SOMPOホールディングス 【東証プライム:8630】「保険業」 へ投稿
企業概要
有価証券報告書に記載した事業の状況、経理の状況等に関する事項のうち、経営者が当社グループの財政状態、経営成績およびキャッシュ・フローの状況(以下「経営成績等」といいます。)に重大な影響を及ぼす可能性があると認識している「主要なリスク」および「当該リスクの管理体制・枠組み」は、以下のとおりであります。なお、文中の将来に関する事項は、本有価証券報告書提出日現在において当社グループが判断したものであります。
当社および損害保険ジャパン株式会社(以下「損保ジャパン」といいます。)は、ビッグモーター社による自動車保険金不正請求等への対応に関する問題により、2024年1月25日に金融庁から業務改善命令を受けました。また、損保ジャパンは、独占禁止法に抵触すると考えられる不適切な保険料調整行為等の問題により、2023年12月26日に金融庁から業務改善命令を受けました。
当社および損保ジャパンに対する行政処分への対応等は、「第2 事業の状況 1 経営方針、経営環境及び対処すべき課題等」に記載のとおりであります。
(1) 主要なリスクの管理体制・枠組み
① リスク管理の全体像
当社グループのリスク管理の枠組みである戦略的リスク経営(ERM)は、経営における高性能な『羅針盤』として、次の「3つの機能」を強化・高度化し、損失を未然に回避するだけでなく、新規事業投資などの機会損失を低減させることで、当社グループを最適な方向に導く取組みを実施しております。
ア. グループが置かれた現在地を正確に把握(現状の多面的な分析) イ. 将来起こりうるリスクを敏感に察知(重要なリスクの的確な把握と対策) ウ.グループが取るべき航路を提示(最適な事業ポートフォリオの提示) |
戦略的リスク経営(ERM)は、資本・リスク・収益のバランスを取りながら企業価値の最大化を図る一連の経営管理プロセスとして「戦略執行に係るリスクテイク」と「経営基盤の安定に資するリスクコントロール」の2つの側面を持っております。リスクテイクの側面では、リスクアペタイトフレームワークを中心に資本・リスク・収益に関する分析を重要な経営判断に活かし(上記ウ)、リスクコントロールの側面では、当社グループを取り巻く多様なリスクを特定、分析、評価する仕組み(リスクコントロールシステム)を活用して(上記ア、イ)、不測の損失の極小化と利益の安定を目指しております。
② リスク管理に関するガバナンス体制
当社では、取締役会が制定した「SOMPOグループERM基本方針」に基づき、「戦略的リスク経営(ERM)」の実効性を確保するため、グループ戦略・経営計画と合わせて、リスクテイクの指針としてリスクアペタイト原則、中期リスクテイク戦略およびリスクアペタイト指標からなる「SOMPOグループ リスクアペタイトステートメント」を定めております。
グループCEOの諮問機関であるGlobal Executive Committee (以下「Global ExCo」といいます。)では、グループのリスクアペタイトステートメント、中期グループERM推進方針、リスク許容度に関する対応方針・対応策などのリスク管理に関する事項について定期的に経営論議しております。
また、Global ExCoの下部組織として、グループCROを委員長とするグループERM委員会を設置しております。グループERM委員会では、リスクテイク戦略や資本配賦などグループの戦略的リスク経営に関する重要な事項やリスク管理部、各主管部を通じた重大リスクのコントロールの状況等について、グループ横断で確認・議論を行っております。
グループCROは、「SOMPOグループERM基本方針」や「中期グループERM推進方針」をグループ会社に周知徹底し、また定期的なモニタリング、各社CROとのディスカッション等を通じ、グループ全体の戦略的リスク経営の実効性の向上を図っております。
グループ会社においては、グループの方針に沿ったリスク管理体制を整備し、リスク管理を自律的に行っております。
なお、2024年4月1日付けでGlobal ExCoはグループ執行会議に改組しております。
<リスク管理に関するガバナンス体制(2024年4月以降)>
③ リスクコントロールシステム、リスクと資本の状況
