リスク・マネジメント

当社は、リスク・マネジメント委員会の統括のもと、抽出したリスクの分析・評価を行い、重要度の高いリスクへの対応策を検討・実施するとともに、そのプロセスにおけるPDCAを循環させる体制を構築し、リスク・マネジメントを推進しています。

リスク・マネジメント基本方針

当社は、以下の基本方針に基づきリスク・マネジメントを行っています。

リスク・マネジメント基本方針

当社の経営に悪影響を及ぼすリスクを全社的に把握し、その顕在化を未然に防止し、また、リスクが顕在化した場合の影響を軽減して許容範囲に収めるよう、必要な対応策を予め講じ、備えておくことを当社のリスク・マネジメント基本方針とする。

リスク・マネジメント体制

リスク・マネジメント委員会の統括のもと、事業活動にともなうリスクの分類に応じて、CSR委員会、情報統括委員会やコンプライアンス委員会の各委員会および関連部署が主管となり、個別のリスクに直接対応する実施部署と連携してリスク・マネジメントを行う体制をとっています。
リスク・マネジメント委員会は、リスク・マネジメントのシステムを構築し、実施プロセスの検証を行うとともに、全社的(経営的)視点から重要リスク認識の抜け・漏れの防止を図っています。

リスク・マネジメントの実施プロセス

当社は、以下のプロセスでリスク・マネジメントを行っています。

  1. リスクの特定
    主管部署は、リスク分類ごとに個別リスク(具体的なリスクの内容)を設定し、その個別リスクの分析(重要度の判定)と評価(対応の優先度の判定)を行います。
  2. リスクの分析・評価
    リスク・マネジメント委員会は、個別リスクの分析および評価の結果についてレビューを行い、レビュー結果に応じて必要な指示などを主管部署に対して行います。
  3. リスクへの対応策のモニタリング
    主管部署は、「重要リスク」と判断された個別リスクへの対応策について実施状況のモニタリングを行い、モニタリング結果に応じて必要な指示などを実施部署に対して行います。
  4. モニタリング結果の報告・検証
    主管部署は、モニタリング結果をリスク・マネジメント委員会に報告します。委員会は、当該モニタリング結果の検証を行い、検証結果に応じて必要な指示などを主管部署に対して行います。

なお、上記のリスク・マネジメントの遂行状況については、リスク・マネジメント委員会を通じて経営会議および取締役会に報告されます。また、主な「重要リスク」への対応状況については、適時・適切に情報開示を行っています。

事業継続計画(BCP)

当社は2014年5月に、地震をはじめとする大規模災害に備えた対策を整備・強化し、事業継続計画(BCP)を策定しています。2019年度からは、BCPの実効性向上に向けて、近年被害が激甚化している風水害を想定に加えたBCPの更新に着手しました。本社ビルでは、河川の氾濫により東京都内・近郊で大規模な浸水が発生した場合を想定し、また事業所では、激甚化する暴風雨や台風に対する工場設備の耐久性や従業員の安全確保の観点から見直しを進めています。今後も刻々と変化する自然災害の想定を継続的に見直すことにより、BCPの定着と内容の一層の充実を図っていきます。
また、今般の新型コロナウイルス感染症の世界的な拡大にともない、その拡大防止および従業員の安全確保のため、サイト(本社、事業所、国内外グループ会社)ごとに対策本部・チームを立ち上げ、対応方針の共有をはじめ、各地域・各サイトの状況把握、諸課題への対応策の協議・実行など、連携して事業継続の確保を行っています。

本社防火・防災訓練
本社防火・防災訓練

海外危機管理体制の整備

当社および当社グループでは、海外で発生が予想される緊急事態に際し、海外駐在員、出張者の安全確保および被害を最小限に止めることを目的とした「海外駐在員および出張者の危機管理マニュアル」を策定するとともに、海外滞在時の医療面でのリスクに備えて、危機管理会社の医療アシスタンスサービスを導入しています。
さらに、危機管理情報の共有やタイムリーな注意喚起、渡航規制の指示などの緊急時対応を通じて、海外駐在員、出張者をサポートしています。

