激甚化する大規模自然災害、不祥事や情報セキュリティ上の脅威に加え、新型コロナウイルス感染症のような企業活動に重大な影響を及ぼすリスクは日々、多様化・複雑化しています。潜在的な事象をあらかじめ予測し、損失の回避・低減を図っていく「リスクマネジメント」は、BIPROGYグループにとって、社会課題の解決や価値創造を支えている重要な基盤の一つと考えています。
当社グループは、経団連が提言する「オールハザード型BCPへの転換」を目指し、BCP/BCMの継続的改善に取り組んでいます。
また、リスクマネジメントに関する国際標準規格ISO31000を参照し、リスク管理を統括する責任者その他必要な機関を設置し、以下を行っています。
中長期的なリスクマネジメント戦略として、「①グループ全体のリスクマネジメント機能の強化」「②グループ役職員のリスク管理能力向上」「③リスクマネジメントシステムの改善・高度化」を重点施策とし、外部・内部環境変化への対応とリスクマネジメントシステム自体のアップデートに取り組んでいます。これらの施策を着実に推進するため、年間を通じたリスク事案の把握とモニタリング、新たに顕在化した課題を踏まえた改善策の立案、全社員へのリスク意識・知識の啓発など、PDCAサイクルを実践しています。
当社グループは、経営に重大な影響を及ぼすさまざまなリスクに対して、適切な対応策を講じるための体制として、CRMO(チーフ・リスク・マネジメント・オフィサー)を委員長とする「リスク管理委員会」を設置しています。
CRMOはグループ全体のリスク管理・業務継続を統括し、これを効果的かつ効率的に運営する仕組み構築および調査・監督・指導、啓発活動の執行責任を有しています。CRMOはリスク管理委員会でグループ全体のリスクマネジメントのパフォーマンスをモニタリング/レビューし、継続的改善に必要な指導を行います。これらの状況は、CRMOから経営会議および取締役会へ報告しています。
万一の重大リスク発生時には、発生部署または各委員会などからリスク管理委員会へ速やかに報告され、そのリスクの影響度に応じて「対策会議」または「対策本部」を招集・設置し、迅速かつ的確に対処する体制を構築しています。
また、各部門、各部、各グループ会社の組織長は自部門のリスク管理のための役割・責務を担い、重大なリスク発生時には被害を最小化し、事業継続のために、全社員が一体となって危機対応が行える体制を整備しています。
なお、大規模開発案件のリスクについては、経営レベルが参加するビジネス審査委員会および投資委員会において審査を行っています。
個人情報を含む情報資産の管理については、CISO(チーフ・インフォメーション・セキュリティ・オフィサー)を委員長とする「総合セキュリティ委員会」を設置するとともに、サイバーセキュリティ戦略を策定し、リスクへの適切な対応を実施しています。
また、大規模地震や新型インフルエンザなどによって重大な被害を受けた際の事業継続リスクについては、CRMOをプロジェクトリーダーとする「事業継続プロジェクト」にて、安全確保、社内業務復旧、顧客対応の各観点から事業継続計画(BCP)を策定し、継続的な見直し・改善などの事業継続マネジメント(BCM)を実施しています。
当社グループでは、内部監査人協会(IIA)の3ラインモデルに準拠した管理体制を構築しており、事業部門、リスク管理部門、内部監査部門の3ライン全体で抜け漏れなく組織的かつ継続的にリスクを管理することにより、形骸化を起こさない管理措置を徹底しています。
| 責任者 | 取締役執行役員 CRMO 澤上 多恵子 |
|---|---|
| 審議機関 | リスク管理委員会 |
リスク管理委員会では、管理対象とするリスクをグループ全体で共通化し一元的に管理することを目的に、グループ共通のリスク分類体系を整備しています。現在、個人情報を含む情報管理関連リスク、システム開発関連リスク、災害・事故関連リスクなど約130項目のリスク管理項目に分類しており、各リスク管理項目に対しては、当該リスクの統制を担当するスタッフ部門または委員会などが管理規程や具体的な未然防止策・発生時対応策を立案し対応しています。リスク管理委員会は、リスク統制部署に対し、年度ごとにリスク管理項目の棚卸を指示しており、その際、年度ごとにテーマを設定することで、統制部署による自己点検だけでは発見できない新たなリスク管理項目を抽出できるように努めています。リスク統制部署では、リスク管理項目ごとに発生頻度、影響度、予防策、発生時対応策、監査の有無、発生頻度/影響度を下げる施策、昨年度発生状況等をリスク管理状況調査票に記入し、リスク管理委員会へ報告します。
