の義務が降りてくる構造になっていることです。
本記事では、(1) CSDDDがなぜ「対象外」の日本企業に影響するのか、(2) 具体的に何が求められるのかを電子部品卸売業のシミュレーションで整理し、(3) Excel管理では対応できない構造的な理由と、(4) 専門知識やIT部門がなくても動き出せる方法をお伝えします。
CSDDDの義務波及メカニズム
CSDDDの全体像——CSRDとは「質的に違う」義務
まず結論からお伝えすると、CSDDDはこれまでの開示規制とは根本的に性質が異なります。
ESG関連の規制と聞くと、「また新しい報告書を作るの?」と思われがちですが、CSDDDは「報告しなさい」という指令ではありません。「悪影響を見つけて、防いで、直しなさい」という行動義務です。つまり、CSRDが「何をしているか開示せよ」であるのに対し、CSDDDは「実際にやれ」と求めています。
CSDDDは、企業に対し、自社・子会社・取引先の活動が引き起こす人権・環境への悪影響についてデューディリジェンスを義務付ける指令である。2024年に欧州議会が修正案を承認した。
――欧州議会「Corporate Sustainability Due Diligence Directive」 https://www.europarl.europa.eu/topics/en/article/20210122STO96115/corporate-due-diligence
要するに、「うちの取引先が児童労働や環境汚染を引き起こしていないか、自分で調べて、問題があれば自分で止めて、記録を残しなさい」ということです。これを**デューディリジェンス(DD)**と呼びます。
対象基準はEU域内企業だけでなく、EU域外企業もEU域内純売上高4,500万ユーロ超で直接対象になります。そして違反時の制裁は全世界売上高の最大5%。GDPRの4%を超える水準です。EU当局が本気で執行する意思を持っていることが、この数字に表れていますね。
「うちは対象外」なのに義務が降ってくる——サプライチェーン波及の仕組み
「EU域内売上4,500万ユーロなんて、うちには縁遠い話だ」——そう思われた方、その感覚は正しいです。直接対象になる日本の中小企業はほとんどいないでしょう。
ただ、問題はそこではないんです。
CSDDDが要求するデューディリジェンスは、自社だけでなくサプライチェーン全体に及びます。つまり、CSDDD対象のドイツ系メーカーやフランス系商社は、DD義務を果たすために、自社の仕入先——日本の中小企業を含む——に対して「あなたの調達先の人権・環境リスク情報を出してください」と要求してくるわけです。
しかもこれは、Tier 1(直接の取引先)だけの話ではありません。CSDDDはTier 2、Tier 3まで遡った調査を求めています。取引先の取引先、そのまた取引先まで。
ここで、具体的にイメージしてみましょう。
仮想シミュレーション——従業員30名の電子部品卸売業に何が起きるか
例えば、従業員30名の電子部品卸売業を想像してみてください。半導体関連部品を扱う商社で、主な取引先はドイツ系自動車部品メーカーの日本法人です。自社はEUに直接輸出しておらず、CSDDDの直接対象ではありません。
ところが、この取引先のドイツ系メーカーはCSDDDの対象企業です。するとある日、こんなメールが届きます。
「弊社のCSDDD対応の一環として、貴社のサプライチェーンにおける人権・環境リスク情報のご提出をお願いいたします。」
ここで求められるのは、CSDDDが定める9項目のDD義務に沿った情報です。具体的に何が必要になるか、この電子部品卸売業の現場で見てみましょう。
サプライチェーン全体の可視化
電子部品卸売業の仕入先は、中国・台湾・東南アジアの複数工場に分散しています。半導体関連部品には紛争鉱物(つまり、武装勢力の資金源となりうるタンタル・スズ・タングステン・金などの鉱物)のリスクもあります。
取引先のドイツ系メーカーは「貴社の仕入先は紛争鉱物に関与していないことを確認してください」と要求してきます。ところが、Tier 2以降の台湾の部品工場が、その先のどの鉱山から原材料を調達しているかなんて、普通は分かりませんよね。
