Japan

サイト内の現在位置を表示しています。

リスク・マネジメント

ガバナンス
戦略
リスク管理
指標および目標

ガバナンス

リスク・マネジメントの体制

NECグループでは、NECグループの事業に関連する社内外のリスクを的確に把握し対応するための全社横断的なリスク管理体制を整備しています。

具体的には、リスク・コンプライアンス委員会を設置し、リスク管理に関する活動方針、NECグループとして対策を講ずべき重点対策リスクの選定・対応方針のほか、期中のリスク変動により全社横断対応が必要となったリスクの対応、その他の全社リスク管理に関する重要な事項を審議し、事業戦略会議および取締役会に定期的に報告しています。

また、NECグループ全体のリスクを俯瞰して一元的・横断的に対応し、損失につながる可能性をコントロールするため、CRO(チーフリスクオフィサー)を設置しています。CROは、日々変化する社会・事業環境の中で多様化・複雑化するリスクを感知・分析し、インパクトを評価するとともに、対応の優先づけをしたうえで、各リスクを所管するチーフオフィサーと密に連携することで全社横断的なリスク管理を主導します。

図:リスクマネジメントの体制
リスクマネジメントの体制図

危機管理・事業継続に関する体制

当社では、以下の3つの機能で能動的かつ機動的な事業継続を推進しています。活動状況は定期的に取締役会で報告しています。

  1. 中央事業継続対策本部
    社長を本部長とし、コーポレート部門で構成。経営トップの判断機能維持、業務復旧環境の整備などを行う。
  2. ビジネスユニット(BU)別事業継続対策本部
    各ビジネスユニットで構成。事業についての復旧活動(顧客対応・事業被災情報収集・復旧、物流、資材の確保など)を行う。
  3. 事業場・拠点別災害対策本部
    事業場・拠点単位で構成。事業場の安全確保や安否確認、拠点インフラの早期復旧、生活支援、帰宅者支援、地域との連携などを行う。
    また、海外においてもグローバル5極体制のもとで各国のリスクに応じたBCPを策定し、緊急時の情報エスカレーションルールを策定しています。

戦略

リスク・マネジメントの方針

NECグループでは適切なリスク管理によるリターン追求のため、NECグループの事業に関連するリスクをRisk Total Pictureとして類型化し、これに沿って各リスクの責任部門や対応方針を決定しています。インテグリティをすべてのリスク管理活動の基礎とし、リスクをその性質によって3つに分類しています。リスクが顕在化した場合、とりわけ会社の存続を脅かす事態(クライシス)への備えとして、各リスクの責任部門を中心とした対応フローを整備しています。

図:Risk Total Picture
Risk Total Picture

CROは、NECグループとして認識しておくべきリスクを網羅的にとりまとめたリスク一覧をもとに、各リスクを所管するチーフオフィサーとの対話やリスクアセスメントを実施し、外部・内部環境変化や各リスク対策の状況をふまえて影響度・切迫性等の共通基準でリスクの優先順位を可視化したリスクマップを作成しています。リスクマップは、四半期ごとにリスク・コンプライアンス委員会での審議を経て更新しており、事業戦略会議および取締役会に定期的に報告しています。

図:リスク・マネジメントを可視化
リスク・マネジメントを可視化した図

危機管理・事業継続に関する方針

NECは、地震や台風などの自然災害、感染症の世界的な蔓延(パンデミック)、戦争、テロリストによる攻撃などリスク発生時においても、事業をできる限り継続させ、また、中断した場合は速やかに復旧させることにより、お客さまに製品およびサービスを安定的に供給できるよう取り組んでいます。

こうした社会的責任を果たすために事業継続計画(BCP)を整備し、事業継続マネジメントを推進しています。

災害発生時の基本方針

  1. 従業員・構内作業者・来訪者の生命・安全を確保する。
  2. NECとして求められる社会的責務の遂行(通信、公共インフラ、交通、防衛、金融などの基幹システムの維持・復旧)ができるように事業環境の速やかな復旧・整備を行う。
  3. 事業停止から生じる経営ダメージを最小化する。

リスク管理

リスク管理のプロセス

リスク評価手法

「重点対策リスク」の選定とその対策

当社では、NECグループとして認識しておくべきリスクを網羅的にとりまとめたリスク一覧をもとに、CRO が各リスクを所管するチーフオフィサーとの対話やリスクアセスメントを実施し、外部・内部環境変化や各リスク対策の状況をふまえて影響度・切迫性等の共通基準でリスクの優先順位を可視化したリスクマップを作成しています。

