リスクマネジメント
リスクマネジメント体制
方針(基本的な考え方)
日油グループを取り巻くさまざまなリスクを認識し、損失リスクの発現の抑止および発現の際の影響の極小化を図り、経営戦略目標達成に貢献することを目的として、リスクマネジメントの取り組みを推進しています。
1.日油グループは、事業を取り巻くさまざまな経営リスクを網羅的に洗い出し、各リスク項目の
影響度合・発生頻度に基づいてリスクアセスメントを実施し、優先的に対応すべきリスクを特
定します。
2. 特定したリスクの特質に応じ、リスクが顕在化した場合の影響を低減する対策と、発生可能性
を低減する対策を適切に講じることで、経営への影響を最小化するように努めます。
3. リスクアセスメントを定期的に実施することで、リスク対策の有効性を客観的に検証するとと
もに、新たなリスクの認識と評価に努めます。
4. リスク管理委員会が主導して、以上のリスクマネジメントサイクルを回すことで、日油グルー
プのリスク管理を推進していきます。
体制
経営リスクについては、リスク管理委員会、コンプライアンス委員会、RC委員会および品質管理委員会において分析や対応策の検討を行い、取締役会に報告します。取締役会は、コンプライアンス、情報の管理、環境・安全、リスクの網羅性の確認・評価などさまざまな経営リスクの報告を受け、必要に応じて審議します。グループ子会社については、関係会社管理規則に基づき子会社に対する経営管理・モニタリングを実施し、必要に応じて助言等を行うとともに、子会社の財産や損益に重大な影響を及ぼすと判断される重要案件については、日油取締役会または経営審議会が承認しています。
リスク対策
リスクアセスメントのプロセス
各部門の事業特性やグローバルな政治・経済・社会情勢等、ビジネスを取り巻く環境を考慮してリスク一覧表を作成し、日油各箇所・グループ各社にアンケートを実施します。アンケート結果をもとに、各部門の統括責任者がリスク評価を実施、その評価結果から日油グループにおける各リスクの影響度と発生頻度を見積もります。その結果をもとにに取締役と執行役員によるワークショップでリスクマップの作成を行い、重要リスクの確認と優先取組みリスクの選定を行います。
リスクアセスメントの流れ
【リスクの洗い出し】
・日油グループで想定されるリスクを洗い出し、リスク一覧表を作成
【アンケートの実施】
・リスク一覧表について、アンケートにより、各部門の統括責任者がリスク評価を実施
【アンケート結果の集約】
・結果を集計し、日油グループのリスクの影響度と発生頻度を評価
【取締役によるワークショップ】
・集計結果をもとに、取締役が討議し、各リスクの影響度と発生頻度の評価を確定
【リスクマップの完成】
・影響度と発生頻度の評価をもとに、日油グループ全体のリスクマップを作成
【優先取組みリスクの選定】
・リスクマップで重要リスクを確認
・ 対策状況を踏まえて優先取組みリスクを選定
リスクマップ(抜粋)
取締役ワークショップによるリスク評価結果を踏まえ、リスクマップを作成しています。リスクマップは毎年改定するとともに、優先取組みリスクを選定し、日油グループのレジリエンスを高める活動を展開しています。
優先取組みリスク | リスク概要 | 現在実施しているリスク対策(抜粋) |
---|---|---|
ハラスメント・人権侵害 | パワハラ・セクハラなどの人権侵害が発生し、企業の信用が低下するリスク | ● 倫理行動規範、コンプライアンス・マニュアルの制定 ● 男女社員による相談窓口、弁護士による相談窓口の設置 |
サイバー攻撃・情報システム障害 | サイバー攻撃等の外部からの不正アクセスや情報システムの障害により、情報の漏洩や事業活動の中断が発生するリスク | ● 情報セキュリティ管理規定・責任者任命等の体制整備 ● 不正アクセスの防御体制構築、適切かつ合理的なレベルの安全対策の実施 |
海外拠点のガバナンス不全 | 海外拠点のガバナンスが行き届かず、法令違反等の不正が発生し、企業の信用が低下するリスク | ● 業務の適正を確保するための体制の構築 ● 業務執行状況・財務状況等の定期的な報告の要請、業務監査 |
非財務情報の開示不足 | 経済や環境への影響、社会的な評価に対する不明確さが生じ、ステークホルダーの信頼を損なうリスク | ● 現状分析とターゲットの特定 ● 管理指標と目標の設定および具体的な施策展開 |
重要リスク | リスク概要 | 現在実施しているリスク対策(抜粋) |
---|---|---|
技術流出 | 技術情報が流出し、競合他社が類似製品・技術を提供することにより当社グループの競争力が低下するリスク | ● 営業秘密情報に関する規定の整備 ● 営業秘密情報に関する管理体制の構築 ● 従業員に対する情報セキュリティ教育の強化 |
原料調達 | 強制労働・児童労働などの人権侵害や、環境破壊の疑いのある原材料を調達していたことにより、社会的信頼性が低下するリスク | ● CSR調達方針およびCSR調達ガイドライン遵守の売買契約記載 ● 各種アンケートによる継続的な取引先調査 |
労働災害・事故災害 | 工場で大規模な火災・爆発事故が発生し、従業員や近隣住民の死傷、事業活動の停止、損害賠償等が発生するリスク | ● レスポンシブル・ケア活動による安全衛生レベルの継続的な向上 ● 新設時のセーフティアセスメント実施体制の強化 ● 緊急事態対応マニュアルの策定および訓練の実施 ● 近隣自治体との合同防災訓練・対話活動の実施 |
品質偽装 | 品質検査結果の改ざん等の事態が発生し、企業の信用が低下するリスク | ● 品質管理に関するデータ管理の徹底 ● 従業員に対する啓発・研修 |
知的財産侵害等 | 知的財産権侵害により、損害賠償請求や製造・出荷の停止を求められるリスク | ●知財管理や特許侵害のチェック体制の構築 ●従業員へ向けた特許・商標を含む知財教育 |
