リスクマネジメント・内部統制
リスクマネジメント・内部統制に対する考え方
企業を取り巻くビジネス環境が常に変化する状況において、企業が直面するリスクも多様化・複雑化しています。
KDDIは、会社法に基づき、「内部統制システム構築の基本方針」を取締役会にて決議し、当該方針に従ってリスク管理体制を含む内部統制システムを整備・運用しています。経営目標の達成に対し影響を及ぼす原因や事象を「リスク」と位置付け、リスクマネジメントの強化が重要な経営課題と認識し、事業を継続し社会への責任を果たしていくために、グループ全体でリスクマネジメント活動を推進しています。
なお代表取締役社長はKDDIグループのリスクマネジメントに関して最終的な責任を負うものであり、コーポレート統括本部長(取締役)は、KDDIグループのリスクマネジメントに関する業務を統括し、その整備、運用状況を代表取締役社長、その他取締役及び監査役に報告しています。
KDDIのリスクマネジメント・内部統制活動
KDDIは、コーポレート統括本部を中核として、リスクマネジメント活動を一元的に推進する体制を整えています。
また、グループ全体の持続的な成長を実現するため、KDDIおよびグループ会社全体でリスクマネジメント活動を推進しています。KDDIに44名、グループ会社各社に計47名の「内部統制責任者」を配置し、さらにそれを統括する7名の「内部統制統括責任者」を任命しており、同責任者のもと、内部統制システムの整備・運用およびリスクマネジメント活動を推進するとともに、リスクが発現しにくい企業風土を醸成するため業務品質向上活動を展開しています。
内部統制責任者体制
リスクマネジメント活動サイクル
KDDIは、会社の危機を未然に防ぐためには、その予兆を把握し、事態が悪化する前に対策を講じることが重要という認識のもと、リスクマネジメント活動のPDCAサイクルを構築しています。また、リスクの発現時には迅速かつ適切な対応がとれる危機管理体制を整備しています。更に全社員向けにリスクマネジメントの基本プロセスを解説するeラーニングを展開し能力向上に努めています。
PDCAサイクル
リスク特定プロセス
KDDIは、リスク情報を年2回以上見直し、会社事業に重大な影響を与えるリスクを重要リスクと位置付け、これらの重要リスクの発現およびその発現した際の影響を可能な限り低減するための対応策を検討し、対策を講じています。またリスクは発生確率、潜在的な影響の大きさ(影響度)の観点から分類して、リスク受容基準(リスクアペタイト)としてKDDI行動指針などを定めております。2023年度は、経営目標を確実に達成するために、過去に顕在化した課題のほか、事業環境の変化を踏まえ、重要リスク23項目を選定し、リスクの予見、重要リスクの低減活動およびリスクアプローチによる内部監査を実施しました。これらの重要リスクの状況については、財務影響との関係から有価証券報告書の「事業等のリスク」にも反映しています。
事業等のリスク
有価証券報告書に記載した事業の状況、経理の状況等に関する事項のうち、経営者が当社グループの財政状態、経営成績及びキャッシュ・フローの状況に重要な影響を与える可能性があると認識している主要なリスクは、以下のとおりです。
また、現時点では必ずしもリスクとして認識されない事項についても、投資家の投資判断上、重要であると考えられる事項については、投資家に対する積極的な情報開示の観点から開示しています。
- (1)他の事業者や他の技術との競争、市場や事業環境の急激な変化
- (2)通信の秘密及び顧客情報の不適切な取り扱いや流出、及び、当社の提供する製品・サービスの不適切な利用等
- (3)通信障害・自然災害・事故等
- (4)電気通信事業等に関する法規制、政策決定等
- (5)公的規制
- (6)訴訟・特許
- (7)人材の確保・育成・労務管理
- (8)退職給付関係
- (9)減損会計
- (10)電気通信業界の再編及び当社グループの事業再編
リスクレビュー
事業等のリスクとして、特定したリスクと緩和措置の一例は以下の通り。
| 特定されたリスク1 | 特定されたリスク2 | |
|---|---|---|
| 名前 | 通信障害・自然災害・事故等によるサービス停止・中断 | 電気通信事業等に関する法規制、政策決定等 |
| リスクエクスポージャー | ネットワークシステムや通信機器の障害などによるサービス停止が発生した場合、当社グループのブランドイメージや信頼性の失墜、顧客満足度の低下により経営成績等に影響を及ぼす可能性があります。また大規模な誤請求・誤課金、販売代理店の閉鎖や物流の停止に伴う・商品・サービスの提供機会損失、SNSなどの媒体を通じた風評被害等が発生した場合も同様の影響が生じる可能性があります。 | 電気通信事業をはじめ、電気事業や金融事業等に関する法律、規制の改廃または政策決定等が、当社グループの経営成績等に影響を及ぼす可能性があります。当社グループのブランドイメージや信頼性に影響を与える社会的問題を含め、こうした法規制や政策決定等に対して当社グループは適切に対応していると考えておりますが、将来において適切な対応ができなかった場合には、当社グループの経営成績等に影響を及ぼす可能性があります。また、今後の当社の競争優位性が相対的に損なわれた場合にも、当社グループの経営成績等に影響を及ぼす可能性があります。 |
