リスクマネジメント
ヤマハ発動機グループにおけるリスクマネジメント、クライシスマネジメントおよび事業継続についての取り組みを紹介します。
私たちは、さまざまなしくみや活動でリスク低減活動に取り組んでいます。平常時には対処すべきリスクについて担当部門を明確にして、PDCAサイクルを回すことで対策を推進しています。重大な危機が発生した場合には社長執行役員を本部長とする緊急対策本部を設け損害・影響を最小限にとどめています。
リスクマネジメント体制
ヤマハ発動機グループでは、リスクマネジメント体制として、チーフ・リスク・コンプライアンス・オフィサー(CRCO)を任命し、「リスクマネジメント規程」に基づき、CRCOが委員長となり指名する執行役員を委員とする「グローバルリスク・コンプライアンス経営委員会」において、グループ全体のリスク状況をモニタリングすると同時に、重点的に取り組む「グループ重要リスク」の選定、対策活動のチェックなどを行い、グループ全体のリスク低減を図っています。
また、その下部委員会として、CRCOが指名する主要各地域を統括するリスク・コンプライアンス・オフィサーを委員とする「グローバルリスク・コンプライアンス推進委員会」を設置するとともに、本社各リスク主管部門長等による「リスク・コンプライアンス推進会議」を設置し、リスクマネジメントについての方針や計画、モニタリングと対策などを専門視点で審議しています。そしてこれらの審議の結果は、CRCOより取締役会に適宜報告されており、実効性を担保した体制を整備しています。
なお各個別リスクの主管部門は、「グローバルリスク・コンプライアンス経営委員会」の審議の結果にもとづき、主管リスクについて対応方針、規程等を定めるとともに、本社各部門およびグループ会社に対して対応方針等に基づく対策活動の推進、活動モニタリングなどを行います。
その実効性を担保するため、統合監査部門はリスク主管部門に対して監査を実施しています。
リスクマネジメント活動サイクル
リスクマネジメント活動は、以下のPDCAサイクルを回すことで推進しています。ヤマハ発動機グループでは、必要なリスクを網羅したリスク管理台帳を作成しており、リスク管理台帳を適切に管理・運用することにより、リスク低減を図っています。
グループ重要リスク
毎年、リスクの中でも特に重点的に予防・対策に取り組むべきものをグループ重要リスクに定めています。グループ重要リスクは、グループ全体のリスク評価結果に加え、グループ事業戦略、グループ内外の法令変更、環境変化および発生事案情報などを踏まえ、総合的に判断・選定されます。
2026年度グループ重要リスク項目
| リスク項目 | 背景 | 対策 |
|---|---|---|
| サイバーセキュリティ | サイバー攻撃の高度化に伴い、従来のIT部門主導の施策に加え、工場設備や取引先などサプライチェーンへの対策や、各社・各部門との協業活動が必要となっています。 また、サイバー攻撃を受けた場合でも、事業継続性を考慮した対応・復旧体制の構築など、全社レベルでの取り組みが一層求められています。 |
グローバル標準のサイバーセキュリティフレームワークに準拠したサイバーセキュリティ方針に基づき、ハード・ソフト両面で対策を実施します。これにより、高度化する攻撃に対する防御力・対応力を高めます。 また、万が一攻撃を受けた場合にも、早期に検知し、被害を最小化するとともに早期に復旧するための対策を講じていきます。 |
| 人権侵害 | 近年、紛争や貧困の深刻化により、人権侵害およびその発生機会は増加傾向にあります。 一方で、当社事業は複数の業界にまたがり、関係するサプライチェーンも広範であり、グローバル化の進展に伴い、リスク環境はより高まっています。 |
販売店および直材調達先への人権条項の織り込みや覚書の取得を推進し、2027年までに100%達成を目指します。 また、グループ全体で人権デューデリジェンスを推進し、負の影響を特定した上で、リスクの軽減・是正・防止に取り組みます。 特にサプライチェーンへの展開を強化し、リスク評価やSAQ等に基づいて選定した取引先に対して、現地確認を通じた改善支援を行います。 併せて、二次・三次取引先への展開も進めていきます。 |
