リスクマネジメント
リスクマネジメント
当社グループは、企業価値の向上と持続的な成長を実現するために、予見することが難しいリスク及び機会や全社横断的に対応が必要となるリスク及び機会への対応として、リスク項目の特定(洗い出し)、リスク分析(定量化)、リスク評価(優先順位付け)、リスク対応(対応方針)の検討を行い、リスクマネジメントのPDCA強化に努めています。
リスクの定義と分類
当社グループにおいて、リスクとは「目的に対する不確かさの影響であり、事象が起きた際の戦略達成やビジネス目標に影響を与える可能性」と定義しています。
認識したリスクは、下表のとおりリスク種別(戦略リスク・純粋リスク)やリスク要因(内部要因・外部要因)を踏まえて分類したうえで、リスクファクターごとに発生可能性や影響度を基に定量化し、基準点を超えるリスクを「重点リスク」として選定しています。また、評価点によって優先順位付けを行い、重点的に対策を検討しています。
| 内部要因 | 外部要因 | 当社グループの対応方針 | |
|---|---|---|---|
| 戦略リスク |
1. 成長リスク 顧客環境、事業環境(人財、アセット)を踏まえた成長戦略実行を阻害するリスクとして認識した要因 |
2. 環境変化リスク 外部環境(政治、経済、法規制、技術革新、気候変動)の変化に起因し、成長戦略を阻害するリスクとして認識した要因 |
積極的なリスクテイクで成長につなげる |
| 純粋リスク |
3. オペレーショナルリスク 内部プロセス、人、システムが不適切、もしくは機能しないことにより発生するリスクとして認識した要因 |
4. ハザードリスク 外的事象で発生した際に損害、危害を与え、事業継続を阻害する不可抗力リスクとして認識した要因 |
リスクヘッジで損失を極小化する |
| 当社グループの対応方針 |
未然に発生を防止する |
発生した場合を想定してダメージコントロールする |
リスク管理体制
当社グループは、リスク管理体制として、リスクファクターごとにリスクオーナー※1と実行責任者※2を選定し、リスクマネジメントを行っており、リスクオーナーまたは実行責任者がリスク項目への対応状況について執行役員会議へ報告するとともに、適宜、取締役会・監査等委員会へ報告することでERM(Enterprise Risk Management)の実効性の確保に努めています。
- ※1リスクオーナー:リスクへの対応を協議し、対応施策の実行と監視・監督する責任者
- ※2実行責任者:リスクオーナーと連携してリスク対応を行い、迅速に実行する責任者
リスクファクターと当社グループの取り組み状況
- 1.
- 2.
- 3.
- 4.
※投資者の判断に重要な影響をおよぼす可能性のある事項には、以上のようなものがあります。ただし、上記に記載したリスクは主要なものであり、記載されたリスク以外の予見できないリスクや特記していない全社横断的に対応が必要となるリスク等も存在します。かかるリスク要因のいずれによっても、当社グループの財政状態および経営成績に影響をおよぼす可能性があります。
参考:リスクファクターごとのヒートマップ(優先度の高い順)
災害リスク対策
BCPの推進
近年、多発する自然災害(地震・洪水・土砂災害・津波・火山噴火など)や、感染症(新型コロナウイルスなど)により、人々の生活が脅かされるだけでなく、企業活動にも大きな影響を与えています。そのような状況下で、物流業にとってのBCPとは、単に事業を続けるための計画ではなく、被災した地域への医薬品、食料、さらには生活基盤となる社会インフラの復旧に努め、寄与するための備えであり、人々の暮らしを守る社会的使命を担っていると考えています。また、会社の事業を守ることは、従業員の雇用を守ることでもあります。そこで当社グループは、リスク発生時においても事業を中断することなく、お客さまに高品質なサービスを提供するために、また従業員の雇用を守るために、社長執行役員を委員長とするBCM委員会(Business Continuity Management Committee:事業継続マネジメント委員会)において、BCP(Business Continuity Plan:事業継続計画)の方針・施策を決定し、グループ全体で責任を果たすための対策を実施しています。