リスクコントロールシステムにおいては、「重大リスク管理」の枠組みで当社グループを取り巻く重大リスクを網羅的に特定し、定性的・定量的な評価を行っております。
定量化が可能なリスクについては「自己資本管理」「ストレステスト」「リミット管理」「流動性リスク管理」の枠組みで自己資本、流動性などに与える影響を様々な定量指標により分析・評価し、財務健全性およびその向上に必要なリスクコントロールの施策に関する経営論議を行っております。
ア.重大リスク管理
当社グループは、「事業に重大な影響を及ぼす可能性があるリスク」を「重大リスク」と定義し、事業の抱えるリスクをボトムアップのリスクアセスメントと、取締役会等によるトップダウンでの確認・議論を通じて網羅的に把握・評価しております。リスク評価の実施にあたっては、経済的損失や業務継続に加えて、お客さま、社会などのステークホルダーの観点でのレピュテーション影響を重視するように基準の明確化を図っております。
重大リスクは、グループCROがリスクアセスメントや専門家等の見解に基づいて網羅的に把握し、リスクが当社グループに及ぼす影響を具体的なシナリオで想定した上で、発生可能性および影響度でリスクを定性・定量の両面から評価し、管理状況を年2回以上、経営執行協議会(Managerial Administrative Committee)(以下「経営執行協議会(MAC)」といいます。)および取締役会に報告しております。
変化が大きいリスクや対策等に関する議論が必要なリスクについては、Global ExCoまたは経営執行協議会(MAC)において議論を行っております。
また、現時点では具体的な影響シナリオの想定に基づく評価は困難であるものの、環境変化などにより新たに発現または変化し、今後、当社グループに大きな影響を及ぼす可能性のあるリスクを「エマージングリスク」と定め、個別の重大リスクと関連付けて適切に管理を実施しております。エマージングリスク候補は、官民の各種情報源のホライゾン・スキャンによって収集してエマージングリスク・レジスターに登録し、そのうち、所定の基準に該当するものをエマージングリスクに選定しております。
なお、2024年4月1日付けでGlobal ExCoおよび経営執行協議会(MAC)はグループ執行会議に改組しております。
<重大リスクおよびエマージングリスクの管理プロセス>
イ.自己資本管理
当社グループが保有する各種リスクを統一的な尺度(VaR:Value at Risk)で定量化し、自己資本がリスク量と比べて充分な水準を維持できるよう管理して、必要に応じ対応策を実施する態勢を整備しております。
リスクと資本の状況 2024年3月期においては、事業の拡大などに伴うリスク増加の一方で、政策保有株式の計画的な売却やALMの推進による金利リスクの削減などのリスクコントロールを実施した結果、同年3月末時点の当社グループのESR(注1)は251%とターゲットレンジ(200~250%、注2)の上限付近にあり、十分な財務健全性を示す水準となっております。 今後も、財務健全性を維持しつつ資本効率・利益安定性の更なる向上を目指すため、株式リスクの削減を進めるとともに、グループ収益の拡大と適切なリスクコントロールに取り組んでまいります。 (注)1 ESR(Economic Solvency Ratio)は、リスクに対して確保している資本の十分性を示す指標であります。 2 ターゲットレンジは、2024年4月1日以降の基準を適用しております。 ESR |
ウ.ストレステスト
当社グループの経営に重大な影響を及ぼし得る事象を的確に把握・管理するために、グループベースで「シナリオ・ストレステスト」「リバース・ストレステスト」および「感応度分析」を実施し、資本およびリスクへの影響度を分析して、必要に応じ対応策を実施する態勢を整備しております。また、2024年3月末時点で、当社の想定するストレス下においても十分な資本を有していることを確認しております。
シナリオ・ ストレステスト | 大規模な自然災害や金融市場の混乱など、経営に重大な影響を及ぼすストレスシナリオが顕在化した際の影響を評価し、資本の十分性やリスク軽減策の有効性検証などに活用することを目的として実施しております。なお、環境変化などに適切に対応するため、ストレスシナリオの妥当性を定期的に検証しております。 |
