リスクマネジメント
基本的な考え方
自然災害、事故、金融不安、マクロ経済情勢の変化など、企業が直面するリスクは急速に多様化し続けています。国内外で70を超える幅広い事業を展開する企業として、不確実性に備える体制を常に整えることが重要です。
楽天ではリスクの発生による損失を最小限にするため、潜在的な脅威を特定し、リスクに対処するための盤石な経営体制を整えています。
マネジメント体制
楽天グループでは、事業や社会環境の急速な変化の中でも持続的な発展を遂げるため、統合的リスク管理(ERM:Enterprise Risk Management)、インシデント管理、事業継続管理(BCM:Business Continuity Management)の3つを軸として、リスクマネジメントに取り組んでいます。リスクマネジメントに関するグループ規程に基づき、リスクの特定、重要度に応じた対策の策定と実施、結果のモニタリングを行うPDCAサイクルから成るリスクマネジメント体制を構築しました。グループ横断的なリスクについては、グループチーフオペレーティングオフィサーを委員長として、年4回開催するグループリスク・コンプライアンス委員会にてその対策状況を報告・議論し、特に重要なリスクについては、取締役会等で報告・協議しています。さらに、内部監査部は独立した立場で当社やグループ会社の法令および関連規程の遵守状況などの監査を行い、定期的に楽天グループ株式会社取締役会に報告します。
統合的リスク管理(ERM:Enterprise Risk Management)
経営目標の達成のために、組織全体に影響するあらゆるリスクを統合的に把握し、管理する全社リスクマネジメント手法。
インシデント管理
インシデント(事業の中断・阻害、損失、緊急事態、危機になりうる事態)の発生を未然に防ぐと共に、万が一発生した場合に、各ステークホルダーに与える影響を最小限に抑えるための管理体制。
事業継続管理
安定的な事業活動の継続により、お客様や取引先からの信頼を維持するため、緊急事態に直面した場合において、事業資産の損害を最小限にとどめながら、中核事業の継続や早期復旧を可能とするための管理体制。
統合的リスク管理(ERM:Enterprise Risk Management)
楽天は国内外で多岐にわたる事業を展開しており、これらの企業活動の遂行には様々なリスク が伴います。楽天ではリスクを「経営目標の達成に影響を及ぼしうる不確実性」と定義しており、経営目標達成の確度を向上させるために統合的リスク管理(ERM)を導入しています。
的確な経営判断や事業運営につながるように各組織でリスクを特定・評価し、報告されたリスクを経営層が楽天グループ全体の観点からチェックすることで、グループ全体のリスクマネジメント体制およびプロセス(PDCAサイクル)を構築しています。
重要なリスクの一例と対応の状況
楽天グループの事業活動に重要な影響を及ぼす可能性があるリスクをグループトップリスクとし、対応およびモニタリングを実施しています。リスクの一例とその対応状況は次のとおりです。
リスク名 | リスクシナリオ・詳細 | 発生可能性 | 影響度 |
---|---|---|---|
法規制等 | 多岐にわたる事業を展開する上で、国内外の各種法令諸規制が広く適用され、事業、経営成績および財政状態に影響を及ぼす可能性があります。CCO(Chief Compliance Officer)および社内カンパニー制に基づくCompany Compliance Officerにより、コンプライアンスに対するグループ横断的な取り組みを進めています。
詳細を見る |
中~高 | 中 |
自然災害およびパンデミック等 | 地震、台風、津波等の自然災害やパンデミックが発生した場合、楽天グループの事業、経営成績および財政状態に重大な影響を及ぼす可能性があります。 BCPを策定し、訓練等を通じて役職員の安全性の確保や情報システムのバックアップシステム等の立ち上げの想定をするなどさらに高度化しつつ、かかるリスクを最小限にするよう努めています。
詳細を見る |
低~中 | 大 |
情報セキュリティ・プライバシー | インターネット上を中心に幅広いサービスを提供する上で、個人情報管理やプライバシー、情報セキュリティに関する法規制、犯罪行為などにより、システムの可用性または情報の完全性を確保できない可能性があります。 情報セキュリティマネジメントシステム(ISMS)の確立やISO/IEC27001認証取得等、各種施策に取り組んでいます。また、海外展開するビジネスにおいても、現地の個人情報保護に関する法令に準拠することを徹底しています。 詳細を見る |
