リスクマネジメント

考え方

出光グループは、事業活動に関わる様々なリスクを未然に認知・評価し、リスクに応じた適切な対応を講じることで、経営の安定を図っています。
リスクマネジメントを推進する上で、事業活動に関わるリスクを「経営リスク」「業務リスク」の2つに分類をして、それぞれ管理の上、対応を推進しています。

当社グループのリスク

ガバナンス

内部統制>ガバナンス>内部統制推進体制

戦略

「経営リスク」は経営企画部、「業務リスク」は総務部がそれぞれ所管しています。「業務リスク」のうち、網羅性の高さから組織横断的に管理するリスクを「重要リスク」として位置付け、当社グループでのリスク管理のモニタリングに用いているほか、主要事業部門へのリスクヒアリングを通じて「重要リスク」への対応を確認しています。この「重要リスク」は、事業部門を対象に定期的に実施しているリスクアンケートの結果を基に、前年度発生した事案を踏まえながらリスク・コンプライアンス委員会にて選定を行っています。

戦略図

2023年度重要リスク
 1.環境汚染
 2.火災・爆発
 3.品質事故
 4.大規模自然災害
 5.感染症
 6.情報関連リスク
 7.独禁法違反
 8.保安・法令違反
 9.海外危機
 10.海外コンプライアンス
 11.不正行為
 12.人事・労務系リスク

リスク管理

リスクマネジメント活動

平時におけるリスク評価と未然対策活動
・各事業部門は、定期的に自らのリスクを評価して、その対策を整備します。また、リスクの顕在化の兆候を常に監視し、未然防止に努めます。
・コーポレート部門は、それぞれの専門リスク分野において管理方針を策定し、各事業部門の行うリスクマネジメント活動の支援を行います。
・総務部リスクマネジメント課は、当社グループのリスクマネジメント活動をモニタリングし、必要な支援を行います。また、「重要リスク」の兆候に関する情報を一元的に管理し、必要に応じてリスク・コンプライアンス委員会での審議を経て、当社グループ全体におよぶリスクを未然に防止するための対応を取ります。

危機発生に対する準備
・各事業部門は、危機発生時に備えて、損害を最小限に抑えるために必要な対策も整備します。
・総務部リスクマネジメント課は、緊急対応の考え方、体制に関する事項を定めて、当社グループ全体に重大な影響を及ぼすと評価されたリスクについて、事業の復旧、事業継続に係わる計画(BCP)を策定し、定期的に訓練を実施します。

損害保険の手配
各事業部門は、不測の事故や災害によって経済的な損失を被った場合に備えて、総務部リスクマネジメント課と協力して効率的で安定的な損害保険の付保を行います。

自己管理と自主点検
各事業部門が、自らに最適なリスクマネジメントを構築して有効に機能させ、日常的に改善を図る仕組み(自己管理)を維持するために、定期的に部門内での自主点検を行っています。
自主点検ウェブシステムにより、グループ共通の点検項目に加えて、部門で独自に定めた規程類、約束事、業務プロセス・作業・手続きなどの確認を行い、管理の見える化を図っています。

自己管理と自主点検

危機対応力の更なる強化

危機発生時の対応
当社グループは「危機発生時の対応規程」(社長承認)において、対応方針や危機レベルの捉え方、連絡系統、対策本部の設置などを定めています。危機発生時には、迅速かつ適切な初動措置を取るとともに、指揮命令系統が明確な体制で組織的に対応することで、社会的影響や被害が最小限となるように努めます。

危機対応の方針(危機発生時の対応規程より抜粋)

(1) 人の安全を最優先する
(2) 環境への影響を最小化する
(3) 常に一般市民の視点に立って誠実に対応する
(4) 迅速・正確な情報開示を行う
(5) 上記を実践することで、当社グループの信用を維持する

●危機レベル

危機レベル
状況
対策本部の名称
レベル3
社会的影響が全国におよび、全社的な対応が必要となる危機
3号対策本部(準3号対策本部)
レベル2
レベル3に準ずる危機
2号対策本部
レベル1
社会的影響が小さく、該当事業所のみで対応できる危機
1号対策本部

●連絡系統

連絡系統

事業継続計画(BCP:Business Continuity Plan)の取り組み

当社グループは、首都直下地震版、南海トラフ巨大地震版、新型インフルエンザ版のBCPを策定しています。各種BCPに基づく総合防災訓練を毎年実施し、各拠点との連携や課題を確認し、実践的な対応力の強化に努め、そのフィードバックをBCP改定に反映しています。製油所・事業所・工場などにおいては、各種危機対応規程類に基づき、拠点全体で防災訓練を定期的に実施しています。
また2015年度に、内閣府より指定公共機関に指定されたことを受け、2019年12月に「防災業務計画」最新版を提出しました。指定公共機関として、各都道府県でのタンクローリーの緊急車両登録を進めています。

