事業運営上のリスクの予防・回避とリスク顕在化時の影響低減を図るとともに、ステークホルダーの安全確保に努めます。
当社は、当社グループのリスク管理体制の維持・強化を目的に、社長を委員長とする「リスク管理委員会」を設置し、リスク管理プロセスによる活動を推進しています。
2023年度は、リスク管理委員会において重要性の高いリスクへの対応策を定め、諸活動を展開しました。また、グループ各社に対しても、同一のリスク評価手法による評価に基づき、リスク低減策の立案と実行を展開し、グループにおけるリスク状況の把握と低減活動に努めました。
当社は、社長を委員長とする「リスク管理委員会」を設置し、当社グループのリスク管理体制の維持・強化を進めています。
当社グループでは、リスク管理活動として右記のPDCAを回すことでリスクの特定、評価及び対応等を行っています。洗い出されたリスクを、影響度と発生可能性の二軸で評価し、重要リスクと特定した事項については、主管部門を中心に平時における予防措置を講じるとともに、危機発生時に迅速に対応できる体制の確保・向上に努めています。リスク管理委員会では、リスク管理に関する基本方針や推進体制、年度重点実施項目とその実施状況等について審議・承認しています。また、その概要については、定期的に取締役会に報告しています。
2024年1月開催のリスク管理委員会において、下記の通り、最重要リスクの特定、及びそれらのリスクに対する低減策等の方針・施策について審議・決定しています。
事業上のリスクと対応策の詳細につきましては、第78期有価証券報告書の「事業等のリスク」をご参照ください。
当社では、災害などの危機発生時においても重要業務を継続し迅速な復旧を図るため、事業継続計画(BCP)を策定し、非常時に備えています。製品やサービスの安定した提供に向け、部品調達リスクの分散などによるサプライチェーンの強化や災害対応に関する規程・マニュアルの整備などを行い、緊急時に迅速に対応できる体制を整えています。2023年度は、生産機能を担うグループ会社におけるBCP訓練を実施し、災害時の退避基準を明確化しました。
また、有事に備え、業務継続に大きな影響を及ぼす重要システムの災害対策強化や安否確認システムの対象範囲の拡大、主要事業所への衛星電話の設置、食料や飲料水の配備などを行うとともに、定期的に防災訓練を実施することで、それら災害対策の実効性確保を図っています。
現金処理や決済処理など機密情報の取り扱いが多い当社では、当社グループとしての基本的な考え方や取り組み姿勢について定めた「情報セキュリティ基本方針」、「個人情報保護方針」に基づき、グループ一体となって情報セキュリティの強化に取り組んでいます。
情報セキュリティ統括責任者(グループCISO)の下、グループ横断組織として「情報セキュリティ推進部会」を設置し、情報セキュリティ基本方針に基づきPDCAサイクルを回して継続的に改善しながら、グループ全体の情報セキュリティレベルの向上を図っています。また、内部監査を定期的に実施し、適合性や有効性をチェックしています。
加えて、当社およびグループ会社だけではなく、サプライチェーン全体のセキュリティ強化策として、重要情報を取り扱う委託業者へのセキュリティ調査によりセキュリティレベルを把握し、必要に応じ改善指導を実施しています。
お客さまの情報資産を安全かつ適切に取り扱うため、サービスコネクトセンター(情報処理センター)などのサービスの提供やシステムソリューションに関わる部門では、情報セキュリティに関する国際規格であるISO27001の認証を取得しています。
グローリー株式会社 | 決済・データサービス統括部(現 サービスコネクトセンター)/システム開発統括部/ カスタマサービス統括部 モニタリングセンター |
---|---|
国内グループ会社 | グローリーシステムクリエイト株式会社(現 グローリーテクニカルソリューションズ株式会社 SC事業部)/グローリーナスカ株式会社 |
ID管理システムやインターネット接続環境における不正侵入防止システムの導入、デバイスコントロールによる外部記憶媒体の利用制限を実施するなど、情報セキュリティ対策の強化に取り組んでいます。
また、第三者による不正利用を防止するために、統合型情報共有基盤には二要素認証を導入し、認証強化を図っています。
テレワークにおいては、機密情報の漏洩を防ぐため、VPN回線を使用することでネットワークのセキュリティを担保するとともに、脆弱性対応の徹底やウイルス対策ソフト、MDM(モバイルデバイス管理システム)の導入により、エンドポイントのセキュリティ強化を図っています。
IDカードや顔認証による入退室管理システムや鍵管理システムを導入し、厳格な入退室管理やアクセス管理と、それらの記録の自動保存を実施しています。
また、自家発電機やUPS(無停電電源装置)などを設置して、ITインフラの可用性確保を図っています。
情報セキュリティに関する事故を未然に防止するため、階層別に教育を実施しています。
新入社員を対象に、情報セキュリティの基礎知識や関連法規制などに関する研修を行うほか、管理者層を対象に、情報セキュリティ監督者としての責務と必要な知識の習得を図る研修を実施しています。加えて、経営層に対しては、情報セキュリティの社会動向(外部環境)と当社の状況(内部環境)を把握する研修などを実施しています。
また、全社教育として、毎年10月の企業倫理月間に合わせてeラーニングを実施し、従業者の情報セキュリティ・リテラシーの向上に努めています。テレワークでは情報漏洩等のリスクが高まることから、従業者がとるべきリスク回避ルールの遵守に向けた教育を実施しています。
情報漏洩やマルウェア感染、不正アクセスなどの情報セキュリティ・インシデントが発生した際には、被害の最小化や速やかな復旧、再発防止を図るための体制を整備しています。その中核を担う「G-CSIRT(Glory Computer Security Incident Response Team)」は、2014年から業界団体「日本シーサート協議会」に加盟し、情報の共有や収集、関連スキルの習得など、インシデント対応力の強化に努めています。また、製品・サービスや事業所内でのインシデント発生時の対応を迅速化すべく、体制強化を推進しています。