リスクマネジメント

Zホールディングスグループでは、ERM(Enterprise Risk Management)活動、グループ全体におけるインシデント発生の把握、リスクインテリジェンス活動および、リスクマネジメント意識の向上を柱に、リスクマネジメント活動を行い、リスクの低減に努めています。リスクマネジメントに関する規程を定め、規程に基づき、グループ各社におけるERM活動を推進するとともに、リスクマネジメント委員会や各種分科会における活動を実施しています。

■ ERM:グループ会社全体にリスクマネジメントを運用することで事業活動に関わる広域なリスクを的確に認識、特定し、対策、対応をおこなっています。

■ インシデント発生の把握:インシデントが発生した際、迅速的確な初期対応をおこない、事態の拡大防止と早期収束に努め、インシデント対応の状況を分析したうえで、再発防止策等の実現を支援しています。

■ リスクインテリジェンス活動:事業環境および社会情勢の変化を収集・分析するインテリジェンス活動の専門部署を設置し、グループのリスクマネジメントおよび経営戦略に直結させています。

■ リスクマネジメント意識の向上:グループ経営にとって、リスクマネジメントがより大事であることをグループ各社の経営陣に伝えるとともに、グループ内のすべての関係者が、リスクマネジメントの意識をもって日々の活動に取り組むことができるよう、あらゆるチャネルを使い、その意識の向上に努めています。

Zホールディングスグループの2021年度トップリスク

トップリスクの決定とトップインタビューの展開

リスクマネジメント活動の中からZホールディングスグループとして、注目すべきリスクを「トップリスク」として選定し、グループ各社におけるリスクマネジメント活動の指針にしています。
2021年度は、Zホールディングスの経営者で構成されているリスクマネジメント委員会(委員長:Co-CEO)において、9つの「トップリスク」を定めました。また、「トップリスク」に関してCo-CEOに「トップインタビュー」を実施し、その模様をグループ会社全体に届けています。

Zホールディングスグループの2021年度トップリスク

人命リスク 0. 従業員の生命の安全が脅かされるリスク
ガバナンス 1. グループ内ガバナンスの未整備・不首尾
内在リスク 2. 巨大IT企業への批判・規制
3. グループとしての技術開発・人材育成の遅滞
4. 世界的な意識変化への対応の失敗
新興型リスク 5. 地政学上・安全保障上のリスク増大の影響
6. AIに関する不確実性の増大
レジリエンス系 7. 事業環境の大変動
8. グループ各社の事業継続に関するリスク

ERM

基本方針

事業環境が変化し続ける中で、事業目的に対する不確実性の影響(リスク)について、リスクを認識し、特定しています。そのプロセスと分析、結果については、リスクマネジメント委員会などを通じて、経営陣と直結させています。

グループ会社におけるERM活動

トップリスクや、トップインタビューの内容をもとに、各グループ会社にてERM活動を推進し、その活動内容については、Zホールディングスと連携しています。

ERM推進体制

ZホールディングスグループのERM推進体制は以下の図表のとおりです。

ERMの推進体制図。グループ会社各社のERM責任者を中心に情報が集約され、リスクマネジメント委員会が統括します。
  • ※リスクマネジメント委員会 : Co-CEOが委員長をつとめ、専務執行役員、常務執行役員等で構成され、Zホールディングスグループ全体のリスクマネジメントを統括しています。

リスクアセスメント対象項目

事業環境のあらゆる変化にも柔軟に対応できるよう、事業目的に対する不確実性の影響(リスク)について、環境(E)、社会(S)、ガバナンス(G)、ビジネス他(B)に分類し、さらに、32の中項目、122の小項目を用い、リスクアセスメントを実施しています。

環境
(Environment)
環境負荷
環境影響
社会
(Social)
人権・多様性
労働者
個人情報・プライバシー
サイバーセキュリティ
反社・マネーローンダリング・贈賄
アビューズ・不正利用
コミュニケーション
人事制度(人材戦略)
ガバナンス
(Governance)
企業倫理
競争行動
法・規制・許認可
システム障害
データガバナンス
事業継続・危機対応
経営戦略
カントリー・地域
コンプライアンス・知財
会計・税務
財務
ビジネス
(Business)
品質・安全安心
ビジネスモデル・デザイン
サプライチェーン・調達
業務委託
市場・競合
人財・オペレーション
グループガバナンス
依存
訴訟
ステークホルダー
事故・故障

ERMプロセス図

ZホールディングスERMプロセス図。リスクマネジメント委員会が活動方針を決定し、ERM総会にてその方針を説明。グループ会社各社でのリスクマネジメント活動に活用。活動報告をもって、次年度の活動方針策定となる。

リスクマネジメントに関する規定及び特定領域のリスク所管部門

「リスクマネジメントに関する規程」では、Zホールディングスグループにおけるリスクマネジメントの最高責任者が代表取締役社長であるとし、リスクマネジメント委員会の構成や役割、リスクの評価、対応のほか、各グループ会社においてERM活動態勢を整備することや、インシデントが発生した際の報告方法などを規定しています。
さらに、先述の「リスクアセスメント対象項目」から特定領域のリスクとその所管部門を定め、所管部門は特定領域のリスクについて、リスクマネジメント統括組織とともに、Zホールディングスグループ全体のリスク評価をおこなう役割があることなどを規定しています。