総合防災訓練の実施

総合防災訓練の実施

総合防災訓練(2023年9月)

当社は、BCPの実効性を高めることを目的に、2007年から毎年「総合防災訓練」を実施し、2023年度で17回目の実施となりました。
首都直下地震を想定したシナリオに基づき、本社(対策本部)・関係支店・製造拠点の参加者180名が、情報の収集・伝達・対応策立案などの訓練を行いました。また、地震発生直後とその24時間後を想定した二部構成の訓練により、時間経過に沿った危機対応力のさらなる強化に取り組みました。同時に全社安否確認訓練も実施し、グループ会社を含む約14,000名の従業員が速やかに安否報告を行いました。訓練で得た課題や気付きをBCPに反映させ、当社の危機対応力の向上を図っています。

経済安全保障への対応
当社グループは、日ごろから国際情勢の動向を注視し、経済安全保障の観点で必要な準備・対応を実施しています。
本年から施行された経済安全保障推進法に基づくエネルギー供給事業者としての対応をはじめ、米国ならびに関係各国の規制や政策動向などを見据え、当社グループの事業継続のためのリスクマネジメントに日々取り組んでいます。

新型コロナウイルス感染症(COVID-19)への取り組み
5類移行となった2023年5月に、対策本部を解散しました。以降は、季節性インフルエンザなど同様に、発熱者が出た場合の留意事項を各職場単位で実践し、従業員の安全確保と感染拡大防止を推奨しています。

評価

日本政策投資銀行BCM格付 最高ランクを取得

東京油槽所での東京消防庁との合同消防演習(2022年6月)

東京油槽所での東京消防庁との合同消防演習(2022年6月)

当社は(株)日本政策投資銀行(DBJ)の「BCM格付融資」制度において、最高ランクである「ランクA」を、2019年度に石油元売企業として初めて取得しました。

情報管理・セキュリティ管理

考え方

当社グループでは、「情報セキュリティ基本方針」の下、情報資産の機密性および情報システムやネットワークの可用性・保全性を確保し、情報技術を利用してお客様サービスの維持向上に努めています。お客様に関する情報は、「顧客情報管理基準」にのっとり、適切に収集・利用するとともに、安全かつ最新の状態で保存し、適切に廃棄します。また、全てのITシステム利用者を対象とした、情報セキュリティに関するeラーニングを実施し、情報管理の徹底を図っています。
また、巧妙化するサイバー攻撃の影響を低減するため、不正侵入や重要情報の持ち出し防止など、システムによる多重防御の仕組みを実現しています。

方針

情報セキュリティ基本方針

1.出光グループは、情報資産の機密性および情報システムやネットワークの可用性・保全性を確保し、情報技術を利用したお客さまサービスの維持向上に努めます。
2.お客さまに関する情報は、適切な保護対策を講じて漏えい、改ざん、破壊などから守ります。
3.情報システムやネットワークの可用性および保全性・機密性を確保し、お客さまおよび取引先などの関係者にご迷惑が掛からないよう努めます。
4.当社の従業員や派遣社員・外部委託先などに対し、教育・啓蒙活動などにより情報セキュリティの重要性を認識させ、情報および情報システムを適正に利用するよう周知徹底を図ります。
5.出光グループは、セキュリティポリシーの順守状況などを点検・評価するため、定期的に監査を実施し、セキュリティ確保に努めます。

ガバナンス

情報管理・セキュリティ管理推進体制

当社グループでは、社長承認規程の「情報管理要綱」にのっとり、管理部室が主管となって、グループ全体での情報管理を図っています。万が一、情報漏えい他、重大なセキュリティインシデントが発生した場合は、社長承認規程である「危機発生時の対応規程」にのっとり、リスク・コンプライアンス委員会などへ報告され、同委員会が中心となり適切に対処します。なお、総務管掌役員がリスク・コンプライアンス委員長を務めています。

リスク管理>危機対応力の更なる強化

また、制御系システムのセキュリティの維持・向上を目的に、セキュリティ協議会を設置し、「制御系システムセキュリティガイドライン」に基づき、グループ全体で組織的・計画的にセキュリティ対策を推進しています。製造拠点では、PDCAサイクルを用いて継続的な改善を行うとともに、インシデント対応訓練を毎年実施しています。またシステム利用者と管理者に対して、制御系eラーニングを施しています。

●情報管理・セキュリティ管理推進体制

情報管理・セキュリティ管理推進体制
情報管理・セキュリティ管理推進体制
情報管理・セキュリティ管理推進体制

取り組み

2023年度の重大な情報セキュリティ違反件数:0件

社内教育

人財の育成
セキュリティの企画・実装・運用を含めICT人財のCDP(キャリア開発計画)を定義したうえで、ICT部門に所属する個々人のスキル評価と目標設定を実施し、計画的に人財を育成しています。