リスクマップ上のリスクから、企業経営への影響度や切迫性の観点で特に影響が大きいリスクを「重点対策リスク」として選定し対策を講じています。リスクマップおよび重点対策リスクは、四半期ごとにリスク・コンプライアンス委員会での審議を経て更新しており、事業戦略会議および取締役会に定期的に報告しています。選定した重点対策リスクとその取り組みについては、「指標および目標」に記載のとおりです。

長期のリスク

エマージング・リスクへの対応

地政学リスクの高まりにより高度化・複雑化するサイバー攻撃に対するセキュリティリスク

内容

地政学的な状況の変化やDXの急速な進化とともに民間企業も国家的なサイバー攻撃の標的になっており、先端技術情報等を保有する企業はセキュリティリスクが増大しています。サイバー攻撃の急速な高度化・複雑化に加えて、地政学リスク等の外部要因により、セキュリティリスクの軽減が適時に行えない可能性があります。

事業への影響

NECおよびNECの製品、サービスおよびシステムが保有する個人情報や機密情報が流出し、または不正なアクセスやサイバー攻撃を受け、それが不正に使用された場合、NECは法的な責任を負う立場から規制当局による処分を受ける可能性があります。その結果、NECに対するお客様からの社会価値創造企業としての信頼を失うだけでなく、業績に悪影響を及ぼす可能性があります。これらの不正なアクセスやサイバー攻撃を受けるリスクは、NECの製品、サービスおよびシステムだけではなく、お客さま、請負業者、仕入業者、ビジネスパートナー、その他の第三者の製品、サービスおよびシステムにも存在します。

軽減措置

CISA*1のゼロトラスト成熟度モデルをふまえた堅牢性と柔軟性を備えた対策を、グループ全体で実施しています。 経済産業省が策定する「サイバーセキュリティ経営ガイドライン Ver3.0」や「NIST*2 Cyber Security Framework(2.0版)」に基づき、サイバー攻撃に対するインテリジェンス(事前防御)やレジリエンス(攻撃からの回復能力)を強化しています。

また、データドリブン変革としてサイバーセキュリティダッシュボードでセキュリティリスクを全従業員に示すことで、迅速な経営判断と現場の自律的なアクションにつなげています。 このように自社の現場での経験をもとに確立した対策やノウハウをソリューション化し、お客さまに提供しています。

さらに、設計段階からセキュリティを考慮した「セキュリティ・バイ・デザイン3.0」に基づき、高品質で安全なサービスを提供するために、サプライチェーンも含めた対策強化を実施しています。
取り組みの詳細は、情報セキュリティ報告書をご参照ください。

  • *1
    Cybersecurity and Infrastructure Security Agency:米サイバーセキュリティ・インフラストラクチャセキュリティ庁
  • *2
    National Institute of Standards and Technology:米国国立標準技術研究所

大規模な災害、事件・事故や感染症への対応

地震風水害等自然災害リスクへの対応

当社では気象庁などからの災害情報を社内の災害時情報共有システムに自動で取り込み、地図上に影響範囲を表示し、その範囲に存在する当社拠点、お客さま、サプライヤーなどの情報が即座に把握できる仕組みを構築しています。

さらに、最新のハザードマップをもとに各拠点のリスクを検証したうえで、被災時の影響度とコストのバランスを勘案しながら、対策を実施しています。

ISO22301:2019認証取得

NECでは、システム保守部門、データセンター運用部門などを中心にISO22301:2019認証を取得しています。

ISO22301:2019は事業継続マネジメントシステム(BCMS)に関する国際規格です。

取得していない部門も、できる限り国際規格に準じて地震・洪水・台風などの自然災害をはじめ、システムトラブル・感染症の流行・停電・火災といった事業継続に対する潜在的な脅威に備え、効率的かつ効果的な対策を講じています。

リスク・カルチャー醸成のための取り組み

潜在的リスクに関する社内のフィードバックプロセス

潜在的なリスクや新興リスクに関しては、リスク・コンプライアンス委員会など役員レベルでの情報交換や協議などが行われており、リスクへの対応力を高めています。また、リスク管理手法の改善にも継続的に取り組んでいます。

