当社グループは、事業活動に関わるさまざまなリスクを未然に認知・評価し、リスクに応じた適切な対応を講じることで、経営の安定を図っています。事業活動に関わるリスクを「業務リスク」「経営リスク」の2つに分類して対策を推進しています。「業務リスク」は、事故、災害、コンプライアンス違反、業務ミス、製品の瑕疵、クレーム、環境汚染、情報漏洩、サイバー攻撃、テロ、労務問題、経済安全保障、人権問題、サステナブル調達不備などに代表される業務遂行を阻害して損失のみを生じさせるリスクです。また、「経営リスク」は、事業活動に関わるリスクのうち、業務リスクを除く利益または損失を生じさせるリスクです。投資や財務をはじめとする現在の事業戦略におけるリスクに加え、将来想定される事業環境のリスクもこれに含みます。
業務リスクについては、リスク・コンプライアンス委員会にて次のように定め、マネジメントしています。
経営リスクについては、TCFD提言に沿った形で気候変動のリスクと機会を的確に捉え、状況を把握し、経営に反映しています。
取締役会が監督する「リスク経営委員会」は、グループ経営に関わるリスクマネジメント方針の決定とマネジメント状況のモニタリングなどを実施しています。社長が委員長を務め、執行役員、関係部門長などで構成され、原則として半期ごとに開催しています。他の委員会などに対し重要な業務リスクおよび経営リスクに関する報告を随時求めるほか、本委員会の実施状況について、原則として年1回、取締役会に報告しています。
また「リスク経営委員会」の下、業務リスクに対応する「リスク・コンプライアンス委員会」を設置し、適時、迅速に必要な対策を取ることを通して、業務リスクに関する全社リスクマネジメントを推進しています。定期委員会は四半期に一度、開催しています。当社グループ全体の重点ならびに重要リスクの更新、さまざまなリスク顕在化の兆候や新たなリスクの把握と評価、およびその他業務リスク全般に関する事項を審議、その対策の支援と進捗管理を実施し、リスク経営委員会へ上程する役割と責任を有しています。
当社グループは危機対応に関する最上位の規程として「危機発生時の対応規程」を策定し、対応方針や危機レベルの捉え方、連絡系統、対策本部の設置方法などについてまとめています。
グループ内のリスク関連情報は、発生当初から本規程に基づき発生現場の主管部門および総務部リスクマネジメント課に速やかに共有され、それをリスクマネジメント委員と随時共有するとともに、社会的影響や被害を最小限にとどめるべく、コーポレート部門を含む関係部門が発生現場のリスク対応の支援または主導に当たります。また消防、警察などの関係官庁や自治体、お客さまなどの社外ステークホルダーとの連携を図ります。
さらには、経済安全保障をはじめとする、現在から今後にかけて経営に多大な影響を及ぼすことが予想される潜在的なリスクについても、その調査・検討・対策立案を実行する全社横断のタスクフォースをリスク・コンプライアンス委員長の指示により適時・迅速に組成し、その進捗および結果をリスク経営委員会、ならびに取締役会に報告する体制を整えています。
当社グループは、首都直下地震版、南海トラフ巨大地震版、新型インフルエンザ版のBCPを策定しています。各種BCPに基づく総合防災訓練を毎年実施し、各拠点との連携や課題を確認し、実践的な対応力の強化に努め、そのフィードバックをBCP改定に反映しています。製油所・事業所・工場などにおいては、各種危機対応規程類に基づき、拠点全体で防災訓練を定期的に実施しています。
また2015年度に、内閣府より指定公共機関に指定されたことを受け、2019年12月に「防災業務計画」最新版を提出しました。指定公共機関として、各都道府県でのタンクローリーの緊急車両登録を進めています。
5類移行となった2023年5月に、対策本部を解散しました。以降は、季節性インフルエンザなど同様に、発熱者が出た場合の留意事項を各職場単位で実践し、従業員の安全確保と感染拡大防止を推奨しています。
