リスク・マネジメント
クレハは、リスク・マネジメント部会の統括のもと、基本方針に従って、当社の経営に悪影響を及ぼすリスクの分析・評価を行い、重要度の高いリスクへの対応策を検討・実施するとともに、そのプロセスにおけるPDCAを循環させる体制を構築し、リスク・マネジメントを推進しています。
リスク・マネジメント基本方針
クレハは、取締役会の承認のもと、以下の基本方針を定めてリスク・マネジメントを行っています。
リスク・マネジメント基本方針
- 当社の経営に悪影響を及ぼすリスクを全社的に把握し、その顕在化を未然に防止し、また、リスクが顕在化した場合の影響を軽減して許容範囲に収めるよう、必要な対応策を予め講じ、備えておくことを当社のリスク・マネジメント基本方針とする。
リスク・マネジメント体制
社長直轄のサステナビリティ推進委員会の下部組織であるリスク・マネジメント部会の統括のもと、事業活動にともなうリスクの分類に応じて、関連部署や部会が主管となり、個別のリスクに直接対応する実施部署と連携してリスク・マネジメントを行う体制をとっています。
リスク・マネジメント部会は、リスク・マネジメントのシステムを構築し、実施プロセスの検証を行うとともに、全社的(経営的)視点から重要リスク認識の抜け・漏れの防止を図っています。
目標 / あるべき姿
- リスク・マネジメント体制を確立し、不測の事態発生時、損失を最小限に留めて企業活動が継続できる体制を確保する。
2022年度計画
- グループ各社におけるリスク・マネジメント活動の定着
- 指針周知による社内およびグループ内のBCPの定着
2022年度報告・成果
- 新型コロナウイルス感染症が拡大する中、グループ各社において業態に合わせて適切な予防措置などを取り、大きな影響なく事業を継続
リスク・マネジメントの実施プロセス
クレハは、以下のプロセスでリスク・マネジメントを行っています。
- リスクの特定
主管部署は、リスク分類ごとに個別リスク(具体的なリスクの内容)を設定し、その分析(重要度の判定)と評価(対応の優先度の判定)を行います。 - リスクの分析・評価
リスク・マネジメント部会は、個別リスクの分析および評価の結果についてレビューを行い、レビュー結果に応じて必要な指示などを主管部署に与えます。 - リスクへの対応策のモニタリング
主管部署は、「重要リスク」と判断された個別リスクへの対応策について実施状況のモニタリングを行い、モニタリング結果に応じて必要な指示などを実施部署に与えます。 - モニタリング結果の報告・検証
主管部署は、モニタリング結果をリスク・マネジメント部会に報告します。報告は部会からサステナビリティ推進委員会に上げられ、委員会はモニタリング結果の検証を行い、検証結果に応じて必要な指示などを主管部署に与えます。
なお、上記の遂行状況は、サステナビリティ推進委員会を通じて、経営会議および取締役会に報告されます。また、主な「重要リスク」への対応状況については、適時・適切に情報開示を行っています。
事業継続計画(BCP)
クレハは2014年5月に、地震をはじめとする大規模災害に備えた対策を整備・強化し、事業継続計画(BCP)を策定しています。2019年度には、BCPの実効性向上に向けて、近年被害が激甚化している風水害を想定に加えたBCPの更新を実施しました。今後も刻々と変化する自然災害の想定を継続的に見直すことにより、BCPの定着と内容の一層の充実を図っていきます。
また、今般の新型コロナウイルス感染症の世界的な拡大にともない、その拡大防止および従業員の安全確保のために実施したさまざまな施策を踏まえ、感染症対策のガイドラインを改定し、本社、事業所ごとの特性や実情に合わせた新型コロナウイルス感染症対策マニュアルを作成し、事業継続の確保を行っています。
海外危機管理体制の整備
クレハおよび当社グループでは、海外で発生が予想される緊急事態に際し、海外駐在員、出張者の安全確保および被害を最小限にとどめることを目的とした「海外駐在員および出張者の危機管理マニュアル」を策定するとともに、海外滞在時の医療面でのリスクに備えて、危機管理会社の医療アシスタンスサービスを導入しています。
さらに、危機管理情報の共有やタイムリーな注意喚起、渡航規制の指示などの緊急時対応を通じて、海外駐在員、出張者をサポートしています。
情報セキュリティ
クレハは、情報セキュリティ基本方針を定め、当社グループの保有する情報資産の可用性、完全性、機密性を維持し、適切に情報を管理することを目的として情報セキュリティ管理システムを運用しています。
情報セキュリティ方針
情報セキュリティ基本方針
