リスクマネジメント

SUSTAINABILITY

リスクマネジメント推進体制

当社グループは、執行役社長を議長とするコンプライアンス・リスクマネジメント推進会議にて、リスクマネジメント体制・取り組み方針を周知徹底し、3つの部会(リスク対策部会・コンプライアンス推進部会・サイバーリスク対策プロジェクト)を通じて、実効性の高い対策を講じています。
また、当社グループのリスクマネジメント体制は3つのディフェンスラインと5つのレイヤーで管理されています。各グループ会社を第1線、HDSリスク管理部門を第2線、HDS内部監査室を第3線とする3つのディフェンスをベースとして、より具体的に役割を明確化した5つのレイヤー(❶グループ事業会社現業部門 ❷グループ事業会社管理部門 ❸HDS統括部門 ❹HDSリスクマネジメント室 ❺HDS内部監査室)に区分することで、リスクマネジメント体制の強化を図っています。

リスクマネジメントの実効性を向上させるための各組織

コンプライアンス・リスクマネジメント推進会議で選定した重点リスクについて、より具体的な対策の立案と推進、検証のPDCAサイクルを回すために、3つの部会を通して、実効性のある未然防止対策を講じています。なお、重点リスクの選定方法については、「リスクの捉え方」の項をご覧ください。

❶リスク対策部会

自然災害・火災をはじめとするさまざまなリスクの低減、未然防止につなげるための対策やBCPの策定とあわせ、訓練および点検を徹底することで、リスク対策の実効性向上に努めています。

❷コンプライアンス推進部会

時代に即応した倫理観と急速な環境変化に正しく対応するため、経営層が認識すべき法令知識・行政動向などの理解促進と公正取引遵守実務の連動を図り、企業文化としてのコンプライアンスマインドの醸成に取り組んでいます。

❸サイバーリスク対策プロジェクト

セキュリティ動向を常に把握し、グループセキュリティの技術的な最適化を図るとともに、日々のモニタリング体制を整備し、未然防止や迅速なインシデント対応、従業員教育に取り組んでいます。

リスクマネジメントのPDCAサイクル

リスクマネジメントのPDCAサイクルを表す円形の図。図の上に推進会議 リスク対応方針の策定と徹底 → 各部会 重点リスク対応策の策定と周知徹底 と表示されている。円形の図は4分割され、上から時計回りに Plan Do Check Act と表示され、時計回りに向いた矢印が、円に沿って表示されている。Do の右に、対応策の実施、Check の下に、モニタリングと評価、Act の左に 対応策の改善 と表示されている。

コンプライアンス・リスクマネジメント推進会議にて示された基本方針をもとに、各部会を通じて具体的な重点リスク対応策の策定と周知徹底を行っています。
対応策の実行のために、グループ各社における訓練や自主点検活動などを実施。モニタリングと評価を経て、さらなる対応策の改善につなげるというPDCAサイクルに基づいたリスク管理を実行しています。

リスクの捉え方

リスクを捉えるにあたり、日々変化する外部環境とグループの事業特性、事業戦略を考慮し、多角的な視点からリスクの把握に努めています。
グループ全体の事業を取り巻くリスクを5つのカテゴリー(❶経営戦略上のリスク、❷財務に関するリスク、❸人事・労務に関するリスク、❹災害等のリスク、❺オペレーショナルリスク)に分類し、カテゴリー毎にリスクを洗い出し、「リスク一覧」として整理しています。
「リスク一覧」については、毎年その内容を見直し、月次でリスク所管部門間でコミュニケーションを取り、リスクへの対応状況を確認のうえ、必要に応じて評価を更新しています。
また、リスクが顕在化した際には、物的損害、人的損害、財務・経営戦略遂行の阻害、レピュテーション毀損などの損害を被るものと捉え、発生頻度や事業への影響をもとにリスクマップを作成し、その中から重点リスクを選定、部会等を通じて対策の強化を図っています。なお、リスクへの対応状況については、執行役会および監査委員会に定期的に報告を行っています。

リスクの一例

次の表は左右にスワイプしてご覧ください

区分 リスク項目 物的損害 人的損害 財務、経営戦略遂行の阻害 レピュテーション毀損
①経営戦略上のリスク サステナビリティ経営の推進に関するリスク  
デジタル社会への対応に関するリスク  
新たなビジネスモデル構築に関するリスク    
海外情勢への対応に関するリスク
②財務に関するリスク 資金調達に関するリスク      
③人事・労務に関するリスク 人財確保に関するリスク  
④災害等のリスク 災害等の対応に関するリスク
情報セキュリティに関するリスク  
⑤オペレーショナルリスク 商品取引上のリスク  
個人情報漏洩に関するリスク    
リスク発生時の影響と発生頻度を表す図。縦軸は発生時の影響を表し、上に行くほど大きくなり、下から Low、Middle、High の3つに分割されている。横軸は発生頻度を表し、右に行くほど高くなり、左から01. 02. 03. の3つに分割されている。9つに分割されたうち、02.High 03.High に該当する部分に、重点リスク と表示されている。