中~高 | 中 |
発生可能性・影響度に関する定義
発生可能性 | |
---|---|
表記 | 評価参考基準:発生頻度 |
高 | 年に複数回の発生 |
中 | 年に1回程度の発生 |
低 | 複数年に1回程度の発生 |
影響度 | |
---|---|
表記 | 評価参考基準:経営への影響度 |
大 | 甚大かつ耐え難い |
中 | 甚大だが耐えられる |
小 | 重要だが限定的 |
また、潜在的なリスクで中長期的な観点で環境変化により大きな影響を及ぼしうる可能性のあるリスクをエマージングリスクとし、重大リスクへの変化の予兆を捉え適切な対応を迅速に講じることができる体制を構築しています。エマージングリスクの一例とその対応状況は次のとおりです。
リスク項目 | リスクの概要 | リスクへの対応 |
---|---|---|
地政学リスク | 近隣国にて軍事衝突や封鎖が生じた場合、政治・経済の安定性やサプライチェーンに広範な影響を及ぼす可能性に加え、それらの地域での収益・市場シェアの損失、従業員の安全が脅かされる可能性があります。 |
地政学リスクを踏まえ、サプライヤーの多様化の検討や地域での事業継続計画(BCP)の策定、および訓練を実施するなど有事に備えています。
詳細を見る |
新技術の急速な進歩 | 最先端の技術に適切に対応できず、システムが制御不能になったり、現在のデータ保護方法が無効化され、情報漏洩などが発生したりした場合、グループの信用失墜や経営成績に重大な影響を及ぼす可能性があります。 |
生成AIと同様に、新技術に伴うリスクを理解し対策を行うため、ガイドラインの制定や従業員への教育を実施するなど、各種施策を実施しています。
詳細を見る |
労働力の減少 | 人口動態の変化や働き方の多様化に適切に順応できず、人的資源の確保・保持に失敗した場合、組織のパフォーマンスや事業成長に影響を及ぼす可能性があります。 |
労働力の減少を鑑み、グローバルな人材の採用活動や全社的なAI-nizationなどの取り組みに加え、従業員のエンゲージメントを高めるため企業文化の醸成に向けた各種施策を実施しています。
詳細を見る |
インシデント管理
楽天グループでは、グループ規程の整備や従業員への研修等を通じて、インシデントの発生を未然に防ぐ措置を講じています。万が一インシデントが発生した場合には、様々なステークホルダーへの影響を最小限にとどめるための施策の検討と実行のため、速やかに検知、状況の把握、対応ができるよう、グループレベルでの体制や報告手順等を規定しています。具体的には、インシデントの種類と金銭的被害・ユーザー被害・事業継続への影響・レピュテーション等の項目における影響の度合いを評価し、報告手順や対応事項を明確にしています。収集した情報を基に、発生原因の調査・分析を行い、再発防止策の立案と実行、施策の効果をモニタリングし、インシデント再発防止に努めています。
インシデント管理の対象
- 情報セキュリティ・プライバシー
- 情報システム
- ユーザーコミュニケーション
- キャンペーン・ポイント
- コンプライアンス
- 経理・財務
- 人事・労務
- 資産の損失
インシデント管理のプロセス
- 検知
組織内で発生したインシデントを発見し、速やかに報告に向けた準備を実施。 -
報告
インシデントの発生状況に応じ、自組織内およびグループヘッドクオーターの報告先まで情報を共有。 -
対応
発生したインシデントに対し適切な措置を実施。必要に応じてグループヘッドクオーターの関連部署と連携し対応。
-
再発防止
インシデントカテゴリ主管部署および関係するグループヘッドクオーター部署と連携し、発生要因に対する再発防止策を立案し、実行。 -
モニタリング
インシデント対応後、再発防止策が有効に実施されているか、監視・記録。 -
ヨコテン
組織内で発生したインシデントに関する対応事例やノウハウを他組織へ水平展開。
取り組み事例
2021年は、インシデント再発防止に向けた取り組みにあたり、QCC*(Quality Control Circle)の枠組みなどを活用しました。インシデント発生の真因分析や再発防止策の立案、実行のプロセスが強化され、インシデント再発の削減につながっています。
*従業員が中心となり現場の課題解決を行うボトムアップの品質・生産性改善活動
事業継続管理
緊急事態に直面した場合において、事業資産の損害を最小限にとどめながら、中核事業の継続や早期復旧を可能とするために、以下のステップでBCPを策定・更新し、事業継続のための方法、手段などをあらかじめ取り決めています。
