リスクマネジメント
企業を取り巻く環境は刻々と変化しており、リスクも複雑化・多様化しています。リスクへの対応は、早期発見と迅速な対策の実施が効果的です。当社は全社的にリスクを洗い出して、予防策を実施するための組織体制を整備し、定期的なリスク管理のサイクルを構築することにより、リスクの低減と未然防止に取り組んでいます。
リスク管理体制
当社では、さまざまな角度から全社的なリスクを特定し、リスクの顕在化を防止するため、「3ラインモデル」の考え方に基づく管理体制を整えています。第1線として、本社各部門が現場で各種施策を立案する際にリスクを含めた検討を実施するとともに、自部門におけるリスク管理を遂行しています。第2線として、リスク管理の責任者であるリスク管理室長の下、事業部門から独立した組織であるリスク管理室が、全社的・網羅的にリスクの把握と対策状況を確認し(年2回実施)、リスク管理委員会に報告しており、社長、副社長、CFOなどを委員とし、監査役や関係部門長が参加するリスク管理委員会では、リスクの重要度や対応する責任者(リスクオーナー)を定め、対策指示などを行い、リスク管理室長を通じて状況を取締役会に報告しています。なお、リスク管理委員会では、情報セキュリティ経験を有する取締役(代表取締役 社長執行役員 兼 CEO 宮川 潤一)が中心となり当社グループに重要な影響を与えるリスクを監督しています。
内部監査室は第3線として、第1線と第2線から独立した立場から、これら全体のリスク管理体制・状況を監査しています。
また、これとあわせて、リスク抽出プロセス等を含むリスク管理委員会における検討の内容を、リスク管理室長より、会社業務の執行を監督する役割を持つ社外取締役および監査役に報告し、リスク管理手法や改善点等に関する意見を得て、リスク管理の対策等に反映しています。
なお、グループ全体のリスク管理の観点から、子会社・関連会社からの報告体制を整備するとともに、それぞれが抽出した事業に関連するリスクとその対策状況の定期的なチェックを実施します。
- [注]
-
- ※1リスクトレンド分析:最新のニュースや公開情報を基にした分析を行い、新しい視点でのリスク抽出の材料とする手法
- ※2KRI(Key Risk Indicators):重要リスク評価指標
- ※リスク管理と監査について、それぞれの責任者であるリスク管理室長と内部監査室長が、それぞれの職責に基づき独立して取締役会に報告しています。
- ※外部からのリスク管理に関する評価として、ISO31000(JISQ31000)に準拠したリスクマネジメント体制およびリスクマネジメントプロセスの評価にかかる検証(今年度実施)や、金融商品取引法で定められている内部統制報告制度およびSSAE18に準拠した内部統制の評価(年に1回)を第三者機関により受け、リスク管理体制のさらなる精度向上に努めています。
- ※1
リスク管理手法
当社は、各種施策の立案時にビジネスの機会とあわせて潜在するリスクも検討することに加え、当社グループのリスクを幅広く抽出、選定、評価するため、リスクの見直しを含めて、年度ごとに以下のようなPDCAサイクルを回すことにより、複雑化・多様化するリスクの発見、低減、顕在化の未然防止に取り組んでいます。
| Plan | リスク管理室は、リスク分類表(当社と当社の子会社・関連会社の事業遂行に関わりのあるリスクシナリオから構成)を用いたリスクアセスメントや、当社の各本部長および主要子会社・関連会社の経営陣へのヒアリングを実施することに加え、当該年度のリスクオーナー(リスクの責任者)等へのインタビューを行っています。リスク管理委員会においては、現場と経営の双方の目線に基づき抽出したリスクを対象に、当社に重要な影響を与えるリスクとリスクオーナーを指名しています。その際、さまざまな観点からリスクを抽出するために、事前にリスクおよび機会を含めた外部環境レポート等の情報提供や、短期/中長期の観点も含めた質問を通じ、情報を収集することで、より多面的なリスク分析を行っています。 |
|---|---|