法令違反 | 不正競争防止法・独占禁止法・下請法・外為法・化審法・薬機法等の各種法令に関する法令違反により、行政処分が下され、事業活動の停止や課徴金支払い等が発生するリスク | ● グローバル・コンプライアンス・マニュアル、各国の法制度を前提とした国 別コンプライアンス・マニュアルの整備 ● コンプライアンス研修や内部通報・相談窓口の設置 ● 法令改正情報の周知体制の整備 |
地震・津波・感染症 | 地震や津波等の自然災害により、生産活動や販売、物流等の事業活動が中断するリスク | ● 事業継続計画(BCP)の策定 ● BCPに関する訓練および内部監査の実施 ● 重要設備の浸水対策の実施 |
人材育成の遅滞 | 中長期的な人材育成計画が機能せず、日油グループの成長を担う人材の育成が停滞するリスク | ● 全社の人材育成施策計画の審議・評価体制の構築 ● 人材育成に関する進捗状況・結果を監督する体制の構築 |
BCP強化
事業継続計画(BCP※)の推進
日油は地震・津波などの自然災害や新型コロナウイルス感染症の流行のような非常事態が発生した場合においても、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期回復を可能とするため、BCPを策定しています。平常時と非常時における対応を決めたマニュアルを中心に、設備想定被害、復旧時に必要となる行政・インフラやサプライチェーン関係などの情報を整備し、毎年更新を行っています。また、年次で内部監査および訓練を実施し、BCPの定着と実効性の向上を図っています。
2023年度は、情報セキュリティにおけるリスクへの対応として、サイバー攻撃が発生した事態を想定したBCP訓練を実施し、インシデント発生時の初期対応手順や事業継続に向けた各部門・箇所の役割を確認することで、サイバー攻撃時の被害の最小化や迅速性など対応力の向上を図りました。
※ Business Continuity Planの略。大地震等の自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン(供給網)の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画のこと。
情報セキュリティ管理
営業秘密管理および個人情報保護
日油では、顧客や取引先からお預かりした、または保有する企業秘密・個人情報などの情報、およびそれらを利活用するためのシステム等の情報資産が企業活動において重要な経営資源であり、情報資産に対する堅牢な情報セキュリティの確立が安定した経営を実現するために不可欠であるとの認識に基づき、情報資産の活用と保護を推進するための基本方針として情報セキュリティポリシーを制定しています。同時に、日油では、個人情報を保護することが当然の社会的責務であるとの認識に基づき、プライバシーポリシーを制定し、公表しています。
上記のポリシーに基づき、情報の機密性、完全性、可用性のレベルを高めるための具体的施策および個人情報の具体的取り扱い方法を、情報セキュリティ管理規則、個人情報保護規則、情報システム関連諸規定等の社内規定ならびに機密情報取扱マニュアルおよび情報機器取扱マニュアルに定め、周知徹底を図っています。
管理体制
社内組織としては、情報セキュリティに係る重要事項を審議、決定する機関として、専門委員会であるリスク管理委員会傘下に情報セキュリティ管理部会を設置し、部会長である情報セキュリティ管理統括責任者のもと、文書情報セキュリティ管理責任者、電子情報・情報システムセキュリティ管理責任者、個人情報苦情処理責任者および部門、事業所、部署ごとに管理責任者を置き、具体的施策の運用を管理しています。また、外部からの不正アクセス、または漏洩、改ざん、破壊等の脅威に対して、適切かつ合理的なレベルの安全対策を実施しています。加えて日油では、内部監査を通じて、情報セキュリティ管理および個人情報保護に係る体制および施策を継続的に見直し、その改善に努めています。
日油グループ情報セキュリティポリシー
日油グループは、顧客や取引先からお預かりした、または日油グループが保有する企業秘密・個人情報などの情報、およびそれらを利活用するためのシステム等(以下「情報資産」という。)が企業活動において重要な経営資源であり、情報資産に対する堅牢な情報セキュリティの確立が、安定した経営を実現するために不可欠であるとの認識に基づき、以下の方針を定め、これを遵守します。
(1) 情報資産の管理機能を一層強化するため、体制を整備します。
(2) 保有するあらゆる情報資産を、漏洩、改ざん、破壊等から保護するために、適切な教育、規程類
の整備や技術的な対策を行います。
(3) 情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守します。
(4) 情報セキュリティに関わる事故が発生した場合には、事象ごとに適切かつ迅速に対処するととも
に、再発防止に努めます。
(5) 本ポリシーの取り組みについて、継続的な維持および改善に努めます。
情報セキュリティのリスクと機会
リスクまたは機会 | 内容 | 施策 |
---|---|---|
リスク | ● サイバー攻撃(不正アクセス、マルウェア感染)による生産活動・販売活動・研究開発活動の長期間の停止、および企業信頼の失墜 ● 機密情報・個人情報の漏洩による企業信頼の失墜、技術競争力の低下 |
● 自己点検の実施と改善計画策定、および改善計画実施 ● 国内グループ会社IT担当者会議による情報共有(1回/年) ● 不審メール対応訓練の実施 (1回/年) ● 社外持出PCのHDD暗号化、私用記憶媒体の利用制限による対応 ● 社員向け、情報セキュリティ関連のeラーニング教育実施(1回/年) |
機会 | ● サイバーセキュリティ対策により、企業の競争力の向上 ● 情報資産管理の強化により、顧客からの信頼の獲得、および企業のブランド価値の向上 ● 情報セキュリティ強化により、社員の意識向上 |
- |