事業等のリスク

①経営戦略上のリスク

②財務に関するリスク

③人事・労務に関するリスク

④災害等のリスク

⑤オペレーショナルリスク

リスク低減に向けた具体的な取り組み

三越伊勢丹グループでは、外部環境の変化に応じたリスク対策の最新化・高度化に、グループ全体で取り組んでいます。
ここでは、激甚化する自然災害、多様化するサイバー犯罪など、リスクが顕著化した際、事業への影響が特に大きいことが予想される「自然災害に関するリスク」と「情報セキュリティに関するリスク」への対応について、具体的な取り組みをご紹介します。

自然災害に関するリスクへの対応

昨今、世界各地において気候変動を背景にした自然災害が頻発・甚大化し、さまざまな環境課題が顕在化しています。
三越伊勢丹グループは、百貨店事業を中心とした店舗による事業展開を行っています。そのため、地震、台風、水害、火山噴火といった自然災害により、店舗の営業継続に大きな支障をきたす可能性があります。特に、首都直下地震や南海トラフ地震が発生した場合、当社グループのお客さま、従業員および建物などに甚大な損害を受ける恐れがあります。あわせて、電力の使用制限や消費の自粛、放射能による食料品汚染など、大規模災害が営業活動に影響を及ぼすことが予想されます。
また、台風や集中豪雨といった水害などの甚大化による洪水や浸水、強風による被害は、お客さま、従業員および建物のみならず、商品供給や物流にも大きな影響を及ぼす可能性があります。そして、仮に富士山噴火が起こった場合には、首都圏を中心に広い地域に火山灰が飛来することで、システム、物流などに大きな影響を及ぼし、営業活動などに支障が生じることが予想されます。

防災・減災のために

三越伊勢丹グループでは、大規模災害の発災時に備え、防災・減災対策と災害発生時の初動・復旧・復興に向けた行動計画の策定や、実効性向上のための定期的な訓練、安否確認の徹底、ITツールを活用した情報共有などに加え、グループ従業員の防災意識向上のための施策など、さまざまな取り組みを行っています。

①グループ総合対策本部 大地震発生時初動訓練

三越伊勢丹グループでは、各社・各店舗所在地のいずれかの場所で震度6弱以上の地震が観測された場合、または事務局長が必要と判断した場合に、「グループ総合対策本部」が設置されます。グループ総合対策本部は、各社・各店からの被害情報を収集・分析し、グループとしての判断が必要な事項についての対応や指示を行い、お客さまや従業員などの安全を最優先に、中核となる事業の継続あるいは早期復旧に向けた活動を組織的に行います。
2021年度からは年2回、各社・各店の災害対策本部とグループ総合対策本部メンバーを対象とした、大地震発生時の初動連携訓練をリモートで行っています。2023年9月の訓練では首都直下地震を想定し、被災拠点となる首都圏5店舗の災害対策本部とグループ総合対策本部間において、適切かつ迅速な情報連携を図ることを目的に実施しました。当日は、被害の最小化に向けた人命救助や応急対応、広域にわたる支援(要員・救援物資・資金手配など)、早期復旧に向けたグループ間のリソース配分と計画立案のため、被災拠点からの災害時の情報収集からグループ総合対策本部での意思決定までの流れを確認しました。

訓練時のグループ総合対策本部
伊勢丹立川店での訓練の様子

②事業継続マネジメント(BCM)

三越伊勢丹グループでは平常時から事業継続計画(BCP)の改定をはじめ、システムやツールの改良、文書体系の整備を実施しています。さらに、教育・訓練を通じて、BCPの実効性向上と危機管理意識の醸成までを含めBCMとして実行しており、グループの中核となる事業の継続能力を維持・改善していくための活動を実施しております。
その活動のなかで抽出される課題については、コンプライアンス・リスクマネジメント推進会議をはじめとする会議等を通じてグループ全体で共有しながら、改善のために不断の努力を継続しており、このような一連の取り組みを通じたPDCAサイクルの実行が、さらなる当社グループのBCMの実効性の向上とレジリエンス強化へとつながっています。
また、自然災害やパンデミックなどが発生した場合、当社グループの店舗ならびに事業継続に支障をきたす可能性があります。そのため、リスクが顕在化し「グループ経営の危機」に遭遇した際に、お客さま・従業員・事業資産等への被害を最小限にとどめ、被災拠点と事業の早期復旧および事業継続を図るために、グループ各社におけるBCPなどを策定しています。