| 機密情報の漏洩 | 従来からリスク低減に向けた活動を実施してきましたが、経済安全保障や情報セキュリティ強化の観点も踏まえ、グループ全体でより一層の推進が求められていることから、本リスクを選定しています。 | グループ業務指針をグローバルに展開し、グループ会社における機密情報管理活動を推進します。 情報管理体制の確認範囲を拡大するとともに、各地域を統括する子会社等と連携し、グローバルに情報漏洩リスク低減対策を行います。 |
| 設備機械等による業務中の 死亡・重傷事案 |
ヤマハ発動機にて2023年上期に設備機械による重大な労働災害事故が発生しました。事業活動を行う上で、当社グループでは数多くの設備機械が使用されています。このような重大な労働災害を二度と発生させることがないよう、グループをあげて労働安全衛生のレベルを高める必要があることから選定しています。 | グループ全体に「安全最優先」の文化を醸成し、労働災害ゼロに向けた取り組みを継続的に推進するため、2024年には、グループ方針・目標の策定およびガバナンス体制の整備を行いました。 今中期では、主要製造拠点において労働安全衛生マネジメントシステム(ISO45001)の整備・運用を進め、リスクの除去・低減に徹底して取り組み、労働災害発生リスクを最小化します。 また、全グループ会社の労働災害発生状況の把握・分析を通じて、ガバナンスおよび再発防止の取り組みを強化します。 |
| 製品品質に関する法令違反 | 製品品質に関する法令遵守は、お客様や地域社会からの信頼に直結しており、従来以上に厳格な管理が求められています。 また、CASE関連製品・サービスの普及・多様化や、循環型社会の実現に向けた新たな法規の制定および各国への展開が見込まれており、これらの変化に遅れることなく、全社で確実に対応する必要があります。 |
製品品質に関する法規対応を確実に実施するため、法規情報の収集・展開、法規要件の織り込み確認等の活動を行います。 また、新規事業に対して戦略的な法規対応を実施します。 併せて、ISO9001に準拠したヤマハ発動機グループ品質保証規程の展開とともに、品質保証本部コーポレート品質統括部を全社活動のハブとして、各事業における法規管理プロセスの基盤強化を図ります。 |
| サプライチェーンの途絶 | 近年の調達環境において、地政学リスクが顕在化し、レアアース等に関するサプライチェーン途絶リスクが増大しています。 これを踏まえ、地政学リスクを考慮したサプライチェーンのレジリエンス強化が必要となっています。 |
材料・部品確保に向け、サプライヤーとの契約形態の見直しや原材料在庫の保持体制強化といった短期対策を進めます。 併せて、代替品開発や仕様変更等を含む中長期的な対策にも取り組みます。 |
| AIガバナンス | 当社は、AI技術の活用に伴う倫理的・法的・社会的リスクおよび、AI活用に特有のセキュリティリスクをグローバルな経営課題として認識しています。 国際的な動向を踏まえ、AIガバナンス体制の構築および継続的な強化に取り組み、持続的な成長と社会的責任の両立を目指します。 |
リスクベースアプローチに基づき、AIを活用するシステムやサービスの評価を行い、リスクに応じた適切な対策を講じます。 また、社員教育や啓発活動を通じて、AIの適切な利活用を促進します。 |
クライシスマネジメントの体制と活動
ヤマハ発動機グループは、「緊急時初動対応規程」に基づき、事案発生時にその被害の最小化と早期収束を図っています。
グループで災害、事故またはコンプライアンス事案などが発生した場合、当該部門はあらかじめ定められたレベル判断基準に従って、ヤマハ発動機のリスク統括部門・リスク主管部門への報告を行います。報告された事案がグループ経営にかかわる、または複数の部門・会社がかかわるような重大な内容であった場合は、リスク統括部門は、あらかじめ定められた対応チームを招集し、社長を長とする緊急対策本部等を設置し、事案に係る状況の把握、暫定対応を図ると同時に、必要に応じてお客さまおよび関係機関への報告を速やかに行います。
BCP(事業継続計画)の策定
想定されるリスクの中でも特に事業継続に影響を与えることが予想されるものへの備えとして、当社は「事業継続規程」を定め、対応に取り組んでいます。
