リスクマネジメント
役員メッセージ
統合的リスクマネジメント導入によってリスク対応力を強化
森下 健一
2025年7月
急速に変化する国際情勢・経済社会や気候変動がもたらす当社の取り組むべき新たな課題に備え、当社は全社的な取り組みとして、統合的リスクマネジメント(ERM:Enterprise Risk Management)の導入を進めています。従来は各事業部門の自律的活動で支えてきましたが、近年の環境変化ではリスクは広範で複雑化しています。当社はERMを通じてリスクを一元的に把握し、経営、各コーポレート部門および事業部門のリスクを連携させ、相互に補完し合うことで、リスク対応力を強化してまいります。
さらに、定期的なリスク評価やアセスメントを徹底し、顕在化する前の早期対応を図るとともに、情報共有の仕組みを強化し、全社員のリスク意識の醸成のため教育・訓練を行っていきます。これにより、リスクの予見性を高めるだけでなく、ステークホルダーの信頼を築き、持続可能な成長を実現する基盤を強化しています。
今後も当社は継続的にERMの進化を図り、さらなる高度化に努めてまいります。ステークホルダーの皆さまには、当社のリスクマネジメント体制がより包括的かつ効果的に機能していることをご理解いただき、引き続きご支援賜りますようお願い申し上げます。
リスクに対する考え方
当社では、経営目標達成に対し発生する様々なリスクに適切に対応するため、2024年度を準備期間、2025年度からの本格運用として統合的リスクマネジメント(ERM:Enterprise Risk Management)を導入します。
当社のリスク全体像を定め、リスク対応状況を可視化し、活発なコミュニケーションのもと、事業部室・コーポレート部室および経営層それぞれの役割に応じたリスクマネジメントを実践し、リスク関連情報の適切な開示につなげていきます。
ガバナンス
戦略
統合的リスクマネジメント(ERM)
当社の統合的リスクマネジメント(ERM)は、リスク経営委員会とリスク・コンプライアンス委員会が適切にコミュニケーションを図りながら活動しています。経営による議論を踏まえ、早急に対応すべきリスク・イシューとしてのリスクと、全社的な対応が必要となる全社リスクを整理し、その対応状況を確認します。これにより、リスク・イシューへの対応と全社リスクマネジメント活動を融合させた統合的なリスクマネジメントを実践しています。
リスク管理
総合的リサイクルマネジメント(ERM)活動
ERMにおける、リスク・イシューに基づく活動と、全社リスクへの対応状況を踏まえた活動、双方ともに1年間のリスクマネジメント活動をベースとして、リスクを特定し、リスク評価を行い、リスク対応の実行、リスク対応状況のモニタリングおよび改善のPDCAを回しています。ERM推進活動の中心となるリスク・コンプライアンス委員会が2つのPDCAを連動して見ながら、統合的リスクマネジメントを推進しています。
●統合的リスクマネジメント活動
●統合的リスクマネジメントの活動サイクル
危機対応力のさらなる強化
危機発生時の対応
当社グループは「危機発生時の対応規程」(社長承認)において、対応方針や危機レベルの捉え方、連絡系統、対策本部の設置などを定めています。危機発生時には、迅速かつ適切な初動措置を取るとともに、指揮命令系統が明確な体制で組織的に対応することで、社会的影響や被害が最小限となるように努めます。
危機対応の方針(危機発生時の対応規程より抜粋)
(1) 人の安全を最優先する
(2) 環境への影響を最小化する
(3) 常に一般市民の視点に立って誠実に対応する
(4) 迅速・正確な情報開示を行う
(5) 上記を実践することで、当社グループの信用を維持する
●危機レベル
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
●連絡系統
事業継続計画(BCP:Business Continuity Plan)の取り組み
当社グループは、首都直下地震版、南海トラフ巨大地震版、新型インフルエンザ版のBCPを策定しています。各種BCPに基づく総合防災訓練を毎年実施し、各拠点との連携や課題を確認し、実践的な対応力の強化に努め、そのフィードバックをBCP改定に反映しています。製油所・事業所・工場などにおいては、各種危機対応規程類に基づき、拠点全体で防災訓練を定期的に実施しています。
また2015年度に、内閣府より指定公共機関に指定されたことを受け、2019年12月に「防災業務計画」最新版を提出しました。指定公共機関として、各都道府県でのタンクローリーの緊急車両登録を進めています。
総合防災訓練の実施
総合防災訓練(2024年9月)
当社は、BCPの実効性を高めることを目的に、2007年から毎年「総合防災訓練」を実施し、2024年度で18回目の実施となりました。