| Do | リスクオーナーは、リスク管理委員会が決定した当社に重要な影響を与えるリスクに基づき、リスクの対策等を検討し、実施しています。 |
| Check | リスク管理室は、リスクオーナーによる対策状況を月次でモニタリングし、経営陣に報告するとともに、リスク管理委員会に対策状況等を報告し、リスク管理委員会は、報告に基づき、対策の実施状況等の確認やリスクの見直しおよび追加対策の必要性等を確認しています。 |
| Action | リスクオーナーは、リスク管理委員会で追加対策が必要と判断された場合には、改善策や追加対策等を検討し、実施しています。 |
年間スケジュール
- [注]
-
- ※上記「取締役会」には、社外取締役・監査役への事前説明会を含みます。
- ※
研修等の実施
新入社員を含む当社の全社員に向けては、取り組むべきリスクの社内周知やリスク管理に関する研修(eラーニングなど)等を実施し、加えて社内からの相談窓口を設置しているほか、子会社・関連会社に対しては当社と共通の研修資料を共有し、必要に応じて研修を実施しています。加えて、リスク管理は管理職を含めた従業員の能力評価に組み込まれるとともに、報酬に関する評価に反映されています。
また、取締役・監査役に向けては、定期的に、リスク管理、コンプライアンスなどに関する社内外の研修等を実施しており、社外取締役や社外監査役に対しても、リスク管理に関する適切な助言を得るため、就任時、また就任後も定期的に、リスクの選定と対策状況、リスクの見直し結果をはじめ、当社グループの事業内容、直近のリスク動向・技術動向を含めた最新のリスク関連情報などを説明し、理解する機会を設けています。
リスクアペタイトと
ストレステスト・感応度分析
個々のリスクをリスクアセスメントおよびリスクオーナー(リスクの責任者)等へのインタビューを基に、リスクの発生可能性(発生確率)と潜在的影響の大きさ(影響度)の観点から分類し、リスク受容基準(リスクアペタイト)を定め、社長を含む経営層で構成するリスク管理委員会で承認を得ています。
| 当社のリスク | リスクアペタイト |
|---|---|
| コンプライアンス |
役員・従業員の一人一人が順守すべき行動規範である「ソフトバンク行動規範」に基づき、日常業務の中で高い倫理観と責任感を持ったコンプライアンスの実現に取り組んでおり、コンプライアンスを徹底し、不正、差別・ハラスメントなどのコンプライアンスに反するリスクは許容しません。 |
| 知的財産・ブランド |
役員・従業員、グループ会社の一人一人が順守すべき「ソフトバンク行動規範」の中で、「知的財産権の重要性を認識し、他者の知的財産権を尊重するとともに、自社の知的財産権の適正な保護および活用の推進」を宣言しています。他者の知的財産を尊重しつつ、知的財産の積極的な創造・保護・活用に努めることで、リスクの低減を図り、企業価値を向上し、ひいては社会全体の産業発展に寄与すると考えます。 |
なお、財務リスクについては、為替などの感応度分析、非財務リスクについては、主要な事業拠点における水ストレス等に係るリスク分析を実施しています。
当社に重要な影響を与える
リスクへの対応
リスクの発生可能性(発生確率)と潜在的影響の大きさ(影響度)に基づき、当社の事業活動に重要な影響を与えるリスクを選定した上で、優先的に対応すべきリスクを定め、対策を実施し、リスクの低減と未然防止に努めています。
1. 経営戦略上のリスク
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 経済情勢、規制環境および市場環境の変化、他社との競合について | ||
|
|
|
| b. 技術・ビジネスモデルへの対応について | ||
|
新たな技術(生成AIを含む)やビジネスモデルの出現を含む市場環境の変化に、当社グループが適時かつ適切に対応できないリスク | 最新の技術動向や市場動向の調査、技術的優位性の高いサービスの導入に向けた実証実験、および他社とのアライアンスの検討など |
| c. 情報(個人情報を含む)の流出や不適切な取り扱いおよび当社グループの提供する商品やサービスの不適切な利用について | ||