リバース・ ストレステスト | リスク許容度などに抵触する具体的な事象を探索することで脆弱性を特定し、あらかじめ具体的なストレス事象を想定した対策を検討することを目的として実施しております。 |
感応度分析 | 主なリスク要因の変動が資本とリスクに与える影響を把握するとともに、内部モデルが算出した理論値と実績値との比較を行い、内部モデルの妥当性を検証することを目的として実施しております。 |
エ.リミット管理
特定事象の発現により多額の損失が生じることを回避するため、与信リスク、出再リスク、自然災害リスクの各々に対してグループベースで最大限度額を設定し管理しており、2024年3月末時点で各最大限度額に抵触していないことを確認しております。また、各限度額の枠内で予備的にリミット管理を行っております。
オ.流動性リスク管理
日々の資金繰り管理のほか、巨大災害発生時などの最大資金流出額を予想し、それに対応できる流動性資産が十分に確保されるよう管理しており、2024年3月末時点で当社に最大の資金流出をもたらすシナリオに対しても、十分な流動性資産を有していることを確認しております。
(2) 主要なリスク
① 重大リスクおよびその発生可能性・影響度の評価
経営者が当社グループの経営成績等に重大な影響を及ぼす可能性があると認識している「主要なリスク」は、当社グループが定義する「重大リスク」であります。重大リスクおよびその発生可能性・影響度の評価は、下記のとおりであります。
<重大リスク一覧>
分類 | No. | 重大リスク | 評価(対前期の変化:→) | ||
影響度 | 発生可能性 | ||||
ア.経営戦略リスク |
|
| |||
| 外部環境 | 1 | 競争環境の悪化・転換 | 中 | 大 |
2 | マクロ経済環境の大幅な変化 | 極大 | 中 | ||
3 | 地政学リスク | 中 | 大 | ||
4 | パンデミック | 大 | 大 | ||
5 | 税制・規制の変更 | 中 | 大 | ||
事業戦略 | 6 | ガバナンス不十分 | 大 | 中→大 | |
7 | 新事業に係るリスクの見誤り | 中 | 中 | ||
8 | システム戦略 | 中 | 大 | ||
9 | 気候変動リスク(物理的リスク・移行リスク) | 大 | 中 | ||
10 | サステナビリティリスク | 中 | 中 | ||
11 | 風評リスク | 中 | 中 | ||
人材・要員 | 12 | 人的資本のリスク | 中→大 | 大 | |
イ.財務・運用リスク |
|
| |||
| 市場リスク | 13 | 市場の大幅悪化 | 大 | 中 |
信用集中リスク | 14 | 投融資先、出再先の破綻 | 小→中 | 中 | |
流動性リスク | 15 | 大規模災害時の資金繰り | 小 | 小 | |
ウ.オペレーショナルリスクおよびコンプライアンスリスク |
|
| |||
| 事務リスク | 16 | 委託先管理の失敗 | 中→大 | 大 |
システムリスク | 17 | システム障害 | 中 | 大 | |
18 | サイバーセキュリティ | 大 | 中 | ||
コンプライアンスリスク等 | 19 | 労務リスク | 中→大 | 中 | |
20 | 機密情報・顧客情報漏えい(サイバー攻撃を除く) | 中→大 | 大 | ||
21 | 法令違反・不祥事 | 中→極大 | 大 | ||
22 | コンダクトリスク | 中→極大 | 中→大 | ||
エ.事業固有リスク |
|
| |||
| 保険引受リスク |
|
| ||
| 自然災害 | 23 | 国内巨大地震 | 大 | 中 |
24 | 国内巨大風水災 | 中 | 中 | ||
25 | 海外巨大自然災害 | 中 | 中 | ||
その他 | 26 | サイバー集積リスク | 中 | 中 | |
介護事業リスク |
|
| |||
| 介護事業リスク | 27 | 介護事業環境の見誤り | 小 | 中 |
28 | 重大不祥事件 | 中→大 | 中→大 | ||
オ.その他リスク |
|
| |||
| - | 29 | 事業中断リスク | 大 | 中 |
<重大リスクのヒートマップ(発生可能性・影響度)>
| 影響度 | 発生可能性 | ||