| 緩和策 | 当社グループは通信障害・自然災害・事故等によるサービスの停止、中断等のリスクを可能な限り低減するため、ネットワークの信頼性向上とサービス停止の防止対策に取り組んでいます。具体的には災害時においても通信サービスを確保できるよう、防災業務実施の方針を定め、災害に備えた対策を図り、国内外の関係機関と密接な連絡調整を行っています。災害が発生した際には、各社組織の各機能を最大現に発揮して24時間365日、通信の疎通確保と施設の早期復旧に努めております。 | 今後の競争政策の在り方について、総務省等における様々な審議会や研究会、意見募集等を通じて、他の電気通信事業者等との公正競争を有効に機能させるための措置の必要性を訴えております。また定期的に各種法律・ガイドラインの改正情報は関係部門で確認し情報を集め、グループ会社含め情報展開をしています。同時に対策検討も行っております。 |
新興リスク
KDDIが認識する新興リスクの一例は以下の通りです。
| 新たなリスク1 | 新たなリスク2 | |
|---|---|---|
| 名前 | 自然災害発生による通信ネットワーク遮断 | サイバー攻撃等による情報流出 |
| 説明 | 当社は日本国内及び海外諸国の複数の拠点において通信ネットワークサービス提供を行っていることから、各地で発生する地震や台風等の自然災害、未曽有の大事故によって、営業活動や通信ネットワークの拠点に甚大な被害を受ける可能性があります。特に、今後は気候変動に関連して甚大化する災害事象の発生により、当社グループの国内及び海外拠点の通信ネットワークが遮断されることは、通信サービスに深刻な影響を及ぼし、売上収益に悪影響を与える可能性があります。 | 近年、第三者によるサイバー攻撃等によって、重要な機密情報が外部流出する事故やサービス不正利用が世界的に発生しており、大きな社会問題となっています。サイバー攻撃がより高度化・多様化していることを背景に、当社グループがサービスを展開する各国の政府ではサイバーセキュリティ対策に向けた法整備も進められており、当社はEUの一般データ保護規則(GDPR)等グローバル法制度の対応を実施しています。また、通信が社会インフラの一つになっていることから、当社は大量の情報資産を保有しているため、当サイバー攻撃による被害をうけるリスクを認識しています。 |
| インパクト | 当社グループは音声通信、データ通信等のサービスを提供するために、国内外の通信ネットワークシステム及び通信機器等に依存しております。気候変動に関連して甚大化した自然災害の影響によって洪水、土砂崩れ、土砂流出などの災害が増加することで、基地局やデータセンターへの電力と水の供給が不安定となったり、通信機器に障害が生じたりする可能性があります。その結果、サービスの停止が発生した場合、当社グループのブランドイメージや信頼性の失墜、顧客満足度の低下により経営成績等に影響を及ぼす可能性があります。 | 従業員の故意・過失、または悪意を持った第三者によるサイバー攻撃等により、通信の秘密及び顧客情報の漏洩、サービス停止・サービス品質低下が発生した場合、もしくは、当社の提供する製品・サービスが不適切に利用された場合、当社グループのブランドイメージや信頼性の失墜、補償・課徴金を伴う可能性があります。また、将来的に通信の秘密及び顧客情報保護、サイバー攻撃防護体制の整備のため、更なるコストが増加する可能性があり、当社グループの経営成績等に悪影響を及ぼす可能性があります。 |
| 緩和策 | 当社グループは通信障害・自然災害・事故等によるサービスの停止、中断等のリスクを可能な限り低減するため、ネットワークの信頼性向上とサービス停止の防止対策に取り組んでおります。具体的には災害時においても通信サービスを確保できるよう、防災業務実施の方針を定め、災害に備えた対策を図り、国内外の関係機関と密接な連絡調整を行っています。災害が発生した場合には、各社組織の各機能を最大限に発揮して24時間365日、通信の疎通確保と施設の早期復旧に努めております。また災害発生時には車載型基地局、船上基地局、Starlinkを活用し迅速な復旧を図ります。 | 業務委託先、特に販売店であるauショップに対しては、定期的な監査、並びに教育を徹底し、管理強化を図っております。さらに、適正な顧客情報の取り扱いを行うために、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価(PIA)の導入等の対応を実施しています。また、サイバー攻撃による事業影響の回避や低減に向け、事業を担うシステムが守るべきセキュリティ対策の基準をセキュリティ規程として定め、規程への準拠状況を審査しています。本審査を、システムの企画から開発への移行フェーズにおいて厳格に実施することで、企画・設計段階からセキュリティ対策を考慮した「セキュリティバイデザイン」を実現するだけでなく、高度なセキュリティ監視を支える技術開発を進め、システムのセキュリティを強化し、安心・安全なサービスの提供に努めています。 |
内部統制報告制度(J-SOX)への対応
2008年度から適用された金融商品取引法に基づく内部統制報告制度への対応として、財務報告の信頼性を確保すべく、KDDIおよび国内・海外の主要なグループ会社に対して、内部統制評価を実施しています。評価結果については内部統制報告書として取りまとめ、投資家の皆さまに開示しています。
業務品質向上活動
KDDIは、コーポレート統括本部に全社の業務品質向上活動の推進事務局を設置し、各部門の内部統制責任者が推進責任者となり、業務の効率化・標準化を図りながら自律的に業務の品質を高める業務品質向上活動に取り組んでいます。この活動による業務改善案件は全社で共有され、全従業員が自部門の業務品質向上活動に活用できる仕組みを整えています。
また、優秀で意欲的な業務改善案件を表彰する制度を導入しており、従業員一人ひとりの業務品質に対する意識・モチベーションの向上を図っています。
業務品質向上の浸透活動
- 各部門毎の自律的な目標・推進計画の策定および全社共有
- 優秀な業務改善案件に対する全社表彰の実施(年1回)
- 業務品質向上活動に対する意識調査アンケートの実施(年1回)