当社はその主要拠点が静岡県に集中しており、南海トラフ巨大地震の影響が想定されます。
この備えとして、行政機関による被害想定を基に建物・設備などの耐震対策、津波への対応、水・食糧などの備蓄、緊急通信手段の整備、近隣グループ会社を含む全社一斉の避難訓練(一部の部門は夜間訓練を含む)の定期実施、安否確認訓練の定期実施、事業所別の初動対応訓練の実施といった防災・減災への取り組みを行っていますが、それに加え、従業員の生命・安全を最優先としつつも事業継続を確実にする目的で、BCPを作成しています。
当社の優先事業を選定し、復旧に向けたボトルネックの洗い出しとその対策、復旧対応手順の明確化と対応要員の事前選定、サプライチェーンの情報収集体制の構築など、ハード・ソフト両面に係る対策を網羅的、継続的に実施しています。
また、パンデミックに対しても、グループ各社が感染防止対策や事業継続上の課題を洗い出し、対応する計画を策定しています。
新型コロナウイルス感染症に対しても、「事業継続要領(新型インフルエンザ編)」に沿って対応し、社長が本部長を務める新型肺炎対策本部を設置し、情報の収集や対応方針の決定、情報発信を実施しました。また、将来的に発生しうる新たな感染症に備え、新型コロナウイルス感染症対策で得られた知識や経験を活かし継続的な取り組みを進めています。
さらにサイバー攻撃による危機的事案に対しても、「事業継続要領(サイバーセキュリティインシデント編)」を制定し、初動対応、事業継続および復旧対応に関する具体的な体制と手順等を定めています。
サイバーセキュリティの取り組み
ヤマハ発動機グループでは、お客さまにご利用いただく製品やサービスおよび個人情報や機密情報など、情報資産の保護を目的とした「サイバーセキュリティ方針」を定めて対策に取り組んでいます。
具体的には、マルウェアや脆弱性への対応などの基礎的な対策に加えて、SOC(Security Operation Center)による監視や、CSIRT(Computer Security Incident Response Team)による対処態勢を整えて不測の事態に備えています。また、教育による社員のサイバーセキュリティ・リテラシー向上や、アセスメントによるグループ各社の状況把握と改善計画の策定等、継続的にサイバーリスクの低減に努めています。
なお、製品のセキュリティについては日米のAuto-ISAC*に加盟し、サプライチェーンを含め発生した事案や最新のセキュリティ情報の収集を把握することで自社のPSIRT(Product Security Incident Response Team)による対応に活かしています。
*Auto-ISAC(Automotive Information Sharing & Analysis Center) 自動車情報共有・分析センター
情報管理の取り組み
ヤマハ発動機グループでは2013年にグループ業務指針を制定し、機密管理・文書管理・個人情報保護・開示情報管理など情報管理全般におけるグループ全体の方針を決定し、活動を進めてきました。 情報通信技術の発達やビッグデータの利活用の拡大に伴い、各国で個人情報保護に関する厳格な法令が制定されつつあることから、グループ全体において、個人情報保護体制の整備や、個人情報の取扱い(取得における通知・同意の取得、安全管理措置、本人の権利に関する請求への対応、漏えい時の対応など)に関するルールを定め、各国グループ会社とヤマハ発動機が協力してグローバルに対応を進めています。
また、「ヤマハ発動機グループプライバシーポリシー」にて、各国における個人情報保護に関する法令遵守を掲げています。 その他、個人情報保護を含む情報管理全般に関して、毎年グループ内における取扱い状況のモニタリングおよびそれに基づく助言を実施するとともに、集団研修やe-ラーニングなどの教育・啓発活動を行うことを通じて、情報の適切な取扱いを徹底しています。
個人情報に関する漏洩(恐れを含む)を認識した場合、迅速に必要な調査を実施し、適用される法令等に基づき監督機関への報告および本人への通知等の必要な措置を取るとともに、関連規程に基づき懲戒処分その他の厳正な措置を講じます。
なお、2024年度は、個人情報保護に関連した重大な法令違反や罰金・課徴金等はありませんでした。
