SGH

リスクマネジメント・情報セキュリティ

リスクマネジメント/BCPに関する方針

SGホールディングスグループは、事業に影響を与える可能性があるすべての事象をリスクと捉えてマネジメントを行っています。各種リスクについて、リスクマネジメント規程に基づき、関連法令および社会環境変化などの動向に注視し、経営に与える影響度を適確に把握し適切な処置を取っています。また、顕在化したリスクに対しては、必要な対策を講じてリスクによる損失の最小化を図ることを目指しています。

SGホールディングスグループにおけるリスクの区分は以下のとおりです。(リスクマネジメント規程より引用)

  • 戦略リスク
    経営または事業計画遂行に関わるリスク
  • 業務活動リスク
    日々の営業活動または事業活動に関わるリスク
  • 財務報告リスク
    財務諸表および財務諸表の信頼性に重要な影響を及ぼす開示事項等に係る外部報告に関わるリスク

リスクマネジメント/BCPに関する体制

SGホールディングスの管理・統制担当取締役をグループの責任者とし、そのほか、以下のとおりの責任者・責任部署を設置し、グループ全体のリスクマネジメントを推進しています。

SGホールディングスグループ リスクマネジメント体制

リスクマネジメント/BCPに関する体制

平常時のリスクマネジメント

平常時は、グループ各社で下記のフローにてリスクの管理を行うことで、グループ全体のリスクマネジメントを効果的かつ効率的に実行しています。

リスクマネジメントフロー

認識

リスクを把握し、それをグループで一元管理

評価

リスクをその影響度と発生頻度で分類、優先付けしリスクマップを用いて可視化

対策

優先順位に基づき対策を講じる

見直し

グループのリスクに対する認識・評価・対策を四半期ごとに見直す

リスクマネジメントフロー
リスクマップ

大規模災害・事故に対するBCM・BCP

SGホールディングスグループは、物流という事業の特性から、災害や事故の発生を特に影響度が大きいリスクとして認識しています。大規模地震、風水害などの自然災害、火災・爆発事故などの災害や事故などの発生時においても、グループの事業継続を実現することを目的に、初動対応から事業再開までの行動計画を明確にしたBCP(Business Continuity Plan:事業継続計画)を策定しています。また、策定したBCPが適正に機能するようBCM(Business Continuity Management:事業継続マネジメント)の取り組みにも注力しています。

安否確認訓練

国内グループ全従業員を対象に、安否確認システムを用いた応答訓練を年2回実施しました。BCPに基づき、発災後24時間以内の応答率90%を目標としています。

事業継続訓練

グループ合同の事業継続訓練を年1回実施しています。2018年度は、SGホールディングスおよび国内外の事業会社計18社が参加し、昨今多発している大型台風や都市型水害など、進行型複合災害を想定したシミュレーション訓練を実施しました。(2019・2020年度は、新型コロナウイルス感染症拡大防止のため、開催中止)

SGホールディングスグループBCM体制(国内)

事業継続訓練

情報セキュリティに関する方針

SGホールディングスグループは、情報資産を守ることは社会的責務であると考えています。「情報セキュリティ基本方針」「個人情報保護方針」を策定し、情報セキュリティの強化に取り組んでいます。

情報セキュリティ基本方針

個人情報保護方針

情報セキュリティに関する体制

SGH-CSIRT(シーサート、Computer Security Incident Response Team)

近年、外部から数多くのサイバー攻撃を受ける危険性が高まっており、これまで以上に情報セキュリティの管理体制強化が必要です。SGホールディングスグループは従来の管理体制に加え、情報セキュリティ事故の未然防止および事故発生時の迅速な対応と被害の最小化を目的に、グループ全体の情報セキュリティ問題を扱う専門チームSGH-CSIRTを設置しています。

情報セキュリティに関する取り組み

セキュリティアセスメントの実施

深深刻な情報セキュリティ事故を未然に防ぐには、情報セキュリティの管理体制を評価するセキュリティアセスメントの実施が有効です。SGホールディングスグループは、セキュリティアセスメントによる3ヶ年のセキュリティ対策ロードマップを策定し、実効性の高い対策を講じています。具体的には、内部・外部環境を把握したうえで目標とするセキュリティレベルを設定し、そこに至るための課題を抽出、解決策を考案し優先順位付けを行います。

従業員へのセキュリティ教育

国内外のグループ従業員を対象に、年2回「セキュリティハンドブック」の確認と理解度テストを実施しているほか、標的型メール攻撃の対応訓練を実施しています。標的型メール攻撃の対応訓練では、添付ファイルの開封件数やリンクURLのクリック件数および上長への報告など、初動対応を検証しています。また適切な対応ができなかった従業員に対してはeラーニングによるフォローアップ教育を実施するなど、継続的な教育を行っています。


責任ある経営基盤の構築