情報セキュリティ

情報セキュリティ方針

情報セキュリティ基本方針

当社は、事業活動に関わるすべての情報を対象に、適切に共有・活用するための安全・確実な管理の確立を経営の重要課題のひとつと認識し、以下の項目を情報セキュリティの基本方針としています。

  1. 当社は、当社の保有する情報資産の可用性、完全性、機密性を維持し、適切に情報を管理するための情報セキュリティ・マネジメント活動を推進します。
  2. 当社は、クレハ・グループ全体の情報セキュリティを統括し、当社およびグループ会社全体の継続的改善活動を方向付け、グループの従業員一人ひとりが情報セキュリティの重要性を認識し、実践するための教育を継続的に実施します。
  3. 当社およびグループ会社は、それぞれの情報資産についてリスクアセスメントを実施し、そのリスクの重要性に応じた適切な対策を実施します。
  4. 当社およびグループ各社は、関係法令、規則等の遵守を徹底します。

グローバル情報セキュリティポリシー

また、当社は2018年度に、当社グループ全体の情報セキュリティ強化を目的に、グローバル情報セキュリティポリシーを策定し、グループ各社の規程および運用ルールの本ポリシーへの準拠を推進しています。

情報セキュリティ体制

社長直轄の情報統括委員会の統括のもとに、情報セキュリティ委員会を設置し、JIS Q 27001:2014に準ずる情報セキュリティ管理システム(ISMS)を確立、運用して、情報セキュリティの継続的改善を推進しています。
また、2019年度には、万一の情報セキュリティ事故発生時に備えた対応チーム(CSIRT:Computer Security Incident Response Team)を立ち上げ、情報セキュリティ事故の最小化を図る体制を整えました。

情報セキュリティ対策

当社は、情報セキュリティ基本方針に則り、情報セキュリティに関する情報を幅広く収集しながら、以下に示す対策を継続的に実施しています。

  1. サイバー攻撃対策
    外部からのサイバー攻撃を検知・遮断するシステムを導入しています。セキュリティベンダーによる24時間365日の監視サービスによりシステムの安定稼働を維持しています。
  2. 情報資産のリスクアセスメントの実施
    情報セキュリティリスクアセスメントを計画的に実施し、保有する情報資産の情報セキュリティ上のリスク評価と対策実施によりリスク低減を図っています。
  3. 情報漏えいリスク対策
    定期的なセキュリティベンダーによる診断を実施し、全体として高いレベルでセキュリティが保たれていることを確認しています。
  4. 情報セキュリティ教育、訓練
    全従業員に対して継続的に情報セキュリティ教育を実施しています。また、不審メールを受信した場合の正しい行動を学ぶため、メール利用者を対象に標的型攻撃メール模擬訓練を実施しています。
  5. 新型コロナウイルス感染症対策(事業継続のためのアクセスツール利用)
    コロナ禍において、従業員が自宅でアクセスツールを使用して業務を遂行する場合の情報セキュリティ上のリスクを周知し、誓約事項を定めて、その徹底を図っています。

情報システムの災害対策

当社の基幹業務システム、および電子ファイルシステムは、国内にある堅牢なデータセンターで稼働しています。また、クラウド型システムにおいて、複製データの保存と災害対策の環境を有しています。また、社内メールシステムに関しては、クラウド型システムを導入し、災害発生時にも社内メールが利用できる環境を整えています。

個人情報保護・特定個人情報保護

当社に提供されるすべての方の個人情報を、適正に保護することは社会的責務です。個人情報保護方針および特定個人情報保護方針を定め、これらの方針に基づき制定した規程に従い、個人情報の取得・管理を行っています。

個人情報保護方針、特定個人情報保護方針