BCP発動の訓練の様子

BCPでは、発動基準のほか、グループ全体の意思決定や組織体制、行動計画、目標復旧時間のほか、平常時におけるリスクへの事前対策などについて定めています。

③レジリエンス認証の取得

2016年には(一社)レジリエンスジャパン推進協議会により、レジリエンス認証を取得しました。これは、(株)三越伊勢丹の事業継続計画の取り組みが評価されたもので、百貨店として初の取得となります。さらに、2018年には「事業継続」に加え、店頭での募金活動や従業員のボランティア活動を支援する仕組みなどが評価され、「社会貢献」においても同認証を取得しています。
レジリエンス認証とは、国内初の事業継続マネジメント(BCM)にかかわる組織認証制度で、内閣官房国土強靭化推進室がの認証組織の要件に適合していることを確認し、(一社)レジリエンスジャパン推進協議会が事業継続への取り組みを積極的に行っている企業や自治体、学校、病院等の団体を認証する制度です。

④災害への備え ~内閣府との取り組み~

2023年度は、関東大震災から100年を迎える節目の年であり、今後想定される首都直下地震や南海トラフ地震などの巨大災害に対する備えを一層強化するうえでの重要な機会です。内閣府では、国民・家庭・事業所レベルでの防災意識を高め、日常生活における「災害への備え」を促進するため、民間企業とのコラボレーション事業を行っており、三越伊勢丹グループもこの取り組みに賛同し、グループ従業員の防災意識向上を目指し、さまざまな活動に取り組んでいます。

⑤従業員の防災意識向上のための取り組み

全国で頻発する自然災害から命を守るためには、一人一人が日頃からの備えを自主的に行うことが何よりも重要です。そのため、三越伊勢丹グループでは、グループ従業員の防災意識向上を目指し、WEB社内報に「自助」に関した関連記事を掲載しています。その時期に応じて発生しやすい自然災害をテーマに、日頃の備えと災害発生時の行動について、従業員が自分事として捉えられるよう定期的に発信することで、防災・減災につなげています。

情報セキュリティに関するリスクへの対応

三越伊勢丹グループでは、多岐にわたる事業活動やサービス提供のなかで、お客さま、お取組先から日々お預かりするさまざまな情報を厳格に管理しています。あわせて、オンライン購買の伸長や各種デジタルツールが普及し、多くのシステムを日々の営業活動において活用しています。昨今、日本企業が国内外からのサイバー攻撃を受ける事例が増加しており、当社グループでも情報セキュリティガバナンスのさらなる強化に努めています。サイバー攻撃などによるシステムの破壊や停止、そして不正アクセス犯罪などによる個人情報や機密情報の漏洩が発生した場合、対応と復旧に時間を要し、広範な業務に支障をきたすリスクがあることから、当社グループでは情報セキュリティを維持するため、さまざまな対応策を実施しています。
まず、組織的な対策として、情報セキュリティ体制の強化、専門部署を中心とした「サイバーリスク対策プロジェクト」を設置し、対応策の策定と実行を図っており、平常時のサイバーリスク予防と有事におけるセキュリティインシデント対応を実施しています。技術的な対策としては、サイバー攻撃などを受けた際のリスクを低減するため、リスクを把握して事前に対処するための「防御」、侵入を早期発見・早期対処するための「検知」を実施するべく、各種セキュリティツール、システムの導入・運用を図り、対策を強化しています。
人的な対策では、情報セキュリティに関する従業員のリテラシー向上策として、当社グループのシステム部門における専門人材の育成の推進や、従業員への教育プログラム実施のほか、各拠点において標的型メール訓練を定期的に実施しています。そして、日常的に情報セキュリティに係る事例の発生状況をイントラネットを通して共有することで危機意識の醸成を図っています。さらに、インシデントが発生した際に適切に対応するために、行政・専門機関といった外部への報告および連携を図り、迅速な対応を可能とするための組織であるCSIRT(COMPUTER SECURITY INCIDENT RESPONSE TEAM)を設置しています。
また、当社グループでは、外部認証の取得として、国内関係会社4社で「プライバシーマーク」を、当社グループの情報サービスの管理運用を担う(株)三越伊勢丹システム・ソリューションズで、情報セキュリティマネジメントシステム(ISMS)に関する国際規格の「ISO 20000」、「ISO 27001」を取得しています。

認証取得数はウェブサイトのESGデータ集に記載