事業継続マネジメント体制/BCP推進体制(2024年4月時点)
「BCM委員会」を最高決議機関として、以下の体制にて当社グループのBCPを推進しています。
BCM委員会
BCP推進の「全体方針」「重要施策」の決定を行っています。(開催頻度:原則年1回)
BCP推進会議およびグループ全社災害対策本部
本社・各統括本部・各グループ会社のリスク担当者を対象とし、BCM委員会で決定された全社方針・施策の周知やBCP推進に関する協議を行っています。(開催頻度:原則年2回)
グループ会社BCP推進担当者会議
各グループ会社の現場部門までのBCP対策浸透を意識した、担当者への啓発および意見交換の場として、定期的に開催しています。(開催頻度:原則年2回)
安否確認
災害が発生した際に、グループ従業員の安否確認を迅速に行う仕組みとして、各自が所有する携帯電話、スマートフォン、パソコンを使った安否確認システムを運用しています。また、海外への出張者・海外駐在員を対象に、海外安全教育を実施するほかグローバルアラート(海外安全情報)をタイムリーに発信し、災害・危険情報を共有することで、従業員の安全確保を図っています。
BCP体制の強化
大規模災害時、当社グループの事業の早期復旧と継続を図るため、本社・営業本部・グループ会社の災害対策本部間の連携強化に向けた訓練を定期的に行っているほか、海外グループ会社との緊急連絡体制の整備をすすめています。
国内での災害対策
国内では、主に当社の事業継続を脅かすような大規模自然災害を想定したBCPを策定しています。これまで、BCPの実効性を高めるため、大地震が発生したという想定のもと、災害対策本部訓練などを毎年数ヵ所の事業所で実施していましたが、2021年度は、既存の初動対応マニュアルを見直した上で、グループ会社16社を対象に初動対応訓練を実施しました。
2022年度は、災害時の初動対応の強化のため、グループ会社18社がKYT(危険予知訓練)を実施し、3社が地震を想定した初動対応訓練を実施したほか、災害対策に関する課題の共有を図るため、6月に「全社災害対策本部BCP訓練」を行いました。
2023年度は、南海トラフ地震が発生するシナリオで、本社に災害対策本部が招集され、発災直後から当日の初動対応を想定したシミュレーション訓練※を行いました。
※グループ各社本社の災害対策本部員によるブラインドシナリオ型のシミュレーション訓練(グループ各社の事業所が被災した想定)参加人数は、全13社、約225名
海外での体制強化
海外では、北米、欧州、中国、アジアの各エリアの主要拠点を対象に日本からBCPキャラバンを派遣し、リスク管理体制の構築・整備に取り組んでいます。さらに、外務省・大手通信社などの情報ソースをもとに、大規模災害、テロなどの事変発生の情報収集、および海外駐在員・出張者へのアラート発信を行うとともに、現地発信による緊急連絡体制を構築しています。
2022年度は、災害時等の事業継続に関する各種マニュアルの英訳を進めたほか、海外グループ会社のFlyjac Logistics Pvt. Ltd.(インド)においてBCPキャラバンの一貫として、お客さまのご要望でもあった「危機対応マニュアル」の策定をサポートしました。中国エリアにおいては、現地ヒアリング・調査を行ったうえで、昨今の地政学リスクを考慮した「緊急時対応マニュアル」を策定しました。
2023年度は、アジア地域4拠点にて「危機対応マニュアル」の策定をサポートしました。中国エリアにおいては、現地ヒアリング・調査を行い、「緊急退避マニュアル」を取りまとめました。インドネシアにおいては、策定した「危機対応マニュアル」(アクションプラン)が機能するかを確認する訓練(読み合わせ訓練)を実施し、訓練での参加者意見を取り纏め、マニュアルのブラッシュアップを行っています。各拠点において、日本国内と同様に消防巡視を実施して、火災を発生させない職場作りを進めています。
防災関連の取り組みについて
災害発生からBCP発動までに必要な対応である「初動対応」に関して、「防災」に重点を置いた取り組みの拡充を図っています。
- 訓練事例を充実させた「防災訓練運営マニュアル」の展開
- 全事業所での「防火危険予知(KYT)訓練」の実施
- 「火災事例集」の作成・展開
- 社内教育システムを活用した教育受講環境の整備 等
