リスクマネジメント
- 関連するESG:
- E S G
マネジメントアプローチ
考え方・方針
当社グループでは、リスクマネジメント活動の基本姿勢を示した「リスクマネジメント基本方針」を制定するとともに、事業活動全般にわたって脅威となり得るさまざまな危機を想定し、それぞれのリスク特性に応じた適切な方法でリスク管理を実施しています。また、緊急時においては、直ちに担当執行役員の指揮下に対策本部を設置し、迅速な対応により速やかに危機を収束させます。これらの体制の整備と取り組みを通して、お客さま、地域の方々、株主などステークホルダーの皆さまからの信頼を確保するよう努めています。
<リスクマネジメント基本方針>
1.東洋紡グループとしてリスクの所在とその影響規模を把握するための仕組みがある(見える化)
2.把握されたリスクを回避もしくは低減するために適切に資源を配分する
3.PDCAを回し続けることにより、活動を深化・高度化を図る
4.情報共有・教育等を通じて、一人一人がリスクに対する感度・対応力を高める(無知をなくす)
5.リスクマネジメントを自分ごと化することにより、全員参加の活動とする
事業等のリスク
当社グループの経営成績および財政状態などの状況に重要な影響を与える可能性があると認識している主なリスクは以下の通りです。ただし、記載したリスクは当社グループに関する全てのリスクを網羅したものではありません。
なお、以下のリスクのうち、将来に関する事項は、2023年度末時点において当社グループが判断したものです。
<既発生もしくは発生の蓋然性の高いリスク>
- (1)
- 災害・事故・感染症の発生
- (2)
- 政治・経済情勢のさらなる悪化
- (3)
- 第三者認証登録内容における不適切行為など
<中長期的なリスク>
- (4)
- 原材料の購入
- (5)
- 製品の欠陥など
- (6)
- 人材の確保
- (7)
- 気候変動
- (8)
- 環境負荷
- (9)
- 情報セキュリティ
- (10)
- 法規制およびコンプライアンス
- (11)
- 海外での事業活動
- (12)
- 訴訟
<財務リスク>
- (13)
- 為替レートの大幅変動
- (14)
- 金利の大幅上昇
- (15)
- 株価の大幅下落
- (16)
- 固定資産の減損
体制
当社グループは、2021年4月1日に、グループ全体のリスクを一元的に管理することを目的として、社長を委員長とする「リスクマネジメント委員会」を設置しました。本委員会は、経営会議メンバーおよび委員長が指名したメンバーで構成され、2023年度は2回開催しました。
本委員会では、リスクマネジメント活動(特定・分析・評価・対応)を統括する他、グループ全体のリスク管理に関する方針を策定し、実効的かつ持続的な組織・仕組みの構築と運用を目指すことにより、リスク管理体制の強化に努めています。
管理体制・プロセス
取り組み
経営方針としてこれまでの「サバイバル思考」から「サステナブルな成長志向」に転換を図り持続的に成長できる会社を目指しています。それぞれの業務と役割に対応した自律的なマネジメント活動を確立し、全社的なリスクを把握し未然予防・早期発見に努め、当社グループ一体となって再発防止策などを進める体制を構築します。
活動の起点として、全社的なリスクに関するアセスメントを実施しました。影響度と発生可能性の2軸で評価した結果に基づく重大リスクを抽出し、定期的にモニタリングを行っています。
2023年度は、2022年度に実施したグループ会社の重大リスク調査結果に基づき、海外拠点を含め、対話による各社リスク対応状況の把握を開始しました。
サイバーセキュリティ対応やウイルス感染対策など、共通の枠組みを基に対策すべきリスク項目については、国内外を問わず一律的なリスク対策をリスク主管部門と協働で展開している一方で、法規制対策が必要なリスク項目については、各社が活動地域で独自にリスク対策をとっていることを把握しました。
グループ共通で留意すべき項目が検出された場合は、リスクマネジメント委員会に報告し、リスク主管部門、事業部門ならびに各社協働でグループ一体的なリスク低減活動を推進します。
データ・セキュリティ、プライバシー
- 関連するESG:
- S G
考え方・方針
情報の意義がますます重要となる現在、「必要な情報をいかに活用し、製品や技術の開発を進め、時代に適応した事業を展開するか」は、企業存続のための重要な要素となります。