|
|
|
| d. 国際情勢の不安定化について | ||
|
紛争国や関連国が課す航空機や船舶などの規制・制限による通信事業関連の機器・設備などの輸送が遅延するリスク | モニタリングや情報収集、サプライヤーの分散化・多様化 |
| e. 安定的なネットワークの提供について | ||
| (a)通信ネットワーク障害 | トラフィック(通信量)の増加や必要な周波数帯が確保できないことなどにより、通信サービスの品質を維持できないリスク | トラフィックの将来予測に基づいて通信ネットワークを増強 |
| (b)自然災害など予測困難な事情 | 自然災害や感染症の流行などにより、通信ネットワークや情報システムを正常に稼働できないリスク | ネットワークの冗長化、応急復旧体制の構築、ネットワークセンターおよび基地局での停電対策等の導入 |
| f. 他社の買収、業務提携、合弁会社設立、グループ内組織再編等について | ||
|
当社グループの投資先会社が見込み通りの業績を上げることができないリスク | 各投資の実行の検討に際し、必要十分なデュー・ディリジェンスを実施した上で、定められた承認プロセスを経て投資判断 |
| g. 他社経営資源への依存について | ||
(a)業務の委託
|
|
|
(b)他社設備などの利用
|
他の事業者が保有する通信回線設備を継続して利用することができなくなるリスク | 複数の事業者の通信回線設備などを利用 |
(c)各種機器の調達
|
通信機器などの調達において、供給停止や納入遅延などの問題が発生するリスク | 複数の取引先から機器を調達してネットワークを構築 |
| h. 「ソフトバンク」ブランドの使用について | ||
|
当社がソフトバンクグループ株式会社の信用または利益を害する行為をし、「ソフトバンク」ブランドを使用できなくなるリスク | ブランド使用前のチェック体制の強化、利用に関する資料公開、研修の実施 |
| i. 関連システムの障害などによるサービスの中断・品質低下について | ||
|
顧客向けのシステム、キャッシュレス決済サービス「PayPay」などで人為的なミスや設備・システム上の問題、または第三者によるサイバー攻撃、ハッキングその他不正アクセスなどによりサービスを継続的に提供できなくなるリスク | ネットワークを冗長化するとともに、障害やその他事故が発生した場合の復旧手順を明確化 |
| j. 人材の育成・確保について | ||
|
|
|
| k. 気候変動について | ||
|
|
|
2. 法令・コンプライアンスに
関するリスク
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 法令・規制・制度などについて | ||
|
|
|
| b. 訴訟等について | ||
|
第三者の権利を侵害することにより当社グループの企業イメージが低下するリスク | 法令・規則・制度や契約書等に記載されている契約条件の確認 |
3. 財務・経理に関するリスク
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 資金調達について | ||
|
金利上昇などによる資金調達コストが増加するリスク | 資金調達手段の多様化により十分な資金を保持する財務基盤の構築 |
| b. 会計制度・税制の変更などについて | ||
|
会計制度・税制の変更などにより追加の税負担が生じ、当社グループの事業展開、財政状態および業績に影響を及ぼすリスク | 必要に応じて顧問税理士等の外部専門家へ相談 |
| c. 減損損失について | ||
|
減損損失が発生し、当社グループの事業展開、財政状態および業績に影響を与えるリスク | 定期的にモニタリングする体制の構築 |
4. その他
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 経営陣について | ||
|
経営陣に不測の事態が発生した場合、当社グループの事業展開に支障が生じるリスク | 職務の代行が可能な体制の構築 |