| 経済的損失 | 業務継続性 | レピュテーション毀損 | |
極大 | 5,000億円以上 | 事業免許の取消し | 信頼の極めて大幅な失墜 | 1年に1回以上 |
大 | 2,000億円以上 | 主要な業務の停止 | 信頼の大幅な失墜 (信頼回復に5年以上) | 10年に1回以上 |
中 | 100億円以上 | 一部の業務の停止 | 信頼の失墜 (信頼回復に2~3年以上) | 100年に1回以上 |
小 | 100億円未満 | - | 信頼の失墜の可能性は低い | 100年に1回未満 |
また、エマージングリスクの状況は以下のとおりであります。
<エマージングリスク一覧>
No. | エマージングリスク | リスクの概要 | 対応策の例 |
1 | 革新的な医療技術 | 疾病・傷害の治療方法の変化による保険ニーズの変化 | 革新的な医療技術の状況や影響を調査 |
2 | 生物多様性の喪失 | 生物多様性に関わる物理的リスク(気候変動とのフィードバックループを通じた自然資本の毀損)および移行リスク(規制厳格化、レピュテーション毀損) | 政策・消費者選好、開示要件の変更による影響を調査するとともに、課題解決の取組みを試行 |
3 | 生成AI等がもたらす新たなリスク | AI等のテクノロジーの急速な進展・普及およびそれによる社会的期待の変化に伴う機会逸失、レピュテーション毀損等 | 生成AI等の適切な社内活用を支援し、各種規制・社会的な要請に対応するためのガバナンス態勢を構築 |
4 | 重要インフラの停止(宇宙嵐など不確実性の高い要因を含む) | セキュリティが不十分な物理的またはデジタル重要インフラの大規模・長期停止 | 老朽化等と外的要因とが重なって重要インフラが混乱するシナリオを調査・分析 |
② 重大リスクの分類ごとのリスクの概要と評価、対応策の状況
ア.経営戦略リスク(No.1~12)
a.リスクの概要と評価
当社グループを取り巻く外部環境が変化し、経営戦略の前提条件が現実の事業環境と合わなくなる、またはグループガバナンス機能(内部統制システムの整備・運用を含む)や戦略的な人材配置が不十分となったなどの場合に経営戦略に合致するビジネスモデルの構築ができないことにより、当社グループの経営成績等に重大な影響が生じるリスクを「経営戦略リスク」と認識しております。影響が大きいと考える環境変化等は以下のとおりであります。
短期的なリスクとしては、急激なインフレ進行による事業コスト・支払保険金の増加を商品・サービス価格に転嫁できないリスクや金融資産の価値下落リスク、気候変動により想定を超える風水災損害が発生するリスク、サステナビリティ関連の取組みが不十分とみられることや、風評がマスコミ報道・インターネット上の記事等に流布された場合にブランド価値が毀損するリスク、デジタル関連等の異業種からの新規参入やAIをはじめデジタル技術進展への対応不十分により競争力・収益基盤が劣化・毀損するリスク、地政学的緊張の高まりによる制裁の応酬や重大事象の発生などによる波及的な影響が生じるリスク、パンデミックによる人々の生活や産業活動への制約等が当社事業に影響を及ぼすリスク、コンプライアンス・顧客保護を重視する健全な組織風土への変革が実現できないリスク、多様な意見が受け入れられるコーポレートカルチャーへの変革が進まないことにより従業員エンゲージメントが低下するリスクなどにより、当社グループの収益力が低下する可能性があります。
長期的なリスクとしては、シェアリング経済の拡大や国内の人口減少・高齢化等を背景としたマーケット規模の縮小や技術革新に伴う事故の減少による保険ニーズの減少等が当社グループの経営成績等に影響を及ぼす可能性があります。また、脱炭素社会への移行に伴い、温室効果ガス(GHG)の高排出セクターの座礁資産化や信用リスクの悪化が、当社グループの保険事業や資産運用に影響を与える可能性があると認識しております。
b.対応策の状況