さらに、情報の不適切な管理は、法的および社会的な観点から企業に厳しい非難をもたらす可能性があります。当社グループは、「東洋紡グループ企業行動憲章」に示されている通り、社会に貢献し、人々から信頼される企業としてあり続けるため、情報を適切に管理し、情報セキュリティに関する問題を起こさないようにしなければなりません。
すなわち、会社存続の鍵である「情報資産」および情報セキュリティの重要性を、役員および従業員等一人一人が認識し、情報資産を組織全体で有効に活用するとともに、保有する情報資産の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の維持・確保することが求められます。この考え方に基づき、当社グループは以下の基本方針を宣言します。
<情報セキュリティに関する基本方針>
1.管理体制
役員を責任者とした情報セキュリティ管理体制を構築し、情報の重要性とリスクに応じた適切な管理に努めます。
2.法令順守・社内規程
情報セキュリティに関する法令および各国が定める指針とその他の社会的規範に従って社内規程を定め、違反者に対しては厳正な対処をもって臨みます。
3.教育・訓練
情報資産が適正に利用されるよう従業員に対する教育・訓練を継続的に実施し、ルール順守の徹底を図ります。
4.情報システム運用
情報資産に対する不正な侵入、漏えい、改ざん、紛失・盗難、破壊、利用妨害等を防止するため、適切な対策を講じて情報システムを安定的に運用するよう努めます。
5.事故対応
万一、情報セキュリティ上の問題が発生した場合は、被害を最小限にとどめる措置を取るとともに、その原因を速やかに追究し、再発防止に努めます。
体制
当社グループは、情報セキュリティ対策活動を推進するための組織として、経営が任命したCISOをリーダーに情報セキュリティ部会(TOYOBO-CSIRT)を設置しています。本部会は、全社の情報セキュリティに関する状況把握、基本方針の策定、管理体制の維持、各施策の実行および監督を実施しています。
情報セキュリティ部会での決定に基づいた施策推進のため、実働部隊として運用推進チームを設置しています。また、定期的に情報セキュリティ部会を開催して、リスク対策の評価を行うとともに、情報セキュリティに関する活動報告を毎回実施しています。
さらに、情報セキュリティ部会(TOYOBO-CSIRT)の活動を当社グループ全体の活動へ拡大することで、情報セキュリティに関する理解の浸透、情報資産の保護徹底を図り、グループ全体で「データ・セキュリティ、プライバシー」が確保・信頼されている状態をつくります。
当社デジタル戦略総括部は、ISO 27001※を取得し、情報セキュリティマネジメントが適切に運用されていることを確認するため、ISO27001に基づく外部監査を年に1回受審しています。同総括部は、当社5事業所(本社、総合研究所、敦賀事業所、岩国事業所、犬山工場:全事業拠点のうち50%)での常駐管理をはじめ、その他の事業所においても同総括部のマネジメントシステムによって包括的に管理を行っています。
- 情報セキュリティマネジメントシステムに関する国際規格の一つ
情報セキュリティ管理体制図
各部門には「情報セキュリティ部門責任者」を配置し、必要な情報セキュリティレベルを確保できるよう全社を包括する情報管理体制を構築しています。
目標とKPI
<目標>
サイバーセキュリティを確保する体制を整備するとともに、従業員の情報セキュリティに関する理解を深め、各種情報の保護を徹底します。
<KPIと実績>
取り組み項目 | KPI | 目標(2023年度) | 実績(2023年度) |
---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
- 対象は東洋紡(株)、および東洋紡の子会社、持分法適用かつ東洋紡が影響力を持つ関連会社
- ※具体的な対策:
・情報セキュリティポリシーの展開
・IT/OT強化策の展開
取り組み
個人情報の保護
個人情報の保護に対する意識は、世界各国で高まっています。当社グループも個人情報保護法や中国個人情報保護法等に準拠するために、社内規程類の改定等を進めています。
今後も、お客さま、お取引先さま、株主、従業員の個人情報を保護する体制を強化します。
デジタル化の推進
ITの発展によって急速に社会のデジタル化が進んでいます。こうした中で当社グループは、バリューチェーン全体をカバーするITシステム基盤の構築を進めるとともに、デジタル技術を活用したビジネススタイルへの変革、新たなソリューションの創出に取り組んでいます。それによって、業務の効率性向上だけでなく、社会やお客さまへの価値提供の強化も図っています。