各階層別教育でのBCP教育の実施やeラーニングの実施
事業継続の重要性についての従業員の理解浸透を図るため、各種教育を実施しています。
2023年度は、全従業員向けに毎年実施しているeラーニング、海外赴任者への渡航前教育に加えて、入社時研修において新入社員向けにBCP教育を実施しております。
災害発生時の行動基準の周知
災害発生時にどのような行動を取ればよいか記載した「緊急対応カード」を全従業員に配付し、災害時対応の周知徹底を図っています。
自然災害に対する事前対策
今後発生が予測されている大規模な地震をはじめ、毎年発生する集中豪雨や台風等の災害に備え、当社グループでは、過去の自然災害を教訓に、実施すべき対策を「設備」「備蓄品」「避難」などのテーマ別に取りまとめ、「自然災害対策集」として各事業所に展開しています。
VC活動との連携
リスクマネジメントに対する従業員の意識向上を図るため、VC活動※との連携を進めています。
2022年度は、安全・品質・リスクをテーマとした対話セッションを実施し、従業員にBCPをより身近に感じてもらえるような対話を行ったほか、VC活動を通して得られた従業員の声の各種教育資料への反映や、好事例としての社内展開を行ないました。
2023年度は、防火KYTについてのeラーニングを実施し、全54回延べ約70,000名の従業員が教育を受講しました。
※VC活動(Value Change & Creation):「LOGISTEED WAY」を実践する日々の改善活動。
笑顔と活気にあふれる職場づくり(VC活動:Value Change & Creation)
情報セキュリティ強化
お客さまより預かる情報資産および当社の情報資産を適切に管理・保護することが最重要であると認識し、グループ全体で、社内規則の制定、従業員の教育・啓発活動を推進し、お客さまに安全・安心な物流サービスをお届けするため、セキュリティレベルの維持・向上に努めています。
情報セキュリティ基本方針
1. 情報セキュリティ管理規則の策定及び継続的改善
当社は、情報セキュリティの取り組みを、経営並びに事業における重要課題のひとつと認識し、法令及びその他の規範に準拠・適合した情報セキュリティ管理規則を策定する。更に、全社情報セキュリティ管理体制を確立し、これを着実に実施する。加えて組織的、人的、物理的及び技術的な情報セキュリティを維持し、継続的に改善していく。
2. 情報資産の保護
当社は、当社の扱う情報資産に対する紛失、漏洩、不正アクセス、改ざん、破壊等の脅威から情報資産を保護するため、適切な対策を講じる。
3. 法令・規範の遵守
当社は、情報セキュリティに関する法令及びその他の規範を遵守する。また、当社の情報セキュリティ管理規則を、これらの法令及びその他の規範に適合させる。
4. 教育・訓練
当社は、役員及び従業員等へ情報セキュリティの意識向上を図るとともに、情報セキュリティに対する教育・訓練を行う。
5. 事故発生予防と対応
当社は、情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、再発防止策を含む適切な対策を速やかに講じる。
個人情報保護
お客さまからお預かりする情報には、数多くの個人情報が含まれています。当社グループでは「個人情報保護方針」を定め、個人情報の適切な保護につとめています。
個人情報保護・情報セキュリティ推進体制(2024年4月時点)
個人情報保護・情報セキュリティ強化への取り組み
社会情勢や海外の個人情報保護の状況変化に合わせて社内規則を改定し、個人情報保護や情報セキュリティの管理・運用状況の確認などを通じて情報漏えい防止に努め、高いセキュリティレベルを維持していくため、一般社団法人電子情報産業技術協会に参画し、社外動向の情報収集および外部専門家との協業を図っています。
また、海外を含むグループ全体でガバナンスを強化しており、年に1回、個人情報保護・情報セキュリティ運用状況の確認およびリスク評価を実施するなど、継続的な対策を図っています。そのほか、従業員向けの教育や標的型攻撃訓練、欧州GDPR※等諸外国の関連法対応など、国内外の個人情報保護に取り組んでいます。
さらに、業務委託先であるお取引先に対しても、個人情報・情報セキュリティの取り組み状況について自己点検の実施を依頼し、その点検結果を当社で評価することでリスク軽減を図っています。