当社グループでは、外部環境の変化は脅威とともに機会をもたらすと捉えて、デジタル戦略、M&A等を実行し、「SOMPOのパーパス」実現へのトランスフォーメーションを進めております。例えば、生成AI活用・データドリブンな意思決定を可能にするワークフローの構成等をはじめとした既存事業の生産性向上、デジタル技術を活用した新商品・サービスなどを通じた新たな顧客価値の創造、それらの実現を支えるデジタル分野の専門人材の採用・育成によるデジタルトランスフォーメーション(DX)を進めております。経済環境の悪化については、インフレによる世界経済・金融市場の悪化などの日々の変化を注視したうえで、当社グループへの影響を分析し、対応策を講じております。地政学リスクについては、当社グループに大きな影響を及ぼすシナリオの想定と対応体制の検証を行い、規制変更リスクについては、関連する国内外法規制等の動向の情報を収集するなどして、経営上の影響を見極められるよう注視しております。将来のパンデミックについては、新型コロナウイルス感染症拡大の経験を活かし、大きな変化から来る機会と脅威に柔軟に対応できるよう、環境変化への注視など続けてまいります。また、グループガバナンスを適切に機能させるために、グループ会社の内部統制の十分性・実効性を適時・適切に把握する管理・モニタリング体制の強化を進めております。
デジタル戦略・M&Aや大規模システム開発等の大規模投資は取締役会等で妥当性を十分議論して実行しておりますが、環境変化や想定を超える困難などのために期待した成果が得られない可能性があるため、実行後も定期的に所定の基準に基づいて妥当性が失われていないことおよび撤退基準に抵触していないことを確認しております。
また、気候変動による物理的なリスクについては、自然災害の激甚化などの影響に関して気候シナリオを活用した分析などに取り組んでおります。脱炭素社会への移行に伴うリスクについては、保険引受や資産運用を中心としたグリーントランジションプランを掲げ取組みを進めるとともに、グループCSuOを議長、国内損害保険、海外保険、国内生命保険、介護の各事業のサステナビリティ担当役員およびCSOをメンバーとする「グループサステナブル経営推進協議会」において、これらの取組みの状況把握、協議を行い、必要に応じてGlobal ExCoや経営執行協議会(MAC)に報告する体制を構築しております。
風評リスクについては、当社で定める規程に従い適時適切に対応することで、影響の極小化を図っております。
人的資本のリスクについて、人事制度面では、人材競争力の向上を図るため、自律的なキャリア形成を促進するジョブ型人事制度や多様な働き方を実現する制度など、自分自身の人生の意義や目的あるいは働く意義である「MYパーパス」に基づくキャリアを描ける人事制度を構築しているほか、自律的な学びを促進するためのプラットフォームを整備して、その機会を従業員に提供しております。また、人材への投資を拡大し、従業員の専門性向上を図り、さらにはグループ役職員の認識・思考・価値観および行動を変革するため、遵守しなければならない行動原則等の策定を含めた、グループ企業理念体系の見直しおよび浸透を図っていく予定であります。
なお、2024年4月1日付けでGlobal ExCoおよび経営執行協議会(MAC)はグループ執行会議に改組しております。
「気候関連財務情報開示タスクフォースの提言を踏まえた取組み(気候変動リスク)」については、リスクの影響および対応策が広範にわたることから、別途「第2 事業の状況 2 サステナビリティに関する考え方及び取組 ●気候変動関連情報開示(TCFD提言に基づく情報開示)」に記載しております。 |
イ.財務・運用リスク(No.13~15)
a.リスクの概要と評価
市場変動や投融資先・保証保険の保証先・再保険の出再先の破綻・信用力の悪化、大規模災害時の資金繰り悪化等により業績・財政状態が悪化するリスクを「財務・運用リスク」と認識しております。当社グループにおいては国内外の有価証券等に幅広く投資しており、株式・為替相場等の変動により、資産の価値が下落した場合には、売却損や評価損の発生、評価差額金の減少等により、当社グループの経営成績等に影響を及ぼす可能性があります。
また、当社グループは予定利率(契約時にお客さまにお約束する運用利回り)を設定した契約期間が長期の保険商品を販売しており、金利の低下局面では、実際の運用利回りが予定利率を下回るリスクがあります。反対に、金利の上昇局面では、主に貯蓄性商品において、お客さまが予定利率の高い商品に乗り換えることに伴う保険契約の解約が増加する可能性があります。
