リスクマネジメント

Zホールディングスグループでは、「ERM、BCP、グループ全体の意識向上」を三本柱としたリスクマネジメント活動を行っています。これらの活動と体制の根拠として「リスクマネジメントに関する規程」を定め、この規程に則り「リスクマネジメント委員会」を設置し、その事務局や推進の機能を担う組織としてセキュリティ・リスクマネジメント統括部を経営直下に配置しています。

■ERM: 全社的リスクマネジメント(ERM:Enterprise Risk Management)を運用することで事業活動に関わる広範なリスクを的確に認識し、特定し、対応を行っています。

■BCP: 膨大なアクセスやサイバー攻撃に耐えられる備えの構築はもちろん、大規模災害発生時にも必要なサービスを維持できるように、優先順位に応じた事業継続計画(BCP:Business Continuity Plan)を実現しています。

■グループ全体の意識向上: リスクマネジメントを一部の関係者だけに閉じずに、全社のリスクマネジメントにかかわる方針や最新の情勢に関する認識などを多くの従業員に共有し、意識の向上と更新に努めています。

ERM

基本方針

事業環境が変化し続ける中で、多様な事業領域でのリスクを認識し、特定し、対応するために28項目の重点リスクごとにERMを運用しています。そのプロセスと分析、結果については、リスクマネジメント委員会などを通じて、経営者と直結させています。

対象項目

環境(E)、社会(S)、ガバナンス(G)、ビジネス他(B)の領域から28の重点項目を定め、事業環境の変化にも左右されないリスクアセスメントを実施しています。

環境(Environment)
環境負荷
環境影響
社会(Social)
人権・多様性
労働者
個人情報・プライバシー
サイバーセキュリティ
反社・マネーロンダリング・贈賄
アビューズ・不正利用
コミュニケーション
ガバナンス(Governance)
企業倫理
競争行動
法・規制・許認可
システム障害・停電
事業継続・危機対応
経営戦略
カントリー・地域
コンプライアンス・知財
会計・税務・財務
ビジネス(Business)
品質・安全安心
ビジネスモデル・デザイン
サプライチェーン・調達
業務委託
市場・競合
人財・オペレーション
グループガバナンス
依存
訴訟
ステークホルダー

ERMの推進体制

ZホールディングスのERM体制は以下の図表のとおりです。

ERMの推進体制図。グループ会社各社のERM責任者を中心に情報が集約され、リスクマネジメント委員会が統括します。
ZホールディングスERMプロセス図。リスクマネジメント委員会が活動方針を決定し、ERM総会にてその方針を説明。グループ会社各社でのリスクマネジメント活動に活用。活動報告をもって、次年度の活動方針策定となる。

リスクマネジメントに関する規定及び特定領域のリスク所管部門

「リスクマネジメントに関する規程」では、Zホールディングスグループにおけるリスクマネジメントの最高責任者が代表取締役社長であるとし、リスクマネジメント委員会の構成や役割、リスクの評価、対応のほか、各グループ会社においてERM活動態勢を整備すること、インシデントが発生した際の報告方法などを規定しています。
さらに、先述の「対象項目」から特定領域のリスクとその所管部門を定め、所管部門は特定領域のリスクについて、リスクマネジメント統括組織とともに、Zホールディングスグループグループ全体のリスク評価、対応計画する役割があることなどを規定しています。

特定リスクの例

■情報セキュリティリスク: 「完全性、機密性、可用性」など情報セキュリティが損なわれるリスクや、サイバー攻撃などによるリスクです。セキュリティ部(セキュリティを統括管理する部門)などで所管。

■物理セキュリティリスク: 従業員や関係者の身体生命、会社資産や事業継続に影響を与えるような物理的な攻撃によるリスクです。

■法規制リスク:アビューズリスク法規制の変更による事業環境の大きな変化や、不正利用などによって信頼感や安心感が損なわれるリスクです。政策企画統括部(法務関連部門)などで所管。