2007年から、BCPの実効性を高めることを目的に「総合防災訓練」を毎年実施しています。2022年度は9月に16回目となる訓練を実施しました。難易度を上げ、「南海トラフ半割れケース・臨時情報(巨大地震警戒)発表」に対し、本社・関係支店・関係製油所の対応を二部形式で確認しました。来るべき大規模地震のさまざまなケースに対応し、よりBCPを盤石なものにしました。同時に全社安否確認訓練も実施し、関係会社を含め約14,000名の従業員が速やかに安否報告を行いました。訓練で得た課題や気付きをBCPに反映させ、当社の危機対応力の向上を図っています。
総合防災訓練(2022年9月)
当社は(株)日本政策投資銀行(DBJ)の「BCM格付融資」制度において、最高ランクである「ランクA」を、2019年度に石油元売企業として初めて取得しました。
東京油槽所での東京消防庁との合同消防演習(2022年6月)
当社グループでは、「情報セキュリティ基本方針」の下、情報資産の機密性および情報システムやネットワークの可用性・保全性を確保し、情報技術を利用してお客さまサービスの維持向上に努めています。また、お客さまに関する情報は、当社においては「顧客情報管理基準」を定め、適切に収集・利用するとともに、安全かつ最新の状態で保存し、適切に廃棄します。
「ITシステム利用に関するセキュリティ基準」についての教育として、全てのITシステム利用者(従業員・派遣社員・外部委託先など)を対象にした「情報セキュリティに関するeラーニング」を毎年実施しています。これによりITシステム利用者に情報管理の徹底を図っています。
制御系システムに対するセキュリティについては、「制御系システムセキュリティ協議会」を設置し、「制御系システムセキュリティガイドライン」を指針として、グループ全体で組織的・計画的にセキュリティ対策を推進するとともに、各製造拠点でPDCAサイクルを回しながら継続的に改善を図っています。また、制御系システムの利用者および管理者を対象とした制御系eラーニングと各製造拠点でのインシデント対応訓練を毎年実施しています。
さらに、情報系・制御系共に、各部室・製造拠点において自主点検を行い、セキュリティの内部監査を定期的に実施しています。また、巧妙化するサイバー攻撃の影響を低減するため、不正侵入や重要情報の持ち出し防止など、システムによる多重防御の仕組みを実現しています。
情報漏えい他、重大なセキュリティインシデントが発生した場合は「危機発生時の対応規程」「情報管理要綱」にのっとり対処します。
| 2021年度の重大な情報セキュリティ違反件数 | 0件 |
|---|
セキュリティの企画・実装・運用を含めICT人財のCDP(キャリア開発計画)を定義したうえで、ICT部門に所属する個々人のスキル評価と目標設定を実施し、計画的に人財を育成しています。
毎年、全てのITシステム利用者が順守すべき規則を学習することを目的に、「情報セキュリティに関するeラーニング」(日本語、英語、中国語に対応)を実施しています。全てのITシステム利用者を対象に、2021年度は2022年1~3月に実施し、16,473名が受講、受講率は100%でした。
2019年度から、制御系システムの利用者および管理者を対象に制御系eラーニングを実施しています。2022年度は1~3月に実施し、5,217名が受講、受講率は100%でした。
標的型攻撃メールからのコンピューターウイルス感染リスクなどの低減および啓発のため、四半期に1回、標的型攻撃メール訓練を実施しています。
情報セキュリティの注意点を、月次で啓発メール「サイバーセキュリティレター」として配信しています。
| 日付 | 研修名 | 対象者 | 備考 |
|---|---|---|---|
| 2019年 11月 |
ITサミット2019 | 主に海外拠点のIT担当者30名 | セキュリティ強化の知識共有と事業をサポートするITツールの提供を目的に2回目の開催 |
当社グループは、特定個人情報※1を含む個人情報および匿名加工情報※2(以下総称して「個人情報等」)の取り扱いに関し、個人情報等の保護に関する基本方針を定め、これを遵守するとともに、取り扱う全ての個人情報等をより安全かつ適切に管理します。
個人情報保護に関しては、総務部を事務局として、各部門、関係会社に情報管理責任者を配置し、取り組みを推進しています。毎年、情報管理責任者会議を開催し、グループ内の教育を図っています。
| 2022年度の重大な個人情報保護違反件数 | 0件 |
|---|