SGH

リスクマネジメント・情報セキュリティ

リスクマネジメント/BCPに関する方針

SGホールディングスグループでは、事業に影響を与える可能性があるすべての事象をリスクと捉えてマネジメントを行っています。各種リスクについて、リスクマネジメント規程に基づき、関連法令および社会環境変化などの動向に注視し、経営に与える影響度を適確に把握し適切な処置を取っています。また、顕在化したリスクに対しては、必要な対策を講じてリスクによる損失の最小化を図ることを目指しています。

SGホールディングスグループにおけるリスクの区分は以下のとおりです。(リスクマネジメント規程より引用)

  • 戦略リスク
    経営または事業計画遂行に関わるリスク
  • 業務活動リスク
    日々の営業活動または事業活動に関わるリスク
  • 財務報告リスク
    財務諸表および財務諸表の信頼性に重要な影響を及ぼす開示事項等に係る外部報告に関わるリスク

リスクマネジメント/BCPに関する目標と実績

グループ全体のリスク対策強化のため、事業継続訓練を実施しています。

バウンダリ 中長期目標 2020年度目標 2019年度実績
SGホールディングス グループ全体における各種リスクを特定し対策を講じていくとともに、社会インフラを担う企業として、高度なクライシスマネジメントを実現する。 風水害など進行型・複合型災害に対する事業継続力の向上 ●グループBCPの更新
国内事業会社 ●BCPの更新
●事業継続訓練の実施

リスクマネジメント/BCPに関する体制

SGホールディングスの取締役をグループの責任者とし、そのほか、以下のとおりの責任者・責任部署を設置し、グループ全体のリスクマネジメントを推進しています。

  • グループリスクマネジメント統括責任者
    SGホールディングスの管理・統制担当取締役
  • リスクマネジメント統括責任者
    リスクマネジメント所管部署の長
  • リスクマネジメント統括部署
    リスクマネジメント所管部署
  • リスクマネジメント責任者
    重要リスクの所管部署の長

SGホールディングスグループ リスクマネジメント体制

リスクマネジメント/BCPに関する体制

平常時のリスクマネジメント

平常時は、グループ各社にて下記のフローにてリスクの管理を行っています。まずリスクを把握し、リスクマップを用いて影響度と発生頻度によって分類します。それに基づき優先順位をつけて対策を講じています。

各社のリスクを「SGホールディングスグループ リスクマネジメント会議」において四半期ごとに共有することで、グループ全体のリスクマネジメントを効果的かつ効率的に実行しています。

リスクマネジメントフロー

認識

リスクの把握、一元管理

評価

影響度と発生頻度で優先付けるリスクマップにより可視化

対策

優先順位に基づき対策を講じる

見直し

認識・評価・対策を四半期ごとに見直す

リスクマネジメントフロー
リスクマップ

大規模災害・事故に対するBCM・BCP

SGホールディングスグループでは、物流という事業の特性から、災害や事故の発生を特に影響度が大きいリスクとして認識しています。大規模地震、火災・爆発事故、水害などの災害や事故などの発生時においても、グループの事業継続を実現することを目的に、初動対応から事業再開までの行動計画を明確にしたBCP(Business Continuity Plan:事業継続計画)を策定しています。また、策定したBCPが適正に機能するようBCM(Business Continuity Management:事業継続マネジメント)の取り組みにも注力しています。

安否確認訓練

国内グループ全従業員を対象に、安否確認システムを用いた応答訓練を年2回実施しました。BCPに基づき、発災後24時間以内の応答率90%を目標としています。

事業継続訓練

グループ合同の事業継続訓練を年1回実施しています。2018年度は、SGホールディングスおよび国内外の事業会社計18社が参加し、昨今多発している大型台風や都市型水害など、進行型複合災害を想定したシミュレーション訓練を実施しました。(2019年度は、コロナウイルス感染拡大防止のため、開催中止)

SGホールディングスグループBCM体制(国内)

事業継続訓練

2020年10月1日より、佐川フィナンシャルとSGエキスパートはSGシステムに統合

情報セキュリティに関する方針

SGホールディングスグループは、情報資産を守ることは社会的責務であると考えています。「情報セキュリティ基本方針」「個人情報保護方針」を策定し、情報セキュリティの強化に取り組んでいます。