リスク管理指標と金銭的インセンティブ

「日本電気株式会社 従業員懲戒規定」において、 故意または過失により会社に損害をこうむらせた従業員には、懲戒に附するほか、損害を賠償させることを定めています。

リスク・マネジメントに関する研修・啓発

リスク管理に関する認知度や理解度を向上するために、NECでは管理職向けにリスク管理に関する研修を行っています。

新任社外取締役のオンボーディングの一環として、NECのリスク・マネジメントの研修を実施しています。加えて、全従業員向けに、コンプライアンス、環境、人権、情報セキュリティなどの個別リスクに関する研修を実施しています。

従業員による潜在的リスクの確認・報告

リスクアセスメントによって従業員からも情報収集しています。

防災、事業継続に関する訓練・研修と啓発

訓練・Web研修などの実施

当社および国内関係会社では下記のような訓練・研修を毎年実施することで大規模災害が発生した場合でも被害を最小限に抑え、迅速に事業が再開できるよう備えています。

  • 働き方改革の中で勤務形態に合わせた災害時対応手順の確認を目的とした訓練を実施
  • 災害時の具体的なイメージを持ち、大規模地震に備えるために必要な考え方や事前の対策、災害時の行動を考える機会として、Web研修、各職場での懇談会を実施

BCP成熟度向上

  • 各部門の取り組みを「平常時/災害時の組織の状況」「リーダーシップの在り方」「防災や事業継続の計画」「支援状況」「実効性を持たせる運用」「評価と改善」という指標を用いて客観的に見える化する仕組みで対応中
  • 組織文化として防災や事業継続の考え方を定着させ、被災時に各部門、各勤務者が自ら考え自律的に行動できるように、NECグループ全体でブラッシュアップを継続

外部団体の活動への参画

経営倫理に関する国内外の情報収集や研究、企業活動におけるコンサルティング、企業人への啓発・普及などを行う一般社団法人経営倫理実践研究センターに、当社は同センター発足時(1997年)から参加しています。当社は、同センターを通じて得られた他社における取り組み事例などを、当社における各種施策の立案に役立てています。

ホットライン

NECはコンプライアンス違反の早期発見、自浄作用のため、ホットラインを設置しています。

また、人権侵害や侵害の恐れが発生したときに、迅速かつ正確な原因究明に基づく適切な対処によって、問題の是正に取り組むため、NECグループの従業員だけでなく非正規従業員やお取引先、お客さま、地域住民など広いステークホルダーを対象とした、匿名で通報可能な通報窓口(ホットライン)を設置しています。

通報窓口では、通報者や通報内容の秘密を適切に取り扱うほか、通報者に対する不利益な取り扱いや報復を禁止し、通報者の保護を徹底しています。

指標および目標

中長期目標/重点活動と進捗/成果/課題

中長期目標/重点活動

(対象:特に記載のない場合は日本電気(株)、期間:2021年4月〜2026年3月)

適切なリスク・マネジメントの実行

事業遂行に影響を与える重要なリスクの選定と実効性ある対策の立案と実行

2023年度の目標と進捗/成果/課題と2024年度の目標

2023年度の目標

CRO設置を含む全社のリスクを俯瞰的、一元的にコントロールする体制の整備

重点対策リスクに対する実効性ある施策の立案と実行

  • ハラスメント
  • 品質・安全性に関する法規制遵守
  • プロジェクト契約に関する品質向上

進捗/成果/課題

重点対策リスクへの対策実施(2023年度重点対策リスクは1年間変動なし)

  • ハラスメント:
    統括部長以上への周知徹底・全従業員向け研修実施、就業規則・懲戒規程にハラスメント防止を明記
  • 品質・安全性に関する法規制遵守:
    - 電波法対応として、無線局免許状申請管理プロセスのルール化・システム化
    - 電気通信事業法対応として、リスクの高い事業部門を中心に研修を実施
  • プロジェクト契約に関する品質向上:
    案件を早期捕捉するようにし、スタッフ部門の支援プロセスを精緻化

2024年度の目標

全社のリスクを俯瞰的、一元的にコントロールする体制の強化重点対策リスクに対する実効性ある施策の立案と実行

  • ハラスメント
  • 労働安全
  • 品質・安全性に関する法規制遵守
  • プロジェクト契約に関する品質向上