さらに国内生命保険事業は、保険商品の長期性から保険負債の金利感応度が大きく、資産の金利感応度とミスマッチが生じることにより、金利変動時に実質自己資本が減少するリスクが大きくなる可能性があります。
b.対応策の状況
当社グループは、保有することで保険取引において適正な競争を阻害する要因となりうる株式については、2030年度末を目処に保有残高ゼロとする計画を策定しております。これにより、株式相場下落の影響が一定低減するよう努めております。また為替変動の影響については、グループベースで為替リスク量をモニターし、円高により自己資本が大幅に減少するリスクを管理しております。
積立保険の満期返戻金や国内生命保険事業などの長期の保険負債の金利感応度に対しては、長期の投融資を実行することで、資産負債全体の金利感応度を低減させ、実質自己資本に対する金利変動の影響を抑制するとともに、国内生命保険事業では、保障性をはじめとする金利の影響を受けにくい商品の保有割合を高めることにも努めております。
投融資にあたっては、特定の与信先への集積を回避するためリミットを設定して管理しております。
資金繰りについては保険子会社ごとに管理しており、巨大災害時の資金ニーズや金利上昇に伴う解約増加等に対応できる流動性資産が十分確保されるようにして管理しております。
ウ.オペレーショナルリスクおよびコンプライアンスリスク(No.16~22)
a.リスクの概要と評価
各種法規制への違反、外部委託先や代理店の管理(公正な取引を含みます。)の失敗、システム障害、サイバー攻撃、長時間労働・ハラスメント等の労務トラブル、顧客情報の漏えい、不正行為、ミスコンダクトなどが発生するリスクを「オペレーショナルリスクおよびコンプライアンスリスク」と認識しております。
当社グループは業務を行うにあたり、保険業法をはじめとした各種事業に適用される法規制、海外においては、事業を展開する各国・地域の法規制の適用を受けておりますが、これらの法規制が遵守されないリスクがあります 。また、当社グループが提供する商品・サービスや業務慣行と社会やお客さまをはじめとしたステークホルダーの期待との間にギャップが生じて利用者保護や市場の公正性・透明性などに悪影響を及ぼし、結果として企業価値を毀損するコンダクトリスクがあります。
当社グループのシステムは事業を行う上で重要な要素の一つであり、安定した稼働に向けた管理態勢の整備と適切なセキュリティ対策に努めておりますが、機器の故障や人為的ミスによる情報システムの不備といった内部要因、災害やサイバー攻撃による不正アクセス等の外部要因等により、情報システムの停止、誤作動、不正使用、データ破壊・改ざん等といったシステムリスクがあります。
当社グループは、多数のお客さまの情報を取り扱っているほか、様々な経営情報等の内部情報を保有しており、これらの情報に関しては、グループ各社において、情報管理態勢を整備し、厳重な管理を行っておりますが、サイバー攻撃による場合を含めて重大な情報漏えいが発生するリスクがあります。
上記以外にも、事務ミス、外部委託先管理の失敗、従業員の心身の不調、役職員等による不正行為、外部からの犯罪行為、訴訟に伴う賠償金の支払い等、業務運営に伴うさまざまなオペレーショナルリスク・コンプライアンスリスクが存在します。
これらのリスクが発生した場合には、直接・間接のコストおよび業務運営の支障発生、金融庁等による行政処分、当社グループの社会的信頼・信用の失墜等により、当社グループの経営成績等に影響を及ぼす可能性があります。
b.対応策の状況
当社グループは、当社および損保ジャパンに対する行政処分の指摘を受けて、「第2 事業の状況 1 経営方針、経営環境及び対処すべき課題等」に記載のとおり再発防止策を進めております。その中でも、コンプライアンスやお客さま保護を重視する健全な企業風土を醸成し、グループ役職員の認識・思考・価値観および行動を変革するために、遵守しなければならない行動原則等の策定を含めた、グループ企業理念体系の見直しおよび浸透を図っていく予定であります。
また、法規制や社会規範および企業倫理に則った適正な企業活動を行うための態勢を整備するだけではなく、グループ各社で発生している不適切事案の具体事例を分析し、共通する課題への対策を実施する等により、グループ全体の内部統制システムの実効性向上に努めてまいります。
