企業としての義務と責任リスクマネジメント

当社グループでは、「ERM、BCP、グループ全体の意識向上」を三本柱としたリスクマネジメント活動を行っています。これらの活動と体制の根拠として「リスク管理規程」を定め、この規程に則り「リスクマネジメント委員会」を設置し、その事務局や推進の機能を担う組織としてリスクマネジメント室を経営直下に配置しています。

  • ERM全社的リスクマネジメント(ERM:Enterprise Risk Management)を運用することで事業活動に関わる広範なリスクを的確に認識し、特定し、対応を行っています。
  • BCP膨大なアクセスやサイバー攻撃に耐えられる備えの構築はもちろん、大規模災害発生時にも必要なサービスを維持できるように、優先順位に応じたBCPを実現しています。
  • グループ全体の意識向上リスクマネジメントを一部の関係者だけに閉じずに、全社のリスクマネジメントにかかわる方針や最新の情勢に関する認識などを多くの従業員に共有し、意識の向上と更新に努めています。

ERM

基本方針

事業環境が変化し続ける中で、多様な事業領域でのリスクを認識し、特定し、対応するために事業領域ごと・業務領域ごとにERMを運用しています。そのプロセスと結果については、リスクマネジメント委員会などを通じて、経営と直結させています。

対象項目

ERMでは多数のリスク項目を扱いますが、これを16の大項目にまとめることで、関係者および全社において共通の理解を得やすい形にしています。この項目は、事業環境の変化に応じて定期的に(ほぼ1年ごと)見直し、更新をしています。

2019年度のリスク項目

ERMの推進体制

ERMの体制は以下の図表のとおりです。さらに活動の実効性と機動性を向上させるために、「キャプテンコミュニティ制度」を導入しました。複数の事業領域のERM推進責任者の中から「キャプテン(代表者)」を任命し、情勢確認や進捗確認を行うミーティングを毎週、対面で行っています。

ERMの推進体制図
ヤフーERMプロセス図
ヤフーERMプロセス図

特定リスク所管部門

リスクマネジメントの有効性を高めるために、リスク管理規程において「特定リスク所管部門」を定義し、責務と役割を明示しています。先述の「対象項目」の一部などのリスクを指定し、それぞれを特定リスク所管部門で所管しています。
各所管部門は、専門的な知見から現場でのリスクマネジメントを支援し、現場だけでは対応できない複数部門にまたがったリスクマネジメント、あるいはグループ全体のリスクマネジメントを担当しています。

特定リスクの例

  • 情報セキュリティリスク「完全性、機密性、可用性」など情報セキュリティが損なわれるリスクや、サイバー攻撃などによるリスクです。CISO室(セキュリティを統括管理する部門)などで所管。
  • 物理セキュリティリスク従業員や関係者の身体生命、会社資産や事業継続に影響を与えるような物理的な攻撃によるリスクです。
  • 法規制リスク・アビューズリスク法規制の変更による事業環境の大きな変化や、不正利用などによって信頼感や安心感が損なわれるリスクです。政策企画本部(法務関連部門)などで所管。
  • 人材獲得リスク最適かつ多様性の担保された人材を獲得し、能力を発揮してもらうことは企業活動にとって重要な要素です。これが損なわれ事業活動に影響を及ぼすリスクです。PD本部(人事関連部門)などで所管。

BCP(事業継続計画)

非常時のサービス継続

巨大地震などの有事の際にこそ利用者が必要とするニュースや災害情報などを提供し続けることは当社グループの使命のひとつです。そのため、災害の影響を分散するために複数のデータセンターと複数のバックボーンを用いてサービスを提供しています。
また、東京・紀尾井町オフィスと地理的に離れた大阪や福岡、青森に編集拠点を設置し、日ごろからこの複数拠点で「Yahoo! JAPAN」トップページや「Yahoo!ニュース」などのサービスを更新し続ける体制を構築し、非常時に備えています。このようなネットメディアとしての使命と同様に、決済、流通、情報共有など多くのサービスの持つ社会性を考慮し、それぞれの特性に応じたBCPの更新にも取り組んでいます。

気候変動への対応

当社グループでは、在宅勤務やオフィス外での勤務を可能とする勤務制度を複数用意し、VPN接続などのインフラを整備し、多くの従業員がこれを日常的に利用しています。働き方の多様性を実現すると同時に地震やパンデミックなどの非常災害時のBCPの一環として実施しています。特に、温暖化などの気候変動により、気象災害の激化、海水面上昇に起因する水害など、通勤困難な状況が長期間にわたって発生する事態も想定した対応となっています。

災害対策本部と防災会議

非常時にも経営の意思決定と意思伝達をスムーズにするための災害対策本部設置訓練を定期的に行っています。災害対策本部の根拠となる「非常災害対策規程」を作り、非常時における経営陣や各部署のを役割を明確にしています。常時においては、同規程に基づく「防災会議」を開催し、非常時への備えや、BCPの随時見直し、防災計画の策定を行っています。

グループ全体の意識向上

トップインタビューの公開

ERM活動の一環として、年度末に経営陣へのインタビューを行い、事業環境の変化や重点的なリスクに対する認識などを確認しています。例年、このインタビューを読み物形式に編集し、全社に公開しています。トップの肉声で語るリスク認識を全社に共有することは、リスクマネジメントに関する意識の向上に大きく貢献しています。

研修活動と社内コミュニティの活用

リスクに関するさまざまな研修活動を行っており、社内での講習に加えて、社外施設の見学などの研修にも積極的に参加しています。また、社内コミュニケーションのための掲示板では社内の事例や他社の事例・事故などの情報が数多く共有され、活発な議論が毎日のように行われています。リスクやリスクマネジメントを「他人事にしない」「タブーにしない」ための土壌が従業員のコミュニティの中に自然に形成されています。

事故報告システムの活用

「Yahoo! JAPAN」のサービスや、子会社を含む社内のさまざまな業務に関連して事故が発生した場合、報告システムを利用して、事象を発見してから1時間以内に報告を行うことになっています。報告された内容は、ただちに関係のある複数の部署内で共有されるとともに、その重大度を3段階に分け、データベースで管理しています。一つひとつの事故について状況把握、応急処置、原因分析、根本対策と進捗を管理し、再発防止に役立てています。

社会全体との協働

ネットの不正利用は高度化・複合化しており、サービス提供企業単独での対策には限界があることが明らかになっています。そのため、捜査機関や公的機関との連携はもちろん、他社と連動した取り組みや、設立団体などを通じた活動を行っています。特に、利用者を被害者にしないための啓発活動やリテラシー教育は重要で、長年この活動にも注力し続けています。