| b. 親会社との関係について | ||
|
|
|
新興リスク
定期的にリスクを見直すことで、事業に重大な影響を与える可能性のある新興リスク※1も識別・管理しています。洗い出した新興リスクについては、短期・中長期※2の観点から検討を行い、対策を講じています。
2024年度の新興リスクは以下の通りです。
- [注]
-
- ※1現在は存在していない、または認識していないが、外部環境の変化等により新たに出現したり変化したりするリスクを言い、今後、事業戦略やビジネスモデルの変更が必要となるような、事業に重大な影響を与える可能性があるリスクのこと。
- ※2おおむね3~5年以上を「中長期」として検討を行っています。
- ※1
個人情報・プライバシーの保護と
セキュリティ
| リスク定義 | 保有する個人情報を含む情報資産の不適正な利用や管理によって、顧客(顧客の従業員を含む)や当社の従業員のプライバシーを侵害し、当社の信用および信頼が失墜するリスク。 |
|---|---|
| 代表的リスク内容 |
|
| 事業に対する影響 |
通信事業をはじめとし、5G、AI、IoT、RPA、クラウド、ビッグデータなどの最先端技術を利用したさまざまな商品やサービスを国内外の顧客に提供していることから、顧客(個人・法人)の個人情報や、通信端末や基地局設備等を含む取引先の情報等、通信やその他事業に関する大量の情報資産を保有しています。 一方、近年の個人情報を含む情報管理に対する意識は全世界的に高まっており、例えば、EUの一般データ保護規則(GDPR)、中国の個人情報保護法をはじめ、米国の連邦におけるデータプライバシー保護法制定に向けた議論や、東南アジア諸国においても個人情報保護の規制が強化される方向で法整備が進んでいます。日本においても個人情報保護法改正に続き、電気通信事業法の改正が行われ、当社には、以前にも増して、個人の権利利益に配慮した情報の保護や、利用者情報の取り扱いも含めた電気通信サービスの信頼性の確保が求められています。 また、近年、サイバー攻撃のさらなる巧妙化や国際的なハッカー集団による執拗(しつよう)な攻撃の増加、リモートワーク環境を狙った攻撃、内部不正など、セキュリティリスクも多様化・高度化しており、当社の事業を取り巻く環境は年々厳しさを増しています。 こうした状況を踏まえると、保有する情報資産(個人情報を含む)の不適正な管理や利用により顧客(顧客の従業員を含む)の権利を侵害したり、顧客を含む社会からの要望や要請に適切に対応できない場合などには、当社に対する信用・信頼が損なわれ、顧客の維持・獲得が困難となり、競争力が低下する可能性があります。 また、当社(役職員や委託先の関係者を含みます。)の故意・過失、または悪意を持った第三者によるサイバー攻撃、ハッキング、コンピューターウイルス感染、その他不正アクセスなどにより情報の流出や消失などが発生したり、セキュリティシステム改修のために多額の費用負担が発生する可能性があります。 |
| 対応策 |
最高データ責任者であるCDO(チーフ・データ・オフィサー)および最高情報セキュリティ責任者であるCISO(チーフ・インフォメーション・セキュリティ・オフィサー)の主導の下、当社が保有する情報資産(個人情報を含む)とそのセキュリティ管理に関する社内管理体制のさらなる強化を図っています。 例えば、個人情報の保護やプライバシー尊重のため、当社の個人情報の取り組みを説明するプライバシーセンターを開設しているほか、事業における情報資産の管理徹底と従業員の意識を高めるため、情報資産の取り扱いに関するガイドラインの整備や、全役職員を対象とした研修などを実施しています。加えて、顧客情報やその他の機密情報に関する作業場所を所定のエリアに限定し、当該エリア内にあるSOC(セキュリティ・オペレーション・センター)などにおいて、AIを活用した内部不正の予兆検知を強化するなど、セキュリティレベルの維持・管理を行っています。 また、事業を展開する上で順守すべき電気通信事業法のほか、日本を含む各国の個人情報保護法に関する法令改正はもちろん、テクノロジーの進展による新たなリスクや、社会の関心・意識の変化を注視し、適切なタイミングで社内ルールの見直しや追加の教育、お客さまへのより一層の透明性の確保を実施するなど、適切に対応していきます。加えて、脅威となる社会的・技術的なトレンドを注視・研究しながら、AIを始めとする最先端技術を積極的に採用し、高度なセキュリティ環境を整備するとともに、セキュリティ監視と即時対応体制のさらなる充実化を図っていきます。 |