※GDPR(General Date Protection Regulation:一般データ保護規則):欧州連合(EU)が定めた個人データやプライバシーを保護するための法律。企業や団体に対し、個人データの取り扱い(処理と移転)に厳しい規制を課すもの。
個人情報保護・情報セキュリティに関する目標と実績
毎年度、情報セキュリティ重大事故の発生0件を目標としています。2023年度は、重大事故は発生しませんでした。
対象範囲:当社、国内・海外グループ会社
| 情報セキュリティ事故発生件数(2023年度) | 目標 | 実績 |
|---|---|---|
| 0件 | 0件 |
個人情報保護・情報セキュリティに関する教育・訓練
セキュリティ意識と対応力の向上を目的に、役員・パートナー社員を含むすべての人財を対象としています。
個人情報保護・情報セキュリティの基礎知識に関するeラーニング教育に加え、サイバー攻撃のようなセキュリティ事故発生時の適切な初動対応について修得するために体験型の訓練を行っています。なお、サイバー攻撃の訓練は2023年度より攻撃の高度化・多様化を想定した高難度の訓練を海外グループ会社にも展開、13,000名を超える従業員への訓練を行いました。
対象範囲:当社、国内・海外グループ会社
| 情報セキュリティ教育の受講率(2023年度) | 目標 | 実績 |
|---|---|---|
| 100% |
100% (35,967名) |
対象範囲:当社、国内・海外グループ会社
| 標的型攻撃メール訓練の開封率(2023年度) | 目標 | 実績 |
|---|---|---|
| 5.0% | 12.0% |
情報漏えい防止対策
当社グループは、情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなパソコン、電子ドキュメントのアクセス管理、認証基盤の構築によるID管理とアクセス制御、メールやWeb サイトのフィルタリングシステムなどをIT共通施策として実施しています。標的型メールなどのサイバー攻撃に対しては、IT施策においても早期検知や拡散防止策などのさまざまな対策を実施、強化しています。
第三者認証
プライバシーマーク
個人情報について適切な保護措置を講ずる体制を整備している事業者であることを認定するプライバシーマークの認証を取得しています。また、事業の特性等を踏まえた個人情報保護に関するリスク評価に基づき、国内グループ会社でも同認証を取得しています。
| 当社含む国内グループのプライバシーマーク取得状況(2024年3月末時点) | 9社 |
|---|
情報セキュリティマネジメントシステム (ISMS)
企業に強固な情報セキュリティ体制の構築が求められるなか、当社では、情報システムの安全管理体制が一定の基準に達していることを認定する国際標準規格ISO/IEC27001認証を取得しています。
尚、事業の特性上、個人情報・個人データを含む機微な情報を取り扱う部門や事業所が取得しています。
ISMS認証取得状況
| 認証規格 | ISO/IEC 27001:2022(※1)・JIS Q 27001:2023(※2) |
|---|---|
| 登録範囲 |
3PL事業における営業・設計・開発、及び物流センター運営(医療・医薬・情報通信機器) |
| 初回登録日 | 2005年12月22日 |
| 有効期限 | 2026年12月21日 |
| 認証取得事業所 |
- ※1 国際標準化機構(International Organization for Standardization)並びに国際電気標準会議(International Electrotechnical Commission)による情報システムセキュリティマネジメントシステムの規格。
- ※2 「日本産業標準調査会(JISC)」がISO/IEC 27001:2022を日本語に翻訳し、国家規格(JIS)として発行。
顧客プライバシーについて
2023年度において、顧客プライバシーの侵害および顧客データの紛失に関して、具体化した不服申し立てはありませんでした。
リスクマネジメントデータ
災害訓練の実施回数や情報セキュリティにに関するデータを下記にて一覧でまとめています。