長時間労働等による労務リスクについては、適正な勤怠管理の徹底に加え、リモート環境下でのマネジメントスキルおよびリモートコミュニケーションの向上を図る体制を整備しております。
システム障害、サイバー攻撃といったシステムリスクについては、管理態勢を整備し継続的にシステムリスクの低減等を進めております。中でも日々高度化・巧妙化するサイバー攻撃に対しては、対応能力を継続的に向上させることが何よりも重要と認識し、グループ一丸となってサイバーセキュリティ対策(詳細は下記「サイバーセキュリティへの取組み」を参照)に取り組んでおります。
<サイバーセキュリティへの取組み> ① 基本方針の策定 当社グループでは、サイバーセキュリティへの取組みにより安心・安全な社会を構築することが企業の社会的責任であるとの認識のもと、「SOMPOグループサイバーセキュリティ基本方針」を定め、グループ全体でサイバーリスク管理態勢の整備に努めております。
② 管理体制 当社内にサイバーCOE(Center of Excellence)態勢を構築し、情報処理安全確保支援士やCISSP(Certified Information Systems Security Professional)などのサイバーセキュリティ人材が中心となり、グローバルレベルで実効的な態勢の強化を推進しております。その方針や方向性については、グループCIOをはじめとする関連役員による協議を踏まえ決定しており、特に部門横断での対応が求められるレジリエンスの強化に向けては、関係各部が相互に連携しながら対応にあたっております。 |
③ リスクの把握と対応計画策定 当社グループでは、グループ各社のサイバーセキュリティ対策状況を定量的にモニタリングし可視化を行う「サイバーメトリックス」を構築しております。サイバーメトリックスは、グループ内の各社から、サイバーセキュリティの管理強度や網羅性に関するデータを集め、それらを統一的に評点化したうえで、ダッシュボード上に視覚的に表示したものです。これにより、各社のサイバーセキュリティ対策状況につき、経営層を含め、共通目線での理解を可能としております。各社の対策状況は、KPIを策定し管理しており、把握した課題に対しては、サイバーCOEや外部コンサルティング会社の知見を活用してPDCAサイクルを通じた改善を継続的に実施しております。
<サイバーメトリックスによるサイバーセキュリティ対策の可視化イメージ>
④ 緊急対応体制・復旧体制 当社内にHD-CSIRT(Computer Security Incident Response Team)を組成し、事案発生時の情報連携や意思決定、フォレンジック調査といった有事の際に必要となる各種対応を適時迅速に行えるよう組織的な整備を行っております。 また、マルウェア感染等のインシデントを想定した実践的なサイバーインシデント演習を定期的に実施し、レジリエンスの強化に努めております。
⑤ 保護対策の実施 当社グループでは、多層防御を前提とした総合的な技術的対策を実施しております。「ゼロトラストセキュリティ」の考えの下、SASE基盤(Secure Access Service Edge)の導入やSOC(Security Operation Center)での監視等を通し安全性の確保に努めているほか、クラウドの設定ミスを防ぐセキュリティガードレールの適用、インターネット資産の監視と保護を行うサイバーパトロール活動、IT資産を対象とした脆弱性診断、侵入テストの実施といった各種の対策を実施しております。 人的対策としては、当社グループの全従業員を対象にサイバーセキュリティ教育やフィッシングメール訓練を実施し、従業員の倫理観とセキュリティ意識の向上を図っております。また、サイバーセキュリティの知識共有を目的としたイベントや体験型の研修を定期的に開催することで、人材の育成と知識、専門性の向上に努めております。 |
エ.事業固有リスク(No.23~28)
(保険引受リスク)
a.リスクの概要と評価
国内損害保険事業、海外保険事業および国内生命保険事業において想定外の支払保険金が発生するリスクを「事業固有リスク(保険引受リスク)」と認識しております。
