リスクマネジメント
Risk Management
JFRグループのリスクマネジメントの考え方
当社グループでは、リスクを「企業経営の目標達成に影響を与える不確実性であり、プラスとマイナスの両面がある」と定義しています。リスクのプラス面・マイナス面に適切に対応することにより、企業の持続的な成長につながると考えています。
リスクマネジメント委員会を中心とするERM(全社的リスクマネジメント体制)
J.フロントリテイリングに代表執行役社長を委員長、執行役などをメンバーとするリスクマネジメント委員会を設置しています。同委員会には、リスク管理担当役員を長とする事務局を置き、委員会で決定した重要な決定事項を事業会社に共有し、ERM(全社的リスクマネジメント)を推進しています。また、リスクを戦略の起点と位置づけ、リスクと戦略を連動させることにより、リスクマネジメントを企業価値向上につなげるよう努めています。
リスクマネジメントプロセス
当社グループでは、下記のプロセスにより、リスクマネジメントを推進しています。
具体的には、外部・内部環境分析や、取締役を含む経営層および実務責任者の認識をもとに、当社グループにとって重要度の高いリスクの抜け漏れが生じないように努めています。
中期的に当社グループ経営において極めて重要度が高いものは、「企業リスク」と位置づけ「グループ中期経営計画」の起点としています。
また、「企業リスク」を受けて識別した年度リスクを「JFRグループリスク一覧」にまとめ、「リスクマップ」を用いて評価を行い、優先度をつけて対応策を実行しています。
直近の環境変化とリスク認識
新型コロナウイルス感染症は、影響の及ぶ範囲や対象が広く深く、まさに当社グループは、存続の危機に直面しております。
新型コロナウイルス感染症を契機とする人々の消費に対する価値観や消費行動の変容、小売業に求める価値の変化は、想定以上のスピードで進んでいます。リモートワークなどにより働き方や人々の生活スタイル、さらには都市のあり方も大きく変わっています。このように環境が激変する中、中核事業の百貨店をはじめ既存の事業モデルは、大きな打撃を受けており、抜本的な変革の必要に迫られております。
変革に際しては、当社グループとして変えてはならないもの、変えていかなくてはならないものがあります。変えてはならないものは、「先義後利」「諸悪莫作、衆善奉行」という社是、“くらしの「あたらしい幸せ」を発明する。”というグループビジョンです。一方、変えていくべきものは、既存の事業モデルの変革およびサステナビリティ経営への転換です。
今後、変えてはならないもの、変えていかなくてはならないものの軸をぶらすことなく、持続的な成長へと歩みを進めてまいります。
レジリエンスの強化
当社グループでは、近年、災害の発生を想定したBCP(事業継続計画)強化に取り組むなど、リスク認識が高まっている自然災害への対応に注力しています。防疫に関しても、コロナ禍を機に、疫病への対応策の抜本的な見直しに着手しています。
事業継続を脅かす自然災害に対する備えとしては、「事業継続マニュアル」を整備するとともに、重要業務(資金業務、システム維持)の継続や、被災からの迅速な復旧・営業再開のためのBCP訓練を継続的に実施しています。
新型コロナウイルス感染症に対しては、早期に緊急対策本部を立ち上げ、組織的な感染防止対策の徹底を継続していますが、並行して、これまでの対応策の検証、将来の新たなパンデミックに備えるための「感染症対応マニュアル」の整備を進めています。
情報セキュリティへの取り組み
インシデントはより複雑化、巧妙化しており、情報セキュリティリスクが高まっています。そのため、当社はそうしたリスクの最小化に向け、グループ共通のセキュリティポリシーを指針としてグループ各社のセキュリティ対策を継続的に実施しています。加えてIT戦略の策定から実行までの一連の活動を統制するための指針として「ITガバナンス方針・規程」を2020年4月に制定しています。
セキュリティ対策状況の可視化と改善については、各社が保持する情報漏洩リスクが高いWEBサイトや個人情報を保持するシステムの安全性を確認するために、チェックリストによるヒアリングや脆弱性診断を行い、問題が見られたWEBサイトやシステムについては迅速に安全性を確保するための改修を実施しています。また、従業員が業務で使用するパソコン等の会社支給端末で、未許可のクラウドサービスが利用されていないかについての通信調査も、継続的に行っています。これらの取り組みを継続するとともに、サーバの堅牢性調査、モニタリングの強化、より適切な情報管理に向けた社内ルールの見直し等のセキュリティ強化も併せて行っています。
さらに、セキュリティ管理体制の強化に向けて、当社内にCSIRT※(シーサート)を設置し、日本シーサート協議会に加盟しました。当社とグループ各社の情報セキュリティ管理責任者が連携し、インシデント発生時に備えたマニュアルの整備を図るとともにインシデント対応訓練を継続的に実施することで、グループ全体のセキュリティ管理体制の強化を進めています。
また、情報セキュリティを遵守するために重要となる要素は従業員教育であることから、全従業員対象のeラーニング、標的型攻撃メール訓練など、従業員の情報セキュリティレベルを向上させるための活動を継続しています。
※CSIRT=Computer Security Incident Response Team(コンピューターセキュリティインシデント対応チーム)