- リスク評価
対象とする脅威の選定 - 事業影響度分析
優先事業の選定 -
業務影響度分析
優先事業を構成する普段行っている業務を洗い出し、有事に優先して行う業務をリストアップ - 経営資源分析
優先業務に使用する経営資源の洗い出し - 対策検討と課題の理解
経営資源への対策を検討(代替策など) -
事業継続戦略策定
事業継続計画(BCP)を策定する中で抽出された課題等に対応するための方針を策定
-
危機発生時の体制検討
緊急連絡網の整備と、危機発生時最低限すべきことリストの作成 -
年間計画(訓練計画含む)策定
訓練について、フェーズ、検証ポイント、訓練手法や参加者の範囲を明確に定義。ステップ③~⑤の分析結果を基に対応が必要な事項を洗い出し、報告方法、頻度についてスケジュール化した年間計画の策定 -
事業継続計画策定
ステップ①~⑧の検討結果を事業継続計画に転記
取り組み事例
地政学的リスクに対する事業継続計画
地政学的に不安定な状況下においてグローバルに事業を展開する楽天にとって、強固な危機対応体制の構築が必要不可欠です。ウクライナ危機、中東情勢の悪化、台湾有事の懸念など、地政学リスクの顕在化を念頭に、海外における危機の情報収集・連携体制を強化しつつ、必要に応じた備蓄品の配備などを進めています。また、各種訓練を通じて海外の初動対応プロセスの定着・改善を継続するなど、予測が困難である様々なリスクに対応できるよう、グローバルでの体制整備に努めています。
自然災害に対する事業継続計画
多発する大規模地震を含む自然災害に対応するBCPの取り組みを強化するため、発災時に迅速な対応ができるようグループ規模での情報収集・連携体制を見直し、定期的な訓練を通じた検証と改善を行っています。また、首都圏の社会機能が停止するような大規模な災害に備え、首都圏外から本社機能を代替する体制整備や、幅広い想定を踏まえたBCPの取組みも推進しています。特に、最近の取り組みにおいては、発災時の初動対応から事業の継続・早期復旧に至る一連の対応プロセスについてもグループ規模で適切な判断ができるよう、BCP/BCM体制の高度化を図っています。
リスク文化の醸成
効果的なリスクマネジメントには、組織全体において強固なリスク文化が定着していることが不可欠です。そのためにも、全従業員が経営に影響を及ぼす様々な「リスク」を認識することが極めて重要となります。事業中断につながる想定外のリスクシナリオやインシデントについての理解を深めるため、新入社員には入社オリエンテーションで、新任管理職には労働慣行リスクに関する期待役割や危機発生時の報告ラインについて、リスクマネジメント研修を実施しています。さらに、取締役は楽天のリスク管理手法やリスク評価を通じて特定された主要リスクについて、定期的な教育を受けています。
楽天の全従業員が参加する全社会議「朝会」は、倫理・コンプライアンス、気候変動、情報セキュリティなどの重要なリスクに関する定期的な最新情報を全社で共有する重要な機会です。取り組みやその進捗状況を具体的なケーススタディやデータとともに共有することで、従業員の意識向上を促進しています。また、リスク管理部では、楽天グループのリスクマネジメントの仕組みやプロセスに関する説明会を定期的に開催しています。
楽天グループでは、従業員の評価・報酬を決定する際に、リスクマネジメント指標を評価項目の一つとして設けています。全従業員が年に2回コンピテンシー(仕事のプロセスにおいて発揮する行動)に基づく評価を受け、その結果が給与に反映されます。各コンピテンシーにおいて期待される行動は明確に定義されており、ビジネスオペレーションにおけるリスクの特定・軽減など、リスクマネジメントにおける責務を遂行することも含まれます。
リスクマネジメントは、業務においてだけでなく、サービス・ 製品のコンプライアンスや安全面においても重要であるため、システムなどの設計・開発プロセスにも組み込まれています。具体的には、サービス・製品の開発・承認プロセスである、要件定義フェーズ、テストフェーズ、リリースフェーズ において、リスク基準が設けられています。
- 要件定義フェーズ:
初期リスク分析 - テストフェーズ:
残存するリスクを特定し、期限を定めた改善計画を策定 - リリース段階:
サービス・製品のリリース時に予想されるリスクを明確化
このプロセスは、社内規程において詳細に示されており、サービス・製品リリースの承認前に記入すべきチェックリストも整備されています。