また、各種ITツールを活用した営業活動の合理化や、ITを活用した生産管理の高度化、AIを利用した知的財産管理の効率化など、ITを積極的に取り入れてビジネスのデジタル化を進めてきました。
2020年4月に、こうした活動を全社的に推進していくための専任部署として新たにデジタル戦略部を設置しました。また、デジタルを競争優位の武器とし、事業環境の変化に迅速に対応できる体制を整えるため2023年4月システム子会社である東洋紡システムクリエートを統合し、デジタル戦略総括部としました。2023年度に、これらの取り組みについて、経済産業省の認定基準を満たしていることが評価され、「DX認定事業者※」として認定を取得しました。今後、2030年の目指す姿に向けロードマップを再編し、グループ内のITシステム基盤を強化し、デジタルトランスフォーメーションを推進していきます。
デジタル戦略総括部は、デジタルとビジネスをつなぐ「架け橋」となり、全社、各事業を横断して、組織、ビジネス変革を実施するべく各取り組みを始めています。今後はさらに全社が相互に連携し、デジタル化の範囲・活用度を高めていきます。
- 経済産業省が取りまとめた「デジタルガバナンス・コード」にのっとり、DX実現に向けたビジョンの策定や体制の整備といった取り組みを推進している企業について、「情報処理の促進に関する法律」に基づいて国が認定する制度
教育・啓発活動
教育・啓発活動の一環として、国内外の東洋紡グループ全従業員に対して、情報発信として「サイバーセキュリティ通信」を毎月継続して配信しています。また、教育・啓発活動の理解状況をセルフチェックし、振り返りを行うために、セキュリティ理解度テストを年2回実施しています。
2023年度はコンプライアンス強化月間に合わせて情報セキュリティをテーマとした管理者層への研修および各職場での周知を進め、全従業員へ動画による教育を行いました。また、海外グループ会社の全従業員に対してのセキュリティ教育を行い、グループ全体でセキュリティ意識の向上に努めています。
情報セキュリティ対策
サイバー攻撃は年々激化しており、海外拠点やグループ会社が標的になることも多いため、国内・海外関係会社の情報セキュリティ対策を本社と同一レベルに引き上げ、グループ全体の情報セキュリティの強化を図っています。具体的な施策として、ポリシー・規程類の周知と整備支援、従業員・管理職教育の導入支援、標的型メール攻撃訓練の実施、IT強化策の展開と点検、セキュリティ・インシデント対応の連絡体制を継続的に強化しています。
国内外の東洋紡グループ全従業員に対して、標的型メール攻撃訓練を難易度や題材を変えて年2回実施しています。また、お客さまの情報および機密を含む社内情報の安全を確保するために、新たな脅威を常に把握し、IT・OT※ともに監視強化、脆弱修正、不正侵入防止等の適切な対策を講じています。
- IT(Information Technology)・OT(Operational Technology)
業務委託における情報の保護
当社は機密情報を含む情報資産を外部に委託管理する際、①委託先の評価と契約 ②契約締結後の業務の監視 ③契約終了後の情報資産の取り扱いの各手順について、委託管理規程を定めています。
外部に委託する業務(以下、特定業務)を新規に実施する場合、特定業務を委託する部署は本規程に基づき、候補先が「委託先評価基準」に適合するか否かを評価します。選定後は、「委託先評価結果」を情報セキュリティ部門の責任者に提出し、承認を得る仕組みとなっています。また、特定業務の実施状況についても、情報セキュリティ部門の責任者が定期的に評価することが定められています。
「委託先評価基準」は「情報セキュリティポリシー」に明記されています。
情報共有活動への参加
当社は、グループ会社やサプライチェーンのみならず、社会全体でサイバー攻撃への対応が必要との考えのもと、JPCERTコーディネーションセンター、日本シーサート協議会と連携し、情報共有を活発に行っています。
事業継続マネジメント(BCM)
考え方・方針
当社グループは、自然災害や事故、パンデミック等、事業継続に支障をきたすさまざまなリスクに備え、人命尊重を第一に、事業を早急に復旧し、供給責任を果たすために事業継続マネジメント(BCM)の構築を目指しています。
2024年度は、サステナビリティ委員会の活動において、社長を総括責任者としてBCMを構築し、事業継続計画(BCP)の拡充を図ります。