リスク管理委員会は、影響度と発生頻度を軸としたリスクマップを用いて各リスクの影響の大小を整理し、重点的に管理すべきリスクを特定します。さらにリスク事案の把握とモニタリングを通じ、方針やリスク管理項目の見直しを図っています。
経営層向けの緊急記者会見訓練、新任役員(社外取締役、社外監査役含)向け研修、役員・組織長向けのクライシスマネジメント研修、新任組織長向けのリスクマネジメント研修を就任時に必ず受講するよう毎年度定期的に実施しています。
さらに、災害発生時に備え、社員、組織長、災害対策本部メンバーを対象とした安否確認訓練(原則、年3回。2020年4月以降2023年5月までは新型コロナウイルス対策として日次で安否確認を実施)やMCA無線応答訓練/BCP用ポータルサイトへの報告訓練(月次)、具体的な発生事象のシナリオに沿って被災状況報告、対応指示、対応状況報告を役割ごとに実施する総合シミュレーション訓練(年1回、ただし結果により追加訓練あり)などの訓練・演習を計画的に実施しています。また、状況に応じて必要な訓練を適時適切に企画し、随時実施しています。
個々の社員がリスクを積極的に認識し報告することを可能とするため、リスク報告、システム障害報告、情報セキュリティ事故報告、コンプライアンス報告、ホットラインなど各種の報告窓口を設けています。
さらに報告されたリスクからの学びをグループ全体で共有するための各種仕組みを設けています。例えば、各組織の情報セキュリティ管理状況は、当社グループのバックキャスト型のマネジメント手法であるVMM(Visualized Management Method)を活用し、モニタリングボードで全社員に共有しています。
2023年度は「レジリエンス強化戦略2023」を策定し、2021年度から「ビジネスエコシステム創出企業として危機管理能力とレジリエンス※を高める」をビジョンに継続して掲げ、以下の活動を行いました。
2023年度は、オールハザード型BCPへの転換に向けて、当社グループの重要業務がサイバー攻撃、クラウドサービス障害、大規模災害等の多様な事業継続リスクにも対応が可能となるよう、BCP/BCM の継続的改善に取り組みました。
その取り組みの一つとして、当社グループのBCP/BCM 活動に対してアセスメントを実施しました。結果、BCP/BCMの向上、オールハザードの対応が開始されていることが確認できています。
2023年度のリスク棚卸は、2022年度に引き続き「内部環境/外部環境変化に伴う見直し」に加えて「損失を招く具体的な事象の例(リスクシナリオ)」と「現状で想定される、最悪のリスクシナリオ(ワーストシナリオ)」の報告を追加して実施した結果、リスク影響度、発生頻度、予防策、リスク発生時対応の見直しが適切になされていることを確認しました。
さらに、地政学リスク等、社会環境の変化に伴い新たに出現、変化するリスクや、事業戦略やビジネスモデルの変更が必要となるような事業に重大な影響を与える可能性があるリスクを特定しています。これらのリスクは、今後「新興リスク」として管理していきます。
2024年度も引き続き、外部・内部環境の変化への対応およびリスクマネジメントシステムのアップデートを進めます。また、具体的な未然防止・発生時対応のみならず、サステナビリティの観点から、中長期の将来予測の視点を追加していく必要性があると認識しています。新興リスクを特定し、対応を検討するための手法・プロセスの改善にも取り組んでいきます。
投資者の判断に重要な影響を及ぼす可能性のある事項には、以下のようなものがあります。
当社グループの事業に対し重要度が高いと評価された気候関連リスクについては、当社グループ既存リスク事象の原因となるもの(リスクドライバー)として、グループリスクマネジメントシステムのリスク分類体系の中に統合する形で位置づけています。
外部環境の変化に伴い、新たに出現、変化するリスクや、今後、事業戦略やビジネスモデルの変更が必要となるような、事業に重大な影響を与える可能性があるリスクについて、以下のとおり認識、管理しています。
今日、ChatGPTをはじめとした生成AIの普及など、AI技術は急速に進化をしています。AI技術を不適切に利用すると、プライバシーや公平性、生命・身体・財産を損なったり、人権侵害を引き起こす可能性もあります。2024年においても、偽情報や偽コンテンツの発信、著作物への権利侵害など、AI技術の不正利用が多様化、巧妙化しています。これに伴い、当社グループの事業領域にも大きな影響を与えるような想定外の課題が発生するリスクも想定できます。