この「分からない」が問題なんです。CSDDDのもとでは、「知らなかった」は免責理由にならず、調べる義務がこちらにあるという構造です。
苦情処理メカニズムの構築
CSDDDは、ステークホルダーが人権・環境上の懸念を通報できる苦情処理手続きの確立を義務付けています。
従業員30名の商社に、独立した「苦情処理部門」は当然ありません。法務も人事も総務も兼任しているのが実情です。しかし取引先から「御社に苦情処理メカニズムはありますか?」と聞かれたら、「ありません」では取引評価に直結します。
5年間の文書保管義務
DDの実施記録を5年以上保管し、監督当局の要請に応じて提示できる状態を維持する義務があります。
調達部門がExcelで管理している取引先リスト、メールでやり取りしたサプライヤーの回答、PDFで受け取った環境認証書。これらを5年間、検索可能な状態で、改竄されていないことを証明できる形で保管する——紙やExcelでは事実上不可能です。
この工数、Excel管理で乗り切れるか?——構造的な限界
「なんとかExcelでやりくりすればいいんじゃないか」という声も聞こえてきそうですね。気持ちはよく分かります。新しいシステムを入れるより、今あるExcelを使い回すほうが手軽に思えますから。
ただ、CSDDDが要求する作業を一つずつ分解してみると、Excel管理では構造的に越えられない壁があることが見えてきます。
シミュレーション:従業員30名の電子部品卸売業がCSDDD対応情報を準備する場合
工程1:サプライヤーの人権・環境リスク調査 仕入先が中国・台湾・東南アジアに10社あるとします。各社にメールで質問票を送り、回答を集め、Excelに転記する。言語の壁もあり、1社あたり5〜8時間。10社で50〜80時間です。しかもこれはTier 1だけの数字で、Tier 2に遡ると対象が数倍に膨れます。
工程2:紛争鉱物の追跡 電子部品に含まれる鉱物の原産地を特定するために、CMRT(紛争鉱物報告テンプレート)を各サプライヤーに配布・回収・突合する作業が必要です。CMRTのExcelテンプレートは構造が複雑で、回答の不備率が高いと言われています。不備のたびに再依頼する往復で、1社あたり3〜5時間の追加工数が発生します。
工程3:苦情処理メカニズムの記録 仮に簡易的な通報窓口を設けたとしても、その運用記録——受付日、対応内容、解決状況——を体系的に残す必要があります。メールの受信ボックスに埋もれた対応履歴では、5年後に「この苦情にどう対応しましたか?」と聞かれたとき、探し出すだけで数日かかりかねません。
工程4:文書の保管と監査証跡 ここが最も致命的なポイントです。Excelファイルは「誰がいつ何を変更したか」を追跡できません。取引先の監査人が「このリスク評価の根拠を見せてください」と求めたとき、元データの完全性を証明する手段がないんです。
合計すると、Tier 1だけで年間200時間以上の工数が見込まれます。従業員30名の商社で、専任のCSR担当者がいない中、これを兼任の総務担当者一人に背負わせるのは、どう考えても無理がありますよね。
解決の方向性——「調べる・集める・保管する」を構造から変える
「じゃあどうすればいいのか」という話ですね。ここではまだ特定の製品の話ではなく、業界として目指すべき方向性をお伝えします。
ポイントは3つです。
サプライヤーからのデータ収集を、サプライヤー側の負担なく行えること。 メールで質問票を送って回答を待つのではなく、サプライヤーが普段使っているツール(メッセージアプリや写真撮影)だけでデータを提出できる仕組み。これなら言語の壁もITリテラシーの壁も超えられます。
集まったデータが、複数の規制フレームワークに同時に使えること。 CSDDDだけでなく、CSRDの開示義務、CBAMの排出量報告、取引先ごとに異なるESG質問票——これらに同じデータから自動変換できれば、「同じことを何度も入力する」苦痛がなくなります。
記録が改竄不能な形で自動保管されること。 5年後の監査に耐えるためには、「いつ・誰が・何を記録したか」がシステムレベルで保証されている必要があります。人の手で管理するExcelでは、構造的にこの要件を満たせません。
