リスクマネジメント

基本的な考え方

自然災害、事故、金融不安、マクロ経済情勢の変化など、企業が直面するリスクは急速に多様化し続けています。国内外で70を超える幅広い事業を展開する企業として、不確実性に備える体制を常に整えることが重要です。
楽天ではリスクの発生による損失を最小限にするため、潜在的な脅威を特定し、リスクに対処するための盤石な経営体制を整えています。

マネジメント体制

リスクマネジメントに関するグループ規程に基づき、リスクの特定、重要度に応じた対策の策定と実施、結果のモニタリングを行うPDCAサイクルから成るリスクマネジメントシステムを構築しています。グループ横断的なリスクについては、年4回開催するグループリスク・コンプライアンス委員会にてその対策状況を報告・議論し、特に重要なリスクは、取締役会等で報告・協議しています。このように、現場からリスクをボトムアップできる体制を構築し、経営陣で楽天グループ全体の観点からリスクをチェックすることで、PDCAサイクルを回し、統合的なリスク管理を構築・実行しています。楽天では、事業や社会環境の急速な変化の中でも持続的発展を遂げるため、統合的リスク管理(ERM:Enterprise Risk Management)、インシデント管理、事業継続計画(BCP:Business Continuity Plan)の3つを軸に、リスクマネジメントに取り組んでいます。

統合的リスク管理(ERM:Enterprise Risk Management)

経営目標の達成のために、組織全体に影響するあらゆるリスクを統合的に把握し、管理する全社リスクマネジメント手法。

インシデント管理

インシデント(事業の中断・阻害、損失、緊急事態、危機になりうる事態)の発生を未然に防ぐと共に、万が一発生した場合に、各ステークホルダーに与える影響を最小限に抑えるための管理体制。

事業継続管理

安定的な事業活動の継続により、お客様や取引先からの信頼を維持するため、緊急事態に直面した場合において、事業資産の損害を最小限にとどめながら、中核事業の継続や早期復旧を可能とするための管理体制。

統合的リスク管理(ERM:Enterprise Risk Management)

楽天グループのビジネスは、国内外で多岐にわたり、その活動には様々なリスクが伴います。従って、経営目標達成への確度を高めるため、楽天グループ全体の視点から発生しうるリスクを統合的に把握・評価・最適化することが重要です。
楽天グループではリスクを「経営目標の達成に影響を及ぼしうる不確実性」と定義しています。各組織でリスクとその対策を評価し、経営陣に報告した上で楽天グループ全体のリスク管理をしています。

リスクの特定・評価 (+詳細を見る) アクションプランの策定 (+詳細を見る) モニタリング (+詳細を見る) アクションプランの実施 (+詳細を見る)

重要なリスクの一例と対応の状況

楽天グループの事業活動に重要な影響を及ぼす可能性があるリスクをグループトップリスクとし、対応およびモニタリングを実施しています。リスクの一例とその対応状況は次のとおりです。

また、潜在的なリスクで中長期的な観点で環境変化により大きな影響を及ぼしうる可能性のあるリスクをエマージングリスクとし、重大リスクへの変化の予兆を捉え適切な対応を迅速に講じることができる体制を構築しています。エマージングリスクの一例とその対応状況は次のとおりです。

すべてのリスクとその対応状況は、有価証券報告書 事業等のリスクをご覧ください。

インシデント管理

楽天グループでは、グループ規程の整備や従業員への研修等を通じて、インシデントの発生を未然に防ぐ措置を講じています。万が一インシデントが発生した場合には、様々なステークホルダーへの影響を最小限にとどめるための施策の検討と実行のため、速やかに検知、状況の把握、対応ができるよう、グループレベルでの体制や報告手順等を規定しています。具体的には、インシデントの種類と金銭的被害・ユーザー被害・事業継続への影響・レピュテーション等の項目における影響の度合いを評価し、報告手順や対応事項を明確にしています。収集した情報を基に、発生原因の調査・分析を行い、再発防止策の立案と実行、施策の効果をモニタリングし、インシデント再発防止に努めています。

インシデント管理の対象
  • 情報セキュリティ・プライバシー
  • 情報システム
  • ユーザーコミュニケーション
  • キャンペーン・ポイント
  • コンプライアンス
  • 経理・財務
  • 人事・労務
  • 資産の損失

インシデント管理のプロセス

  1. 検知
    組織内で発生したインシデントを発見し、速やかに報告に向けた準備を実施。
  2. 報告
    インシデントの発生状況に応じ、自組織内およびグループヘッドクオーターの報告先まで情報を共有。
  3. 対応
    発生したインシデントに対し適切な措置を実施。必要に応じてグループヘッドクオーターの関連部署と連携し対応。
  1. 再発防止
    インシデントカテゴリ主管部署および関係するグループヘッドクオーター部署と連携し、発生要因に対する再発防止策を立案し、実行。
  2. モニタリング
    インシデント対応後、再発防止策が有効に実施されているか、監視・記録。
  3. ヨコテン
    組織内で発生したインシデントに関する対応事例やノウハウを他組織へ水平展開。