AI技術に関する規制リスク
| リスク定義 | AIに関連して遵守すべき法令・規制に違反する、または新たな法令・規制や官公庁の運用変更に対応できないことにより、業務継続・事業展開に支障が生じる、または当社の社会的信用・信頼の失墜や、経済的・財務的損失(罰則)を招くリスク。 |
|---|---|
| 代表的リスク内容 |
|
| 事業に対する影響 |
当社グループは、さまざまな業務で積極的にAIを活用することにより、業務の改善や効率化を実現することに加え、関連商品やサービスを顧客企業等へ提案・販売するほか、パートナー企業等との共同開発等を行っています。特に、対話型で利用可能な生成AI※が登場したことで急速に活用が促進され、今後ますますAIがビジネスの生産性向上等に大きく寄与することが期待されていることから、当社は、生成AI開発向けの計算基盤の運用を開始し、さらに、日本の商習慣や文化に適した生成AIサービスの提供を実現するため、子会社が当社の計算基盤を活用して、日本語に特化した国産の大規模言語モデル(LLM)の開発に取り組んでいます。 一方、世界経済フォーラム(WEF)の報告書(Global Risks Report 2024)では、短期リスクで「誤情報と偽情報」、長期リスクではそれに加えて「AIリスクの悪影響」が10大リスクにランクインしています。高度な技術や専門知識を必要とせずにAI技術を利用できるようになったことで、誤情報や偽情報の拡散が一層容易になり、社会に新たな混乱や不安を引き起こすだけでなく、政治的、経済的な安全保障上の懸念から、一部の国では規制を検討する動きもみられます。例えば、EUでは、EU域内で一律に適用されるAIの包括的な規制枠組み規則案を可決された(2024年3月)ことから、法律の施行後にAI関連サービス提供事業者が法律に違反した場合には、制裁金が科されることになり、今後、EUの動向が当社がAIに関連する事業を展開する国や地域に影響を及ぼす可能性があります。 当社は、ソフトバンクAI倫理ポリシーに基づき、AIの活用および顧客企業等へのAI関連商品・サービスの提案・販売や、生成AIの開発等を行っていますが、今後、当社のAI倫理ポリシーと相反する、またはより厳格な法令・規制等が制定され、当社がそれらに適切に対応できなかった場合、顧客企業等へのAI関連商品・サービスの提案・販売等に影響が出ることにより、当社グループのAIに関する事業計画に大幅な遅れが生じる可能性があります。 さらに、例えば、当社による生成AIの活用において機密情報や個人情報が漏洩する、または生成物の利用において第三者の著作権を侵害する等、当社が関連法令・規制等に違反した場合には、当社の社会的信用・信頼の失墜や経済的・財務的損失(罰則)を招く可能性、また、AIに関する法令・規制等のルール策定への関与や対応が遅れる場合、当社の戦略が影響を受け、業務継続や事業展開に支障が生じる可能性があります。
|
| 対応策 |
当社は、国内外のAIに関連する技術や社会の動向を踏まえ、お客さまが安心・安全なAI関連サービスを利用可能な体制を構築するため、2022年度にソフトバンクAI倫理ポリシーを策定しています。AI倫理ポリシーは、AIに関する規制リスクを含む、AIの利活用に伴うさまざまな問題を未然に防ぎ、事業活動に伴うリスクを抑えるため、全社的なAIの利活用に関する指針です。具体的には、人間中心の原則、公平性の尊重、透明性と説明責任の追求、安全性の確保、プライバシー保護とセキュリティの確保、AI人材・リテラシーの育成の6つの項目において指針を定め、この指針にのっとった組織体制の構築等を行い、サービス開発や事業運営を行っています。