Marupass——構造的な解決策の具体像
ここまで読んで「概念は分かったけど、具体的にどうすれば?」と思われた方に、Marupassがどう応えるかをお伝えしますね。
CSDDD特有の課題にどう対応するか
サプライチェーンの可視化——東南アジア・中国のサプライヤーも対応可能
Marupassは、サプライヤー側のデータ提出を徹底的にシンプルにしています。中国や東南アジアのサプライヤーはWhatsAppで請求書や認証書の写真を送るだけ。日本国内のサプライヤーはLINEでkWhを入力するか、写真を撮るだけ。パスワード登録もESGの専門知識も不要です。
送られたデータはAIが自動で読み取り、地域ごとの排出係数(18以上の地域に対応:日本、EU、米国、中国、韓国、台湾、タイ、ベトナム、インドネシア、メキシコ、ブラジルなど)を自動適用して処理します。
苦情処理メカニズム——構築済みの仕組みをそのまま使える
Marupassの統合ESG台帳には、ガバナンス領域としてDD方針の統合、ステークホルダーエンゲージメント、苦情処理メカニズムが構造的に組み込まれています。「うちには苦情処理部門がない」という商社であっても、既にフレームワークが用意されているので、ゼロから設計する必要はありません。
5年間の文書保管——暗号台帳で自動担保
Marupassの暗号台帳(WORM台帳)は3層構造になっています。
- 第一層:メイン監査台帳 —— 暗号チェーンハッシュにより、データベースレベルで削除・更新が物理的に禁止されています。記録したデータは5年どころか、永続的に改竄不能な状態で保管されます
- 第二層:調達通信の監査可能チャット —— サプライヤーとのDD記録(やり取りの内容、データの受け渡し)が改竄不能な形で残ります。「このサプライヤーに確認しましたか?」という監査の問いに、チャット履歴そのものが証拠になります
- 第三層:検証済みメトリクス・キャッシュ —— AI監査エージェントが検証をパスしたデータだけが、再利用可能な形でキャッシュされます
「CSDDDだけ」で終わらない——マルチフレームワーク対応
CSDDDへの対応は、実はCSRDの開示義務やCBAMの排出量報告と重複する部分が大きいんです。競合サービスは「CSDDDへの対応を」「CSRDへの対応を」と個別に呼びかけますが、Marupassは統合ESG台帳で二重義務を一括で吸収します。
一度の証憑取り込みから、CBAM、SSBJ、CSRD/ESRS、VSME、SEC Climate、PACT V3など複数のフレームワーク向け出力が同時に生成されます。CSDDDのために集めたサプライチェーンデータが、そのままCSRDの開示にも、CBAMの申告にも使えるということです。
「ITに詳しくない」「ESGの専門家がいない」——その不安、設計段階から想定しています
最後に、よくいただく不安に一つずつお答えしますね。
「システム導入って、情シスがいないとムリでしょ?」
Marupassはクラウドサービスなので、自社サーバーの構築は不要です。メールの転送先を設定するだけで使い始められます。請求書や認証書を普段のメールに添付して転送すれば、AIが自動でデータを読み取ります。
「紛争鉱物の追跡なんて、うちだけじゃ無理だ」
おっしゃる通り、Tier 2以降の追跡は一社の努力では限界があります。Marupassの調達通信機能は、サプライヤーに直接データを提出してもらう仕組み(WhatsApp/LINE経由)を備えています。サプライヤーがESGという言葉を知らなくても操作できるよう設計されているので、「お願いしても返事が来ない」問題を構造的に軽減できます。
「対応してもしなくても、うちに罰金は来ないんでしょ?」
法的な罰金は確かに、直接対象企業に課されます。ただし、CSDDD対象の取引先があなたのサプライヤーとしてのDD評価を行い、リスクが高いと判断すれば取引を見直す。これが実務上の「罰金」です。取引停止のリスクは、制裁金よりもずっと差し迫った脅威ですよね。
Marupass
オンライン ・ 暗号化済み
こんにちは、マシュマロ電子商事株式会社さん。先月分の電力請求書をお送りいただけますか?