当社は、事業活動に関わるすべての情報を対象に、適切に共有・活用するための安全・確実な管理の確立を経営の重要課題のひとつと認識し、以下の項目を情報セキュリティの基本方針としています。
- 当社は、当社の保有する情報資産の可用性、完全性、機密性を維持し、適切に情報を管理するための情報セキュリティ・マネジメント活動を推進します。
- 当社は、クレハ・グループ全体の情報セキュリティを統括し、当社およびグループ会社全体の継続的改善活動を方向付け、グループの従業員一人ひとりが情報セキュリティの重要性を認識し、実践するための教育を継続的に実施します。
- 当社およびグループ会社は、それぞれの情報資産についてリスクアセスメントを実施し、そのリスクの重要性に応じた適切な対策を実施します。
- 当社およびグループ各社は、関係法令、規則等の遵守を徹底します。
グローバル情報セキュリティポリシー
当社は2018年度に、当社グループ全体の情報セキュリティ強化を目的に、グローバル情報セキュリティポリシーを策定し、グループ各社の規程および運用ルールの本ポリシーへの準拠を推進してきました。2021年度には、すべてのグループ会社で本ポリシーへの準拠が整いました。2023年度は、最新のセキュリティ脅威に対応するため、グローバル情報セキュリティポリシーの点検、見直しを行います。
情報セキュリティ体制
サステナビリティ推進委員会の下部組織として情報セキュリティ部会を設置し、JIS Q 27001:2014に準ずる情報セキュリティ管理システム(ISMS:Information Security Management System)を構築、運用して、情報セキュリティの継続的改善を推進しています。
また、2019年度には、万一の情報セキュリティ事故発生時に備えた対応チーム(CSIRT:Computer Security Incident Response Team)を立ち上げ、情報セキュリティ事故の最小化を図る体制を整えています。CSIRTが即時に機能するよう、重大脅威に対するフローや体制の見直しも図っています。
目標 / あるべき姿
- 情報セキュリティ事故を発生させない。
- 事故発生時には、適切な情報開示と迅速な復旧を行う。
2022年度計画
- 情報セキュリティ事故発生0件
- 情報セキュリティリスクアセスメントの実施対象部署における重要対策の完全遵守
- 新しいサイバー攻撃への対策強化
- 研究、生産設備における情報セキュリティ対策の実施
2022年度報告・成果
- 情報セキュリティ事故発生0件
- 当社23部署、グループ会社7社において情報セキュリティリスクアセスメントを実施し、重要対策が完全遵守されていることを確認。定期的なリスクアセスメントの実施により、当社で発生し得る情報セキュリティへの脅威対策を実施
- 研究16部署、生産設備13部署を対象に情報セキュリティ対策を実施。実効性の高い対策に改善
情報セキュリティ対策
当社は、情報セキュリティ基本方針に則り、情報セキュリティに関する情報を幅広く収集しながら、以下の対策を継続的に実施しています。
-
サイバー攻撃対策
外部からのサイバー攻撃を検知・遮断するシステムおよび外部からの侵入を検知した場合は被害を最小化するシステムを導入しています。セキュリティベンダーによる24時間365日の監視サービスにより、システムの安定稼働を維持しています。 -
情報資産のリスクアセスメントの実施
情報セキュリティリスクアセスメントを計画的に実施し、保有する情報資産の情報セキュリティ上のリスク評価と対策実施によりリスク低減を図っています。 -
情報漏えいリスク対策
定期的なセキュリティベンダーによる診断を実施するとともに、日々高度化、巧妙化するサイバー攻撃に対応するセキュリティ強化策を講じることで、常に高レベルのセキュリティ体制を維持しています。 -
情報セキュリティ教育、訓練
全従業員に対して継続的に情報セキュリティ教育を実施しています。また、不審メールを受信した場合の正しい行動を学ぶため、メール利用者を対象に標的型攻撃メール模擬訓練を実施しています。 -
新型コロナウイルス感染症対策(事業継続のためのアクセスツール利用時)
コロナ禍において、従業員が自宅でアクセスツールを使用して業務を遂行する場合の情報セキュリティ上のリスクを周知し、誓約事項を定めて、その徹底を図っています。
情報システムの災害対策
当社の基幹業務システムおよび社内メールシステムには、災害対策の環境を有するクラウドサービスを導入しています。また、電子ファイルシステムも災害対策を考慮し、堅牢な国内データセンターで稼働しています。