南海トラフ巨大地震および中部地域における大規模停電の発生と長期化を想定したシナリオに基づき、気象庁による「南海トラフ地震臨時情報(巨大地震警戒)」が発表された前提のもとで、複合災害発生時の対応を確認しました。本社(対策本部)・関係支店・製造拠点の参加者193名が、情報の収集・伝達・対応策立案などの訓練を行いました。また、地震発生から3日後の後発地震(西側)の発生シナリオも加えた二部構成とし、複雑な想定のもとで対応状況を確認しました。同時に全社安否確認訓練も実施し、グループ会社を含む約8,500名の従業員が速やかに安否報告を行いました。訓練で得た課題や気付きをBCPに反映させ、当社の危機対応力の向上を図っています。
経済安全保障への対応
当社グルーブは、日頃から国際情勢の動向を注視し、その影響を踏まえて、経済安全保障の観点で必要な準備・対応を実施しています。その一環として、関係する全部室にて、海外で発生する様々な事象・事案への対応策を策定、訓練を実施し、安全や資産保全、情報通信確保などに対する関係者の意識を高めています。
また、経済安全保障推進法に基づき、エネルギー供給事業者として、社内およびサプライチェーンにおけるリスクの調査と対応を実施するとともに、米国ならびに関係各国の規制や政策動向などを見据えて、当社グルーブの事業継続のためのリスクマネジメントに日々取り組んでいます。
評価
日本政策投資銀行BCM格付 最高ランクを取得
東京油槽所での東京消防庁との合同消防演習(2022年6月)
当社は(株)日本政策投資銀行(DBJ)の「BCM格付融資」制度において、最高ランクである「ランクA」を、2019年度に石油元売企業として初めて取得しました。
情報管理・セキュリティ管理
考え方
当社グループでは、「情報セキュリティ基本方針」の下、情報資産の機密性および情報システムやネットワークの可用性・保全性を確保し、情報技術を利用してお客様サービスの維持向上に努めています。お客様に関する情報は、「顧客情報管理基準」にのっとり、適切に収集・利用するとともに、安全かつ最新の状態で保存し、適切に廃棄します。また、全てのITシステム利用者を対象とした、情報セキュリティに関するeラーニングを実施し、情報管理の徹底を図っています。
また、巧妙化するサイバー攻撃の影響を低減するため、不正侵入や重要情報の持ち出し防止など、システムによる多重防御の仕組みを実現しています。
方針
情報セキュリティ基本方針
1.出光グループは、情報資産の機密性および情報システムやネットワークの可用性・保全性を確保し、情報技術を利用したお客さまサービスの維持向上に努めます。
2.お客さまに関する情報は、適切な保護対策を講じて漏えい、改ざん、破壊などから守ります。
3.情報システムやネットワークの可用性および保全性・機密性を確保し、お客さまおよび取引先などの関係者にご迷惑が掛からないよう努めます。
4.当社の従業員や派遣社員・外部委託先などに対し、教育・啓蒙活動などにより情報セキュリティの重要性を認識させ、情報および情報システムを適正に利用するよう周知徹底を図ります。
5.出光グループは、セキュリティポリシーの遵守状況などを点検・評価するため、定期的に監査を実施し、セキュリティ確保に努めます。
ガバナンス
情報管理・セキュリティ管理推進体制
当社グループでは、社長承認規程の「情報管理要綱」にのっとり、管理部室が主管となって、グループ全体での情報管理を図っています。万が一、情報漏えい他、重大なセキュリティインシデントが発生した場合は、社長承認規程である「危機発生時の対応規程」にのっとり、リスク・コンプライアンス委員会などへ報告され、同委員会が中心となり適切に対処します。なお、総務管掌役員がリスク・コンプライアンス委員長を務めています。
また、制御系システムのセキュリティの維持・向上を目的に、セキュリティ協議会を設置し、「制御系システムセキュリティガイドライン」に基づき、グループ全体で組織的・計画的にセキュリティ対策を推進しています。製造拠点では、PDCAサイクルを用いて継続的な改善を行うとともに、インシデント対応訓練を毎年実施しています。またシステム利用者と管理者に対して、制御系eラーニングを施しています。
●情報管理・セキュリティ管理推進体制
取り組み
2024年度の重大な情報セキュリティ違反件数:0件
社内教育
人財の育成
セキュリティの企画・実装・運用を含めICT※人財のCDP(キャリア開発計画)を定義したうえで、ICT部門に所属する個々人のスキル評価と目標設定を実施し、計画的に人財を育成しています。
-
ICT(Information and Communication Technology)
情報セキュリティに関するeラーニング
全てのITシステム利用者(従業員・派遣社員・外部委託先など)を対象に、順守すべき規則の学習を目的に、情報セキュリティに関するeラーニング(日本語、英語、中国語)を毎年実施しています。2024年度は、日本語、英語、中国語に加えて韓国語、ベトナム語でも実施しました。
制御系eラーニング