※ ICT(Information and Communication Technology)

情報セキュリティに関するeラーニング
全てのITシステム利用者(従業員・派遣社員・外部委託先など)を対象に、順守すべき規則の学習を目的に、情報セキュリティに関するeラーニング(日本語、英語、中国語)を毎年実施しています。2023年度は、2023年10月~2024年4月に実施し、16,302名が受講、受講率は100%でした。

制御系eラーニング
2019年度から、制御系システムの利用者および管理者を対象に、制御系eラーニングを実施しています。2023年度は2024年1月~3月に実施し、4,345名が受講、受講率は100%でした。

Web担当者向けe-ラーニング
2023年度から、ウェブサイトを構築・管理する部署、関係会社の担当者を対象に、ウェブサイトのセキュリティ対策上、遵守すべきルールの学習を目的にeラーニングを実施しています。2023年度は2024年3月~5月に実施し、341名が受講、受講率は100%でした。

メール訓練
標的型攻撃メールからのコンピューターウイルス感染リスクなどの低減および啓発のため、当社およびグループ会社(海外含む)を対象に四半期に1回、標的型攻撃メール訓練を実施しています。必要に応じて、追加教育も実施しています。

啓発メール
サイバー攻撃の最新情報などの情報セキュリティの注意点を、月次で啓発メール「サイバーセキュリティレター」として配信しています。

サイバーセキュリティ事件・事故を想定した教育・訓練の実施
自社内で企画した訓練だけでなく、内閣サイバーセキュリティセンターが主催しているサイバー攻撃への対応訓練として分野横断的演習に毎年参加しています。

セキュリティ対策の強化

脆弱性診断の実施
当社では、定期的に第三者によるセキュリティ脆弱性診断を実施しています。診断結果に基づいて改善計画を作成し、計画的に対策を講じています。

情報セキュリティに関する認証取得

電力・再生可能エネルギー事業の低圧電力販売に係わる組織およびコールセンターにおいて、JIS Q 27001(ISMS、情報セキュリティマネジメントシステム)の認証を取得しています。

個人情報保護

考え方

当社グループは、特定個人情報※1を含む個人情報および匿名加工情報※2(以下、個人情報など)の取り扱いに関し、「個人情報等の保護に関する基本方針」(社長承認)を遵守するとともに、取り扱う全ての個人情報などをより安全かつ適切に管理します。

  • 個人番号および個人番号をその他内容に含む個人情報

  • 特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報で、当該個人情報を復元することができないようにしたもの

方針

個人情報等の保護に関する基本方針

1.法令等の遵守
当社グループは、「個人情報の保護に関する法律」、「行政手続における特定の個人を識別するための番号の利用等に関する法律」およびその他の関係法令、関連する政省令、並びにガイドライン等を遵守します。

2.取得に関する事項
当社グループは、適正かつ公正な手段により個人情報等を取得するものとし、法令により認められている場合を除き、ご本人に対して、利用目的を予め明示または公表し、または取得後速やかに通知もしくは公表いたします。また、要配慮個人情報を取得する場合は、法令により認められている場合を除き、予めご本人の同意を得るものとします。

3.利用に関する事項
当社グループは、法令により認められている場合を除き、利用目的の達成に必要な範囲内で、個人情報等を利用します。

4.提供・開示に関する事項
当社グループは、法令により認められている場合を除き、個人情報をご本人の同意なく、業務委託先、共同利用会社、事業承継先以外の第三者に開示・提供いたしません。

5.安全管理措置に関する事項
当社グループは、個人情報等への不当なアクセス、または紛失、破壊、改ざん 、漏えい等を防止するために必要かつ適切な安全管理措置を行い、個人情報の保護および個人情報管理体制の継続的な改善に努めます。組織ごとに責任者を明確にし、個人情報等を取り扱う従業者や委託先に対して、必要かつ適切な教育訓練および監督を行います。
また、個人情報等は正確かつ最新の内容に保ち、利用目的が達成された場合で、かつ所管法令において定められている保存期間を経過した場合は、速やかに破棄・消去いたします。
万一、漏えい等が発生した場合は、事案に応じて、速やかな是正措置を実施いたします。

6.個人情報等の開示等に関する事項
当社グループは、保有個人データおよび特定個人情報ファイルの開示、訂正等(訂正、追加、削除、利用停止、消去または第三者への提供の停止をいいます。)のお申し出に対し、法令の定めに従い対応させていただきます。なお、開示しない場合又は当該データおよびファイルが存在しない場合は、その旨を回答します。

ガバナンス

個人情報保護に関しては、総務部を事務局として、各部門、グループ会社に情報管理責任者を配置し、取り組みを推進しています。毎年、情報管理責任者会議を開催し、グループ内の教育を図っています。

取り組み

2023年度の重大な個人情報保護違反件数:0件