サステナビリティ

リスクマネジメント

picture-hero.jpg

事業運営上のリスクの予防・回避とリスク顕在化時の影響低減を図るとともに、ステークホルダーの安全確保に努めます。

リスクマネジメント体制

当社は、当社グループのリスク管理体制の維持・強化を目的に、社長を委員長とする「リスク管理委員会」を設置しています。当社グループでは、定期的なリスク評価を行い、リスク項目ごとに定めた主管部門・責任者を中心に平時における予防措置を実施するとともに、危機発生時に迅速に対応できる体制の確保・向上に努めており、リスク管理委員会ではその結果に基づき、諸対応につき審議しています。その概要については、定期的に取締役会で報告を行っています。

2020年度は、リスク管理委員会において重要性の高いリスクへの対応策を定め、諸活動を展開するとともに、2021年4月よりスタートした「2023中期経営計画」に対応策を反映しました。また、グループ各社に対しても、同一のリスク評価手法による評価に基づき、リスク低減策の立案と実行を展開し、グループにおけるリスク状況の把握と低減活動に努めました。

リスクマネジメント体制

リスクマネジメント体制

リスク特定プロセス

当社グループは、当社を取り巻く経営環境の変化や各事業の進展等を踏まえ、毎年、想定リスクやその管理方針、対応策につき見直しを実施しています。

リスクの特定においては、現行評価のレビュー実施および社内外の環境変化等を踏まえた新規リスクの抽出を行います。その後、影響度・発生頻度などにより評価・分析を実施し、重要性の高い項目をリスク管理委員会において特定し、対策の立案を実施しています。これらの全社リスクは、財務影響との関連を踏まえ、有価証券報告書などで開示している事業等のリスクにも適宜反映しています。

世界的なキャッシュレス化の進行は、新型コロナウイルス感染症によりさらに加速しており、当社グループとして考慮すべきリスクと考えています。2020年度は、急速にリスクが増大しているサイバー攻撃等による情報セキュリティーを考慮すべきリスクとして追加するなど、内容の充実を図りました。

 

事業継続計画(BCP)への取り組み

マシン油流出を想定した模擬訓練の様子

マシン油流出を想定した模擬訓練の様子

当社では、災害などの危機発生時においても重要業務を継続し迅速な復旧を図るため、事業継続計画(BCP)を策定し、非常時に備えています。製品やサービスの安定した提供に向け、部品調達リスクの分散などによるサプライチェーンの強化や災害対応に関する規程・マニュアルの整備などを行い、緊急時に迅速に対応できる体制を整えています。2020年度は、新型コロナウイルス感染対策の実践を通して、各部門においてマニュアルの充実を図りました。

また、有事に備え、業務継続に大きな影響を及ぼす重要システムの災害対策強化や安否確認システムの導入、主要事業所への衛星電話の設置、食料や飲料水の配備などを行うとともに、定期的に防災訓練を実施することで、それら災害対策の実効性確保を図っています。

 

情報セキュリティー管理体制

現金処理や決済処理など機密情報の取り扱いが多い当社では、当社グループとしての基本的な考え方や取り組み姿勢について定めた「情報セキュリティー基本方針」、「個人情報保護方針」に基づき、グループ一体となって情報セキュリティーの強化に取り組んでいます。

組織的安全管理措置

情報セキュリティー統括責任者(CISO)の下、全社横断組織として「情報セキュリティー推進部会」を設置し、情報セキュリティーポリシーに基づきPDCAサイクルを回して継続的に改善しながら、グループ全体の情報セキュリティーレベルの向上を図っています。また、内部監査を定期的に実施し、適合性や有効性をチェックしています。
加えて、当社およびグループ会社だけではなく、サプライチェーン全体のセキュリティー強化策として、重要情報を取り扱う委託業者へのセキュリティー調査によりセキュリティーレベルを把握し、必要に応じ改善指導を実施しています。 

 

情報セキュリティー対策の強化

お客さまの情報資産を安全かつ適切に取り扱うため、サービスコネクトセンター(情報処理センター)などのシステムソリューションやサービスの提供に関わる部門では、情報セキュリティーに関する国際規格であるISO27001の認証を取得しています。

ISO27001認証取得事業所・部門

グローリー株式会社 3部門 システム製品開発部門、サービスコネクトセンター、保守モニタリングセンター
国内グループ会社 1社 グローリーシステムクリエイト株式会社
 

技術的安全管理措置

ID管理システムやインターネット接続環境における不正侵入防止システムの導入、デバイスコントロールによる外部記憶媒体の利用制限を実施するなど、情報セキュリティー対策の強化に取り組んでいます。
また、第三者による不正利用を防止するために、統合型情報共有基盤には二要素認証を導入し、認証強化を図っています。
テレワークにおいては、機密情報の漏洩を防ぐため、VPN回線を使用することでネットワークのセキュリティーを担保するとともに、脆弱性対応の徹底やウイルス対策ソフト、MDM(モバイルデバイス管理システム)の導入により、エンドポイントのセキュリティー強化を図っています。

物理的安全管理措置

IDカードや顔認証による入退室管理システムや鍵管理システムを導入し、厳格なアクセス管理と記録の自動保存を実施しています。

また、自家発電機やUPS(無停電電源装置)などを設置して、ITインフラの可用性確保を図っています。

 

情報セキュリティー教育

人的安全管理措置

情報セキュリティーに関する事故を未然に防止するため、階層別に教育を実施しています。
新入社員を対象に、情報セキュリティーの基礎知識や関連法規制などに関する研修を行うほか、管理者層を対象に、情報セキュリティー監督者としての責務と必要な知識の習得を図る研修を実施しています。加えて、経営層に対しては、情報セキュリティーの社会動向(外部環境)と当社の状況(内部環境)を把握する研修などを実施しています。
また、全社教育として、毎年10月の企業倫理月間に合わせてeラーニングを実施し、従業員の情報セキュリティ・リテラシーの向上に努めています。テレワークでは情報漏洩等のリスクが高まることから、従業員がとるべきリスク回避ルールの遵守に向けた教育を実施しています。

 

情報セキュリティー・インシデント対応

情報漏洩やマルウェア感染、不正アクセスなどの情報セキュリティー・インシデントが発生した際には、被害の最小化や速やかな復旧、再発防止を図るための体制を整備しています。その中核を担う「G-CSIRT(Glory Computer Security Incident Response Team)」は、2014年から業界団体「日本シーサート協議会」に加盟し、情報の共有や収集、関連スキルの習得など、インシデント対応力の強化に努めており、製品・サービスや事業所内でのインシデント発生時の対応を強化すべく体制強化を進めています。