2019年度から、制御系システムの利用者および管理者を対象に、制御系eラーニングを実施しています。
|
|
|
|
|
|---|---|---|---|
|
|
受講率100% |
受講率100% |
受講率100% |
|
|
受講率100% |
受講率100% |
受講率100% |
Web担当者向けe-ラーニング
2019年度から、制御系システムの利用者および管理者を対象に、制御系eラーニングを実施しています。2024年度は、新しくWeb担当としての役割を担う方向けに実施し、51名が受講しました。
DX担当者向けセキュリティ教育
2024年度より、全社員にむけてDXリテラシーの向上を推進するにあたって、受講者がサイバーセキュリティの概要やポイントを学ぶことができるよう、基礎的なサイバーセキュリティ教育プログラムを公開しています。
メール訓練
標的型攻撃メールからのマルウェア感染リスクなどの低減および啓発のため、当社およびグループ会社(海外含む)を対象に四半期に1回、標的型攻撃メール訓練を実施しています。必要に応じて、追加教育も実施しています。
啓発メール
サイバー攻撃の最新情報などの情報セキュリティの注意点を、月次で啓発メール「サイバーセキュリティレター」として配信しています。
サイバーセキュリティ事件・事故を想定した教育・訓練の実施
自社内で企画した訓練だけでなく、内閣サイバーセキュリティセンターが主催しているサイバー攻撃への対応訓練として分野一斉演習(旧名称:分野横断的演習)に毎年参加しています。
セキュリティ対策の強化
対策の高度化
ランサムウェア攻撃をはじめとするサイバー攻撃のリスク増加に対応するため、ユーザ認証機能の強化や防御システムの高度化などのシステム対策を推進するとともに、巧妙化するサイバー犯罪に備え、専門人材の育成にも注力しています。
脆弱性診断の実施
当社では、定期的に第三者によるセキュリティ脆弱性診断を実施しています。診断結果に基づいて改善計画を作成し、計画的に対策を講じています。
個人情報保護
考え方
当社グループは、特定個人情報※1を含む個人情報および匿名加工情報※2(以下、個人情報など)の取り扱いに関し、「個人情報等の保護に関する基本方針」(社長承認)を遵守するとともに、取り扱う全ての個人情報などをより安全かつ適切に管理します。
-
個人番号および個人番号をその他内容に含む個人情報
-
特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報で、当該個人情報を復元することができないようにしたもの
方針
個人情報等の保護に関する基本方針
1.法令等の遵守
当社グループは、「個人情報の保護に関する法律」、「行政手続における特定の個人を識別するための番号の利用等に関する法律」およびその他の関係法令、関連する政省令、並びにガイドライン等を遵守します。
2.取得に関する事項
当社グループは、適正かつ公正な手段により個人情報等を取得するものとし、法令により認められている場合を除き、ご本人に対して、利用目的を予め明示または公表し、または取得後速やかに通知もしくは公表いたします。また、要配慮個人情報を取得する場合は、法令により認められている場合を除き、予めご本人の同意を得るものとします。
3.利用に関する事項
当社グループは、法令により認められている場合を除き、利用目的の達成に必要な範囲内で、個人情報等を利用します。
4.提供・開示に関する事項
当社グループは、法令により認められている場合を除き、個人情報をご本人の同意なく、業務委託先、共同利用会社、事業承継先以外の第三者に開示・提供いたしません。
5.安全管理措置に関する事項
当社グループは、個人情報等への不当なアクセス、または紛失、破壊、改ざん 、漏えい等を防止するために必要かつ適切な安全管理措置を行い、個人情報の保護および個人情報管理体制の継続的な改善に努めます。組織ごとに責任者を明確にし、個人情報等を取り扱う従業者や委託先に対して、必要かつ適切な教育訓練および監督を行います。
また、個人情報等は正確かつ最新の内容に保ち、利用目的が達成された場合で、かつ所管法令において定められている保存期間を経過した場合は、速やかに破棄・消去いたします。
万一、漏えい等が発生した場合は、事案に応じて、速やかな是正措置を実施いたします。
6.個人情報等の開示等に関する事項
当社グループは、保有個人データおよび特定個人情報ファイルの開示、訂正等(訂正、追加、削除、利用停止、消去または第三者への提供の停止をいいます。)のお申し出に対し、法令の定めに従い対応させていただきます。なお、開示しない場合又は当該データおよびファイルが存在しない場合は、その旨を回答します。
ガバナンス
個人情報保護に関しては、総務部を事務局として、各部門、グループ会社に情報管理責任者を配置し、取り組みを推進しています。毎年、情報管理責任者会議を開催し、グループ内の教育を図っています。
取り組み
2024年度の重大な個人情報保護違反件数:0件