情報セキュリティ基本方針

SGホールディングス株式会社(以下「弊社」という)は、経済社会の発展を担うとともに広く社会にとって有用な企業を目指すため、お客さまからお預かりした情報資産を含む弊社の情報資産を守ることが社会的な責務と考え、情報セキュリティ基本方針(以下「本基本方針」という)を以下の通り定め、情報セキュリティの維持・管理に取り組みます。

社内規程の整備・実施

弊社は、本基本方針に基づいて、情報セキュリティ規程その他諸規程を整備し、情報セキュリティ施策を実施します。

情報セキュリティ管理体制の整備

弊社は、情報セキュリティに関する管理体制を整備するとともに、必要に応じて外部機関等と連携する体制を構築し、運用します。

情報セキュリティ施策

弊社は、適切な情報セキュリティ施策を講じ、情報資産に対する改ざん、紛失、漏えい、不正な侵入その他利用妨害等が発生しないように努めます。

継続的な教育の実施

弊社は、役員および従業員等に対し本基本方針の周知徹底に努め、情報セキュリティに関する必要な教育を継続的に実施します。

事故への対応

弊社は、万が一、事故が発生した場合、その原因を速やかに究明し、被害の拡大を防止するとともに、再発防止対策を実施します。

法令等の遵守

弊社は、情報セキュリティに関する法令および社内規程等を遵守します。

情報セキュリティ活動の評価・見直し

弊社は、情報セキュリティが適切に運用され、維持管理されていることを定期的に見直し、必要に応じて改善措置を実施します。

2014年9月21日施行

個人情報保護方針

情報セキュリティに関する体制

SGH-CSIRT

近年、外部から数多くのサイバー攻撃を受ける危険性が高まっているため、これまで以上に情報セキュリティの管理体制を強化する必要があります。SGホールディングスグループは、従来の管理体制に加え、情報セキュリティ事故の未然防止および事故発生時の迅速な対応と被害の極小化を目的に、SGH-CSIRTを設置しています。CSIRT(シーサート)とは、Computer Security Incident Response Teamの略で、グループ全体の情報セキュリティ問題を扱う専門チームです。

情報セキュリティに関する目標と実績

バウンダリ 中長期目標 2020年度目標 2019年度実績
佐川急便 グループ全体における各種リスクを特定し対策を講じていくとともに、社会インフラを担う企業として、高度なクライシスマネジメントを実現する。 ●情報セキュリティ教育
年2回実施
●標的型攻撃メール対応訓練
年2回実施
●情報セキュリティ教育
年2回実施
●標的型攻撃メール対応訓練は
自然災害の多発により下期1回実施
国内事業会社
海外法人 ●情報セキュリティ教育
年2回実施
●標的型攻撃メール対応訓練

グループ全体におけるセキュリティ対策強化のため、情報セキュリティ教育・訓練を実施しています。

情報セキュリティに関する取り組み

セキュリティアセスメント

深刻な情報セキュリティ事故を未然に防ぐには、情報セキュリティの管理体制を評価するセキュリティアセスメントの実施が有効です。具体的には、内部・外部環境を把握したうえで目標とするセキュリティレベルを設定し、そこに至るための課題を抽出、解決策を考案し優先順位付けを行います。SGホールディングスグループでは、セキュリティアセスメントによる3ヶ年のセキュリティ対策ロードマップを策定し、実効性の高いセキュリティ対策を講じています。

啓発活動

国内外のグループ従業員を対象に、年2回「セキュリティハンドブック」の読み合わせと確認テストを実施しているほか、標的型攻撃メールの対応訓練を実施しています。標的型攻撃メールの対応訓練においては、添付ファイルの開封件数やリンクURLのクリック件数および上長への報告など、初動対応を検証しています。適切な対応ができなかった従業員に対してeラーニングによるフォローアップ教育を実施するなど、継続的な周知・啓発を行っています。

啓発活動
啓発活動

責任ある経営基盤の構築