特定リスクの例

■情報セキュリティリスク: 「完全性、機密性、可用性」など、情報セキュリティが損なわれるリスクや、サイバー攻撃などによるリスクです。

■物理セキュリティリスク:従業員や関係者の身体生命、社会資産や事業継続に影響を与えるような物理的な攻撃によるリスクです。

■法規制リスク・アビューズリスク:法規制の変更による事業環境の大きな変化や、不正利用などによって信頼感や安心感が損なわれるリスクです。

■人材獲得リスク:最適かつ多様性の担保された人材を獲得し、能力を発揮してもらうことは企業活動にとって重要な要素で、これが損なわれ事業活動に影響を及ぼすリスクです。

■自然環境、災害及び有事に関わるリスク:電力を中心としてエネルギー消費によるCO2排出という環境への負荷、また地震火災、感染症などによる業務継続及び復旧計画機能不全の可能性や、更に、紛争、クーデター及びテロなどによる事業運営の制限、収益の減少というリスクです。

分科会

リスクの中から、特にグループ横断的な課題があるリスクについて、グループ各社から専門性の高い委員を招聘し、リスクマネジメント委員会内に分科会を設置しています。分科会では、リスクの検討、軽減、対応策の選定などを実施しています。

■データガバナンス分科会
グループにおけるデータガバナンス基本方針を定め、データの活用と保護、それを実現する研究開発など、多角的にデータガバナンスの在り方を検討し、Zホールディングスグループ経営に反映しています。

■アンチマネーローンダリング分科会
グループにおけるマネーローンダリング対策方針を定め、実効性のあるマネーローンダリング対策を推進しています。

■人権分科会
グループにおける人権リスク対策方針を定め、実効性のある人権リスク対策を推進しています。

グループ全体の意識向上 

重大インシデント報告

リスクマネジメントに関する規程において、インシデントとは、「リスクが現実化し、当グループが損失または不利益を被り、またはその蓋然性が極めて高くなっている状態をいう」と規定し、さらに重大インシデントの基準を明確化し、重大インシデントに該当するものは速やかにリスクマネジメント統括組織を通じて、リスクマネジメント委員会に報告するよう定めています。報告された内容は特定領域のリスク所管部門や各分科会とも共有され、グループ内でのインシデント状況について速やかに把握できる仕組みを整備しています。また、グループ各社における対応、原因分析、再発防止策の策定なども関係者間で共有することで、リスクマネジメントに資する活動を推進しています。

研修活動とコミュニティーの活用

グループ会社との関係において、重要な情報共有・意思疎通のしやすい関係を構築することは、グループにおけるリスクマネジメントの重要事項であるととらえ、グループ内コミュニティーの形成に力を入れています。年2回のERM総会*や、適宜おこなわれるERMラウンジ*を開催し、各社のリスクマネジメント担当者同士の情報共有や交流を図っています。
それらにより、リスクやリスクマネジメントを「他人ごとにしない」「タブーにしない」などの効果を期待しています。
加えて、さまざまな研修活動をグループ内へ積極的に展開し、グループ全体のリスクマネジメントのベースアップに努めています。

  • *ERM総会 : ERMの基本方針やCo-CEOからの意思伝達、活動の振り返りをおこなうオフィシャルな場として年2回開催しています。
  • *ERMラウンジ : ERM担当者間の情報共有の場としてフランクな形で定期的に開催しています。

社会全体との協働

ネットの不正利用は高度化・複合化しており、サービス提供企業単独での対策には限界があることが明らかになっています。また、特にSNSサービスなどは公益性を向上させる一方で、時に不適切な投稿が他者の人権を侵してしまう可能性があります。そのため、捜査機関や公的機関との連携はもちろん、他社と連動した取り組みや、設立団体などを通じた活動を行っています。特に、利用者を被害者にしないための啓発活動やリテラシー教育は重要であり、長年この活動にも注力し続けています。

BCP (ヤフーの事例)

非常時のサービス継続

巨大地震などの有事の際にこそ利用者が必要とするニュースや災害情報などを提供し続けることは当社グループの使命のひとつです。そのため、災害の影響を分散するために複数のデータセンターと複数のバックボーンを用いてサービスを提供しています。
また、東京・紀尾井町オフィスと地理的に離れた大阪や福岡、青森に編集拠点を設置し、日ごろからこの複数拠点で「Yahoo! JAPAN」トップページや「Yahoo!ニュース」などのサービスを更新し続ける体制を構築し、非常時に備えています。このようなネットメディアとしての使命と同様に、決済、流通、情報共有など多くのサービスの持つ社会性を考慮し、それぞれの特性に応じたBCPの更新にも取り組んでいます。

非常災害をも想定した柔軟な勤務制度

在宅勤務やオフィス外での勤務を可能とする勤務制度を複数用意し、VPN接続などのインフラを整備し、多くの従業員がこれを日常的に利用しています。働き方の多様性を実現すると同時に地震やパンデミックなどの非常災害時のBCPの一環として実施しています。特に、温暖化などの気候変動により、気象災害の激化、海水面上昇に起因する水害など、通勤困難な状況が長期間にわたって発生する事態も想定した対応となっています。

災害対策本部と防災会議

非常時にも経営の意思決定と意思伝達をスムーズにするための災害対策本部設置訓練を定期的に行っています。災害対策本部の根拠となる「非常災害対策規程」を作り、非常時における経営陣や各部署の役割を明確にしています。常時においては、同規程に基づく「防災会議」を開催し、非常時への備えや、BCPの随時見直し、防災計画の策定を行っています。