取り組み事例

2021年は、インシデント再発防止に向けた取り組みにあたり、QCC*(Quality Control Circle)の枠組みなどを活用しました。インシデント発生の真因分析や再発防止策の立案、実行のプロセスが強化され、インシデント再発の削減につながっています。

*従業員が中心となり現場の課題解決を行うボトムアップの品質・生産性改善活動

事業継続管理

緊急事態に直面した場合において、事業資産の損害を最小限にとどめながら、中核事業の継続や早期復旧を可能とするために、以下のステップでBCPを策定・更新し、事業継続のための方法、手段などをあらかじめ取り決めています。

  1. リスク評価
    対象とする脅威の選定
  2. 事業影響度分析
    優先事業の選定
  3. 業務影響度分析
    優先事業を構成する普段行っている業務を洗い出し、有事に優先して行う業務をリストアップ
  4. 経営資源分析
    優先業務に使用する経営資源の洗い出し
  5. 対策検討と課題の理解
    経営資源への対策を検討(代替策など)
  6. 事業継続戦略策定
    事業継続計画(BCP)を策定する中で抽出された課題等に対応するための方針を策定
  1. 危機発生時の体制検討
    緊急連絡網の整備と、危機発生時最低限すべきことリストの作成
  2. 年間計画(訓練計画含む)策定
    訓練について、フェーズ、検証ポイント、訓練手法や参加者の範囲を明確に定義。ステップ③~⑤の分析結果を基に対応が必要な事項を洗い出し、報告方法、頻度についてスケジュール化した年間計画の策定
  3. 事業継続計画策定
    ステップ①~⑧の検討結果を事業継続計画に転記

取り組み事例

地政学的リスクに対する事業継続計画

地政学的に不安定な状況下においてグローバルに事業を展開する楽天にとって、強固な危機対応体制の構築が必要不可欠です。ウクライナへの軍事侵攻が発生した際は、現地の従業員への迅速な人道的支援と事業継続が企業に求められるなど、予測困難な事象に際し、想定外の対応が必要となるケースが多くありました。
未曾有の事態の中で事態がエスカレートし、予測不能の様々なリスクが発生する中、地政学的なリスクの顕在化を想定した事前準備の重要性を認識しました。
この認識のもと、楽天では2022年に地政学的リスクに対応するための危機対策本部を設置し、以下の準備を完了しています。

  • 食料、水、衛星電話などの備蓄品を必要に応じて配備
  • 従業員情報や緊急連絡先などの基礎情報把握、必要な備品の準備、避難場所の各員など、従業員の安全確保や事業継続に関する必要な実施事項を網羅したTo-Doリストの作成、配布
  • 従業員の安否確認のための報告フロー確立
  • 全従業員向けの安全確保ガイドラインの作成、配布
自然災害に対する事業継続計画

多発する大規模地震を含む自然災害に対応するBCPの取り組みを再強化しました。発災時に迅速な対応ができるようグループ規模での情報収集・連携体制を見直し、定期的な訓練を通じて検証と改善を行っています。

新型コロナウイルス感染症拡大に対応する事業継続計画

2020年は、新型コロナウイルス感染症拡大に対応するBCPの取り組みを実施しました。迅速な対応ができるよう、新型コロナウイルス対策本部を設置し、各部署の役割を明確にするとともに、グローバル規模での情報収集・共有体制を構築しました。また、感染症の拡大状況に応じたフェーズごとの対応や方針を取り決めたグループレベルの緊急対応ガイドラインを策定しました。

リスク文化の醸成

効果的なリスクマネジメントには、組織全体において強固なリスク文化が定着していることが不可欠です。そのためにも、全従業員が経営に影響を及ぼすさまざまな「リスク」を認識することが極めて重要となります。事業中断につながる想定外のリスクシナリオやインシデントについての理解を深めるため、新入社員には入社オリエンテーションで、新任管理職には労働慣行リスクに関する期待役割や危機発生時の報告ラインについて、リスクマネジメント研修を実施しています。さらに、取締役は、楽天のリスク管理手法や、リスク評価を通じて特定された主要リスクについて定期的に教育を受けています。
楽天グループの全従業員が参加する全社会議「朝会」は、倫理・コンプライアンス、気候変動、情報セキュリティなどの重要なリスクに関する定期的な最新情報を全社で共有する重要な機会です。取り組みや進捗状況を具体的なケーススタディやデータとともに共有することで、従業員の意識向上を促進しています。また、リスク管理部では、楽天のリスクマネジメントの仕組みやプロセスに関する説明会を定期的に開催しています。
リスクマネジメントは、業務においてだけでなく、製品のコンプライアンスや安全面からも重要であるため、設計・開発プロセスにも組み込まれています。具体的には、製品開発・承認プロセスである、要件定義フェーズ、テストフェーズ、リリースフェーズ においてリスク基準が設けられています。

このプロセスは、社内規程において詳細に示されており、製品リリースの承認前に記入すべきチェックリストも整備されています。