リスクマネジメント

リスクマネジメント体制
リスク特定・評価プロセス
事業継続計画（BCP）への取り組み
情報セキュリティ管理体制
情報セキュリティ対策の強化
情報セキュリティ教育
情報セキュリティ・インシデント対応

事業運営上のリスクの予防・回避とリスク顕在化時の影響低減を図るとともに、ステークホルダーの安全確保に努めます。

リスクマネジメント体制

当社は、当社グループのリスク管理体制の維持・強化を目的に、社長を委員長とする「リスク管理委員会」を設置しています。当社グループでは、定期的なリスク評価を行い、リスク項目ごとに定めた主管部門・責任者を中心に平時における予防措置を実施するとともに、危機発生時に迅速に対応できる体制の確保・向上に努めており、リスク管理委員会ではその結果に基づき、諸対応につき審議しています。その概要については、定期的に取締役会で報告を行っています。

2022年度は、リスク管理委員会において重要性の高いリスクへの対応策を定め、諸活動を展開しました。また、グループ各社に対しても、同一のリスク評価手法による評価に基づき、リスク低減策の立案と実行を展開し、グループにおけるリスク状況の把握と低減活動に努めました。

リスクマネジメント体制

リスク特定・評価プロセス

当社グループは、当社の事業戦略に影響を与え得るリスクについて、リスク管理委員会においてその影響度・発生頻度を毎年評価し、対応策を決定しています。重要なリスクについては取締役会に報告され、継続的にモニタリングしています。

2023年1月開催のリスク管理委員会においては、「キャッシュレス化の急速な進展」、「部品・原材料の調達難」、「情報セキュリティ対策の強化・向上」、「ソフトウェアやデータソリューションの品質強化」等を最重要リスクとして定め、リスクの低減に努めています。その他詳細につきましては、有価証券報告書「事業等のリスク」等に記載しています。

事業継続計画（BCP）への取り組み

マシン油流出を想定した模擬訓練の様子

当社では、災害などの危機発生時においても重要業務を継続し迅速な復旧を図るため、事業継続計画（BCP）を策定し、非常時に備えています。製品やサービスの安定した提供に向け、部品調達リスクの分散などによるサプライチェーンの強化や災害対応に関する規程・マニュアルの整備などを行い、緊急時に迅速に対応できる体制を整えています。2022年度は、生産機能を担うグループ会社におけるBCP訓練を実施しました。

また、有事に備え、業務継続に大きな影響を及ぼす重要システムの災害対策強化や安否確認システムの対象範囲の拡大、主要事業所への衛星電話の設置、食料や飲料水の配備などを行うとともに、定期的に防災訓練を実施することで、それら災害対策の実効性確保を図っています。

情報セキュリティ管理体制

現金処理や決済処理など機密情報の取り扱いが多い当社では、当社グループとしての基本的な考え方や取り組み姿勢について定めた「情報セキュリティ基本方針」、「個人情報保護方針」に基づき、グループ一体となって情報セキュリティの強化に取り組んでいます。

組織的安全管理措置

情報セキュリティ統括責任者（グループCISO）の下、グループ全社横断組織として「情報セキュリティ推進部会」を設置し、情報セキュリティ基本方針に基づきPDCAサイクルを回して継続的に改善しながら、グループ全体の情報セキュリティレベルの向上を図っています。また、内部監査を定期的に実施し、適合性や有効性をチェックしています。
加えて、当社およびグループ会社だけではなく、サプライチェーン全体のセキュリティ強化策として、重要情報を取り扱う委託業者へのセキュリティ調査によりセキュリティレベルを把握し、必要に応じ改善指導を実施しています。

情報セキュリティ対策の強化

お客さまの情報資産を安全かつ適切に取り扱うため、サービスコネクトセンター（情報処理センター）などのサービスの提供やシステムソリューションに関わる部門では、情報セキュリティに関する国際規格であるISO27001の認証を取得しています。

ISO27001認証取得事業所・部門

グローリー株式会社	決済・データサービス統括部／システム開発統括部／カスタマサービス統括部モニタリングセンター
国内グループ会社	グローリーシステムクリエイト株式会社

技術的安全管理措置

ID管理システムやインターネット接続環境における不正侵入防止システムの導入、デバイスコントロールによる外部記憶媒体の利用制限を実施するなど、情報セキュリティ対策の強化に取り組んでいます。
また、第三者による不正利用を防止するために、統合型情報共有基盤には二要素認証を導入し、認証強化を図っています。
テレワークにおいては、機密情報の漏洩を防ぐため、VPN回線を使用することでネットワークのセキュリティを担保するとともに、脆弱性対応の徹底やウイルス対策ソフト、MDM（モバイルデバイス管理システム）の導入により、エンドポイントのセキュリティ強化を図っています。

物理的安全管理措置

IDカードや顔認証による入退室管理システムや鍵管理システムを導入し、厳格な入退室管理やアクセス管理と、それらの記録の自動保存を実施しています。

また、自家発電機やUPS（無停電電源装置）などを設置して、ITインフラの可用性確保を図っています。

情報セキュリティ教育

人的安全管理措置

情報セキュリティに関する事故を未然に防止するため、階層別に教育を実施しています。
新入社員を対象に、情報セキュリティの基礎知識や関連法規制などに関する研修を行うほか、管理者層を対象に、情報セキュリティ監督者としての責務と必要な知識の習得を図る研修を実施しています。加えて、経営層に対しては、情報セキュリティの社会動向（外部環境）と当社の状況（内部環境）を把握する研修などを実施しています。
また、全社教育として、毎年10月の企業倫理月間に合わせてeラーニングを実施し、従業者の情報セキュリティ・リテラシーの向上に努めています。テレワークでは情報漏洩等のリスクが高まることから、従業者がとるべきリスク回避ルールの遵守に向けた教育を実施しています。

情報セキュリティ・インシデント対応

情報漏洩やマルウェア感染、不正アクセスなどの情報セキュリティ・インシデントが発生した際には、被害の最小化や速やかな復旧、再発防止を図るための体制を整備しています。その中核を担う「G-CSIRT（Glory Computer Security Incident Response Team）」は、2014年から業界団体「日本シーサート協議会」に加盟し、情報の共有や収集、関連スキルの習得など、インシデント対応力の強化に努めています。また、製品・サービスや事業所内でのインシデント発生時の対応を迅速化すべく、体制強化を推進しています。