当社グループは、国内外の地震・風水災・雹災・雪災等の自然災害による損害に対して巨額の保険金等を支払うことがあり、当社グループの経営成績等に影響を及ぼす可能性があります。当社グループにおいては特に、気候変動に伴う風水災の頻発や激甚化による支払保険金増加の影響が大きいと認識しており、保険引受収支の悪化や、十分な再保険の手配が困難となる等の影響により、安定した保険の提供が難しくなる可能性もあります。
また、当社グループでは、サイバーリスクの補償を目的とした専用の保険商品を販売しておりますが、ソフトウェアの脆弱性を狙ったサイバー攻撃が大規模に発生した場合などに、同時多発的にお客さまのデータの破壊・窃取、事業中断等に関する保険金等を支払うことにより、当社グループの経営成績等に影響を及ぼす可能性があります。
b.対応策の状況
当社グループでは、国内外の自然災害リスクについて、集積が過大とならないよう、グループの資本や利益水準を踏まえたリミット金額を地域別・自然災害種類別に設定し、当該リミットを超えることがないように定期的にモニタリングを実施して適切に管理しております。また、再保険の活用や国内の異常危険準備金等の積み立てを行い、事業の安定化を図るとともに、自然災害による保険金支払のリスクについて気候変動を踏まえて定量的に評価することで、適切な料率設定・商品設計を目指しております。
また、サイバー保険については、モデルや想定されるシナリオに基づき、予想最大損害額の算出を行っており、主要な保険子会社のそれぞれでモニタリングリミットを設けて、リスクの把握と適切な引受水準の維持・管理に努めております。
(介護事業リスク)
a.リスクの概要と評価
当社グループは、多くの高齢者やそのご家族の多様なニーズにお応えするため、SOMPOケア株式会社が在宅介護から施設介護までフルラインナップの介護サービスを提供しており、介護事業戦略の遂行において介護事業環境を見誤ることや、重大不祥事が発生してブランド価値を毀損するリスクを「事業固有のリスク(介護事業リスク)」と認識しております。介護事業においては、介護保険法の改正ならびに介護報酬の改定、介護市場における競争激化、介護人材の需給ギャップ拡大などに起因する従業員確保の困難、食中毒、集団感染症の発生、高齢者事業特有の事故等の発生およびそれらによる社会的信頼・信用の毀損、風評リスクの発生等により、当社グループの経営成績等に影響を及ぼす可能性があります。
b.対応策の状況
SOMPOケア株式会社では、ご利用者さまとの信頼を築くため、コーポレート・ガバナンス体制、事業所管理体制の構築に取り組んでおります。ガバナンス・リスク・クオリティ・コンプライアンス委員会を経営会議の諮問機関として設置し、リスク管理・品質にかかわる重大事象への対応や、内部監査結果などの内部統制に関する事項の審議を実施するとともに、本社リスク管理部門では事故情報を集約し、再発防止策の周知・徹底を図っております。また、リアルデータプラットフォームの技術を活用した介護事業者向けサービスである「egaku」、ICT・最先端テクノロジーの介護現場での有効活用を推進し、生産性向上および処遇改善を通じた介護人材の需給ギャップの解消を目指しております。
オ.その他リスク(No.29)
(事業中断リスク)
a.リスクの概要と評価
大規模地震等の自然災害、大規模テロ攻撃、新型感染症等のパンデミック(世界的な大流行)、サイバー攻撃等による大規模システム障害等が発生し、本社機能、保険金支払、介護サービスの提供などにおける円滑な業務運営が阻害されるリスクを「その他リスク(事業中断リスク)」と認識しており、当該リスクは当社グループの経営成績等に影響を及ぼす可能性があります。
b.対応策の状況
当社グループでは、従来から大規模な地震などの自然災害、新型感染症等のパンデミックの発生、サイバー攻撃等による大規模システム障害発生の有事に備えた業務継続計画を策定し、定期的に訓練を実施するとともに、業務継続計画の有効性の検証を行っております。
また、直近では、東京都防災会議の「首都直下地震等による東京の被害想定」に基づくグループ各社の整備状況の点検や最新の通信手段・電力ファシリティの配備、サイバー対応の有事体制やグループ内連携フローの明確化などを通じ、更なる危機対応力向上へ向け、グループ各社の重要業務の継続のための改善を行っております。
- 検索
- 業種別業績ランキング