さらに、このポリシーをグループ会社でも適用できる体制を整えており、2023年6月1日時点で56社が適用を決定し、より具体的なルールを定めたAIガバナンスに関連する社内規程やガイドラインを制定しています。 また、社員一人一人のAI倫理に関する意識を高めるため、社内ポータルでAIガバナンスに関する取り組みを紹介するほか、勉強会やeラーニング(全社員向け、AI担当者向け(AIの企画、開発、調達、運用等に関わる社員)向け)の実施や、定期的なメールマガジンの送信等を行うことで、AIの利活用に関する意識を高めています。 加えて、関係省庁によるAI事業者ガイドライン等の制定動向を注視し、当社内のルールを適切に更新しているほか、必要に応じてパブリックコメントの提出や、さまざまなステークホルダーとの会話等を通じて、積極的にルール策定にも参加しています。 |
緊急時の対応
大規模災害など緊急事態発生時には、社長を本部長とする緊急対策本部を設置し、担当部門が各事業分野における影響や被害の情報収集・分析を行います。その上で、影響や被害状況に基づき緊急対策本部を設置し、事態の早期復旧などの対策を講じます。
緊急対策本部 体制図
災害協定に基づく対応
また、大規模災害時の通信確保のために広範な相互協力の下、迅速な復旧活動の実施を目的に、防衛省および海上保安庁と「災害協定」を締結しています。大規模災害の発生時における人命救助活動などに必要な通信手段として、当社は防衛省および海上保安庁へ、衛星携帯電話や携帯電話などの通信機器を提供します。
また、防衛省および海上保安庁は、当社が被災地において通信手段の確保や復旧活動を行うにあたり、物資の輸送や各種施設・設備の使用などの協力を行います。有事に備え、全国で陸上自衛隊と連携した訓練を実施しており、海上保安庁とも訓練を積んでいきます。
今後も防衛省および海上保安庁ならびに関係機関との円滑な連携を図りながら災害対策に取り組むとともに、通信事業を担う企業としての社会的責任を果たしてまいります。
防災等業務計画
万が一の自然災害やテロ、パンデミック発生時などの非常事態においても、お客さまの安全を確保するとともに、安定した通信サービスが提供できるよう努めています。
防災業務計画
「災害対策基本法」は、国土ならびに国民の生命、身体および財産を災害から保護し、防災に関する基本理念を定め、社会の秩序の維持と公共の福祉の確保を目的に、国や地方公共機関の役割分担、指定公共機関の役割、災害時の実施体制などについて定めています。
「災害対策基本法」に基づき、国の定める指定公共機関として「防災業務計画」を策定しています。災害予防対応や災害発生時の体制を確立し、災害が発生した際は「防災業務計画」を順守するとともに、その他の関連機関と連携し対応します。
国民保護業務計画
「武力攻撃事態等における国民の保護のための措置に関する法律(以下「国民保護法」)」は、武力攻撃から国民の生命、身体および財産を保護し、武力攻撃が国民生活および国民経済に与える影響を最小とすることを目的に、国や都道府県および市町村の役割分担、指定公共機関の役割、国民保護の実施体制などについて定めています。
「国民保護法」に基づき、国の定める指定公共機関として「国民保護業務計画」を策定しています。テロなど武力攻撃の事態などが予見される、または発生した際は「国民保護業務計画」を順守するとともに、その他の関連機関と連携し対応します。
新型インフルエンザ等
対策業務計画
「新型インフルエンザ等対策特別措置法」は、新型インフルエンザ等に対する対策の強化を図ることで、国民の生命および健康を保護し、生活や経済への影響を最小にすることを目的に、国や地方公共団体の役割分担、指定公共機関の役割、緊急事態の実施体制などについて定めています。
「新型インフルエンザ等特別対策措置法」に基づき、国の定める指定公共機関として政府行動計画等に沿って「業務計画」を策定しています。準備期、初動期以降の体制、感染対策などを「業務計画」に記載し、関連機関と連携し対応します。