10:32
電力請求書_2026年2月.pdf
PDF ・ 142 KB
10:33 ✓✓
10:33
10:34
まとめ
CSDDDは「EUの大企業だけの話」ではなく、サプライチェーンを通じて日本の中小企業の取引関係に直接影響する規制です。法的に対象外であっても、取引先から求められる情報提出・監査対応は事実上の義務になります。
5年間の文書保管、サプライチェーン全体の可視化、苦情処理メカニズムの構築——これらをExcelと兼任担当者で乗り切るのは、構造的に無理があります。まずは請求書1枚のメール転送から。自社のESGデータがどう整理されるか、気軽に確認してみてください。
稟議用資料:CSDDD対応の業務工程シミュレーション比較
| 業務工程 | 手作業(Excel・メール運用) | 統合データ基盤の場合 |
|---|---|---|
| サプライヤーへの質問票送付・回収 | 10社×5〜8時間=50〜80時間(Tier 1のみ) | WhatsApp/LINE経由で自動収集(サプライヤー側は写真送信のみ) |
| 紛争鉱物追跡(CMRT) | 1社あたり3〜5時間の追加往復、不備対応含む | サプライヤーのデータ提出と同時に自動処理 |
| 苦情処理メカニズムの構築 | ゼロから設計・法務確認に数ヶ月 | ガバナンス領域に苦情処理フレームワーク組み込み済み |
| DD記録の5年間保管 | Excel+メール+PDF、検索困難、改竄証明不可 | 暗号台帳で自動保管、改竄不能、即時検索可能 |
| 複数規制への同時対応(CSDDD+CSRD+CBAM) | 規制ごとに別々のデータ整理、二重・三重の工数 | 1回の取り込みから複数フレームワーク出力を同時生成 |
| 取引先の監査対応 | 元資料を探して突合する資料作り(数日〜1週間) | 監査証跡が自動記録済み、根拠を即時提示可能 |
社内FAQ(想定問答集)——「CSDDDのためにツールを入れる」への社内反対意見に対する回答
| 社内からの反対意見 | 回答のポイント |
|---|---|
| 「うちはCSDDDの対象外だから、ツールは不要では?」 | 法的に対象外でも、CSDDD対象の取引先がDD義務の一環としてデータ提出を要求してきます。対応できなければ、取引評価の引き下げや取引見直しにつながるリスクがあります |
| 「取引先からまだ何も言われていないのに、先回りしすぎでは?」 | CSDDDは段階的に適用が始まっています。要求が届いてから準備を始めると、5年間分の文書保管義務に遡及対応が必要になり、間に合いません。今から蓄積を始めることで、要求が来たときに即座に対応できます |
| 「Excelで管理すれば十分。わざわざツールにお金をかける必要はない」 | CSDDDが求める5年間の文書保管は「改竄されていないことの証明」を含みます。Excelでは「誰がいつ何を変更したか」を追跡できず、監査で根拠の完全性を証明できません。暗号台帳はこの要件をシステムレベルで自動担保します |
| 「CSRDとCBAMはもう別のツールで対応している。また別のツールを入れるのか?」 | Marupassは統合ESG台帳で複数規制を一括処理するため、規制ごとにツールを分ける必要がありません。CSDDDのために集めたデータがCSRD・CBAMの出力にもそのまま使えるので、ツール統合による工数削減が見込めます |
| 「東南アジアのサプライヤーがデータを出してくれるわけがない」 | Marupassのサプライヤー向け入力はWhatsAppでの写真送信だけで完結します。ESGの専門知識もパスワード登録も不要です。さらに、蓄積されたデータから公的補助金の受給資格が自動照合されるため、サプライヤー側にも「データを出すメリット」が生まれます |
| 「導入にあたって専門人材の採用が必要になるのでは?」 | MarupassはESG専門知識がなくても運用できるよう設計されています。請求書のメール転送で取り込みが完了し、排出係数の選定や規制フレームワークへの変換はすべてシステムが自動処理します。既存の総務・調達担当者で運用可能です |
| 「セキュリティは大丈夫なのか?取引先の機密情報を扱うことになる」 | 暗号台帳はデータの削除・改ざんがシステムレベルで不可能な設計です。サプライヤーとの通信記録も監査可能チャットで改竄不能に保管されます。FISC安全対策基準に対応した多層セキュリティを実装しています |
| 「5%の制裁金って、うちに課されるわけじゃないんでしょ?」 | 制裁金は直接対象企業に課されますが、その企業がDD義務を果たすために、サプライヤーの評価を厳格化します。DD評価でリスクが高いと判断されたサプライヤーは取引を外される可能性があり、これは制裁金よりも事業への影響が直接的です |