■人材獲得リスク:最適かつ多様性の担保された人材を獲得し、能力を発揮してもらうことは企業活動にとって重要な要素です。これが損なわれ事業活動に影響を及ぼすリスクです。人事総務統括部(人事関連部門)などで所管。

■自然環境、災害及び有事に関わるリスク:電力を中心としたエネルギ―消費によるCO2排出という環境への負荷、また、地震、火災、感染症等による業務継続及び復旧計画機能不全の可能性があります。更に、紛争、クーデター及びテロなどによる事業運営の制限、収益の減少というリスクです。

BCP(事業継続計画)

非常時のサービス継続

巨大地震などの有事の際にこそ利用者が必要とするニュースや災害情報などを提供し続けることは当社グループの使命のひとつです。そのため、災害の影響を分散するために複数のデータセンターと複数のバックボーンを用いてサービスを提供しています。
また、東京・紀尾井町オフィスと地理的に離れた大阪や福岡、青森に編集拠点を設置し、日ごろからこの複数拠点で「Yahoo! JAPAN」トップページや「Yahoo!ニュース」などのサービスを更新し続ける体制を構築し、非常時に備えています。このようなネットメディアとしての使命と同様に、決済、流通、情報共有など多くのサービスの持つ社会性を考慮し、それぞれの特性に応じたBCPの更新にも取り組んでいます。

気候変動への対応

Zホールディングスグループでは、在宅勤務やオフィス外での勤務を可能とする勤務制度を複数用意し、VPN接続などのインフラを整備し、多くの従業員がこれを日常的に利用しています。働き方の多様性を実現すると同時に地震やパンデミックなどの非常災害時のBCPの一環として実施しています。特に、温暖化などの気候変動により、気象災害の激化、海水面上昇に起因する水害など、通勤困難な状況が長期間にわたって発生する事態も想定した対応となっています。

災害対策本部と防災会議

非常時にも経営の意思決定と意思伝達をスムーズにするための災害対策本部設置訓練を定期的に行っています。災害対策本部の根拠となる「非常災害対策規程」を作り、非常時における経営陣や各部署のを役割を明確にしています。常時においては、同規程に基づく「防災会議」を開催し、非常時への備えや、BCPの随時見直し、防災計画の策定を行っています。

グループ全体の意識向上

トップインタビューの公開

ERM活動の一環として、毎年経営陣へのインタビューを行い、事業環境の変化や重点的な事業リスクに対する認識などを確認し従業員に公開しています。
経営陣が肉声で語るリスクの認識を社内で共有することは、リスクマネジメントに関する意識の向上に大きく貢献しています。

研修活動と社内コミュニティの活用

リスクに関するさまざまな研修活動を行っており、社内での講習に加えて、社外施設の見学などの研修にも積極的に行っています。また、社内コミュニケーションのための掲示板では社内の事例や他社の事例・事故などの情報が数多く共有され、活発な議論が日々行われています。リスクやリスクマネジメントを「他人事にしない」「タブーにしない」ための土壌が従業員のコミュニティの中に自然に形成されています。

事故報告システムの活用

「Yahoo! JAPAN」のサービスなど、社内のさまざまな業務に関連して事故が発生した場合、報告システムを通じて、事象を発見してから1時間以内に報告を行うことになっています。報告された内容は、ただちに関係のある複数の部署内で共有されるとともに、状況把握、応急処置、原因分析、根本対策といった進捗をデータベースで逐次管理し、再発防止に役立てています。

社会全体との協働

ネットの不正利用は高度化・複合化しており、サービス提供企業単独での対策には限界があることが明らかになっています。また、特にSNSサービスなどは公益性を向上させる一方で、時に不適切な投稿が他者の人権を侵してしまう可能性があります。そのため、捜査機関や公的機関との連携はもちろん、他社と連動した取り組みや、設立団体などを通じた活動を行っています。特に、利用者を被害者にしないための啓発活動やリテラシー教育は重要であり、長年この活動にも注力し続けています。