当社グループでは、AIの特性を理解し、適切に利用できるよう、従業員への教育や、プロジェクトでのチェック体制を強化していくとともに、AI関連の状況やそのリスクを継続的に注視し、対応策を検討、実施してまいります。
米中対立の激化、ウクライナ情勢等を背景とした地政学リスクを新しいリスクと認識しており、テロリズム、エネルギー供給の不確実性、サプライチェーンの断絶の可能性など多岐に渡るリスクの当社グループへの影響検証を継続的に行っています。その中で、近年の、ランサムウェアの攻撃の急増と高度化の背景には、地政学上の要因が背景にあると認識しており、当社グループの事業特性上、影響度は甚大であるため、特に注視しています。リスク低減策として、防御システムの最新化など各種対策の他、社員への啓発活動を積極的に行っています。2024年においても、中東情勢や南シナ海問題など、地政学リスクは増大し、サイバー空間での攻防などの起点や各国でのポリティカルバランスの変化といったものに起因して、社会インフラとなる情報システムやネットワークへの影響などが改めて課題となっています。当社においても、ネットワークシステムの安定性確保やセキュリティレベルの向上、社内管理体制の更なる強化を図っていきます。
情報システムは、今や電力、水道、ガスなどと同様に、社会機能を維持するための重要なライフラインと言えます。当社グループは、お客様の情報システムの安定稼働を支えるICT企業として、2006年度から事業継続プロジェクトにて事業継続活動に取り組んでいます。事業継続プロジェクトは、事業継続担当の役員3名を中心に、支社支店を含めたグループ全社110名を超えるメンバーで構成し、平時には、BCP/BCMを推進し、策定した計画の見直しと改善を継続する活動の中で、災害を想定した総合訓練、机上訓練、安否確認訓練、および防火・防災などの各種訓練を定期的に実施しており、有事の際には速やかに災害対策本部として活動を開始します。
当社グループにおける事業継続の対象リスクは、2022年4月に外部環境変化に合わせて見直しを行い、以下の4つとしています。
当社グループでは、東日本大震災の経験と政府の首都直下地震および南海トラフ巨大地震の被害想定見直しを受け、さらに確実な事業継続を目指し、2018年度よりBCP/BCMレジリエンス強化戦略※を策定し、さらなるBCP/BCMの実効性向上に向けた計画的な訓練・演習の実施や、外部認証基準などに基づく現状BCP/BCMの評価・改善などの取り組みを続けています。事業継続対象リスクについては、結果事象型の考え方を取り入れ、より幅広いリスクに対応することを検討しています。
また、出社とテレワークを組み合わせたハイブリットな働き方を推進する環境下での大規模地震発生時のBCPを見直し、リモートでの本社災害対策本部の設置、テレワーク環境での事業継続など実効性の向上を継続的に図っています。
当社グループは、大規模災害、新型インフルエンザなどの事業継続を困難とする重大リスク発生時にも、人の生命と安全の確保を前提としつつ、国・地方自治体の命令・要請などを踏まえながらお客様システム、ネットワークへのサービスや当社グループが運営するサービスなど、重要事業を継続し、企業としての社会的責任を果たすことを基本方針としています。
本社災害対策本部長および班長などの主要メンバーがネットワークを通じて連携し対策本部として機能できる状態になると、リモートで本社災害対策本部を設置します。本社災害対策本部長は、CRMOが務めます。本社対策本部メンバーと役員をはじめとしたグループ内の組織長との情報共有にはクラウド上に構築した当社グループのBCP用情報共有システム(BCPポータル)を使用します。本社災害対策本部の主な役割は以下の通りですが、本部を構成する組織ごとに詳細の役割が定義されています。
本社災害対策本部の体制は以下の通りです。
なお、平日勤務時間中に震度6弱以上の地震等が発生し豊洲本社内が十分に機能しなくなる状態、あるいは豊洲本社への移動が非常に難しくなる状態となった場合は、豊洲本社ビル内に現地対策チームを組成します。豊洲本社現地対策チームは、在館の顧客・パートナー・社員への対応や社屋の被災状況の把握等、現地で必要な対応を実施します。
当社グループは、勤務時間帯に発災した場合、国・自治体の帰宅困難者問題への取り組みへの協力と社員の安全確保のために、帰宅ルートの安全が確認されるまで事業所内に留まることを基本方針とし、備蓄その他の施策を策定しています。本社地区においては、東京都帰宅困難者対策条例に則り、一斉帰宅の抑制に協力いたします。2011年3月の東日本大震災当日においても、社員はもちろん、当社へ訪問されていた多くのお客様にも翌朝交通機関の復旧まで館内に留まっていただき、水と簡単な食糧および毛布などを提供しました。
首都直下地震が発生した場合は、BIPROGYグループ本社災害対策本部(以下、本社災害対策本部)を設置します。しかしながら、その設置と活動開始には時間がかかるものと考えられるため、発災当初は当社関西支社に災害対策本部(関西災害対策本部と略します)を設置し、初動の対応を行ないます。
| レベル | 状況 | 対応 |
|---|---|---|
| 0 | 震度6以上の首都直下型地震発生 | 関西に災害対策本部を設置、初期対応を行う |
| 1 | 余震も落ち着き、本社災害対策本部員の活動可能 | 本社に災害対策本部を設置 関西対策本部から情報の引継ぎ、対応開始 |
| 2 | 電話、ネットワークなど一部復旧、交通機関も一部運転開始 | お客様システムの復旧に必須の社内重要業務の復旧 |
| 3 | テレワークまたは一時間程度の徒歩により出社可能 | 社会インフラを担うお客様などのシステムネットワーク復旧 |
| 4 | ほぼ平常どおりにテレワークまたは出社可能 | すべてのお客様システム、ネットワークの復旧 |
震度6弱以上の首都直下地震発生の場合は、関西支社の独自判断により関西災害対策本部を設置し、主に以下の初動対応を行ないます。
当社グループでは、事業所内の従業員や訪問者の安全確保、災害対策本部との連携など自衛消防隊の役割を明確に規定しています。
当社グループがサービスを提供しているお客様の情報システムやネットワークが地震等で被害を受けた場合、いち早く復旧してお客様の業務を継続していただくことは当社グループの社会的使命と考えています。このような考え方のもと、東日本大震災においてもいち早く復旧活動を行いました。
例えば、首都直下地震の場合は、被害地区に多くのお客様がいらっしゃること、また、当社グループそのものも多くのリソース(従業員、事業所、設備など)が被災地に位置することとなるため、被害を受けたお客様のシステム、ネットワークの全てを一度に復旧することは困難になるとが考えられます。したがって、グループの事業継続計画では、大地震の場合に、国としてまた社会的に早急な復旧が求められる以下のお客様のシステム、ネットワークを優先して復旧に取り組みます。
当社グループは今般の新型コロナウイルス感染症に対し、以前より策定済みの「新型インフルエンザ対策行動計画」に準じ、新型コロナウイルス感染症の海外発生期、国内発生早期、感染拡大期から回復期の各段階に応じた事業継続計画を実行しました。
基本方針は以下の通りです。
具体的な対応として、新型コロナウイルス対策本部を設置し、上記基本方針に基づいて新型コロナウイルス感染症の特性や各種状況を分析・評価し、当社グループ会社並びに協力会社社員における情報セキュリティを確保したうえでのテレワーク勤務や顧客対応を含めたオンライン会議の推進、テレワークのできない業務は時差出勤や感染リスク低減対策を講じた勤務とし、日次での安否確認によって当社グループ社員および家族の健康状態や勤務状態をグループ全体で把握・管理しました。
当社グループは、社会における感染症拡大の防止に努めるとともに、社員、協力会社、お客様および取引先の安全確保を最優先に考え、テレワークの活用など働き方改革を進めています。また、お客様の業務継続やリモートワーク、デジタルトランスフォーメーションなどを全力で支援し、レジリエントな社会の実現に向けた取り組みを加速させていきます。
既存のテクノロジーのみならず、新たなテクノロジーの研究開発およびサービスを提供する際、それらが社会に良い影響を与えるだけではなく、負の影響や想定してい...
リスク管理委員会では、管理対象とするリスクをグループ全体で共通化し一元的に管理することを目的に、グループ共通のリスク分類体系を整備しています。現在、個...
ますます複雑化・巧妙化する情報セキュリティ上の脅威に適切かつ迅速に対処するため、グループ全社員を対象としたeラーニングや階層別集合研修、技術者向けサイ...
(2024年4月現在) BIPROGY株式会社 UEL株式会社 ケンブリッジ・テクノロジー・パートナーズ株式会社 株式会社...
