リスクマネジメント
リスクマネジメントの基本的考え方
キッツは、企業経営に重大な影響を及ぼす可能性がある様々なリスクをコントロールするため、リスクマネジメント基本方針を定め、キッツ及びグループ各社においてリスクマネジメントに取り組んでいます。
リスクマネジメント体制
取締役会は、リスクマネジメントの監督を重要な役割と位置付けています。そのため、リスクマネジメントの監督を補助し、経営戦略と一体のものとしてその高度化に資することを目的とし、任意の「リスク委員会」を設置しています。
同委員会は、リスクマネジメントの基本方針、リスク評価のフレームワーク・評価の結果の検証、重大リスクの特定並びにリスク環境の分析及び予測に関する事項等について執行側と協議し、審議のうえ、その結果を取締役会に報告しています。
また、業務執行においては、代表執行役社長を委員長とするC&C管理委員会がリスクの分析評価を行い、リスクマネジメント担当役員がその対策実施の進捗について管理しています。
リスクの分析評価
キッツグループでは、C&C管理委員会が策定したリスク評価に関する基本方針及び評価基準に基づき、事業活動に係る想定リスク(全128項目)について「リスクの発生頻度」と「経営に与える影響度」の2軸からリスクの重要性を定量的に判定し、主要リスク及び重要リスクの特定を行っています。具体的には、リスクの「発生頻度の判定基準」及び「影響度の判定基準」(人的損害、物的損害、賠償責任、利益損害、信用失墜及び環境被害の項目で構成)の評価項目ごとに点数評価し、4象限のリスクマップにおいて、「高損害・高頻度」、「低損害・高頻度」、「高損害・低頻度」及び「低損害・低頻度」のいずれかのゾーンの判定を行います。
リスクマップ

リスクマネジメントの実施フロー
キッツグループでは、各組織単位で実施するリスク評価の結果を踏まえ、経営会議において「主要リスク」及び主要リスクの中でも特に経営に重大な影響を与える可能性が高い「重要リスク」を特定し、各リスクの重要度から回避、移転、低減または保有のいずれかの対策方針を選択し、各執行役・執行理事及びグループ会社社長を責任者として、必要な対策を立案し実施しています。
特定された主要リスク及び重要リスク並びに立案された対策については、内部監査室長に共有され、内部監査室が業務監査等において対策の進捗及び結果を確認するなど、独立した立場から、その構築・運用状況の評価を行っています。
また、取締役会は、経営会議において特定された重要リスク及び立案された対策並びに内部監査室における評価結果などの報告を踏まえ、必要な審議を行うとともに対策実施の最終的結果を確認するなど、グループにおけるリスクマネジメントについての最終的な決定及び監督を行っています。

キッツグループの事業リスク
情報セキュリティ・個人情報保護
キッツグループは、サイバー攻撃及び内部者による情報漏えいや操業停止等の事業継続に支障をきたすリスク及びお客様・お取引先様への影響を最小化すべく、情報セキュリティガバナンスを重要な経営課題の一つに位置付け、情報活用による価値創造とリスクマネジメントの両面から対策に取り組んでいます。キッツグループ情報セキュリティ・個人情報保護ポリシーを定め、 社長が任命した執行理事を委員長とする情報セキュリティ・個人情報保護委員会を設置し、情報セキュリティと個人情報保護に関する方針決定や各種施策への取り組みを推進しています。
情報セキュリティ基本方針
キッツグループは、情報セキュリティに関し以下の基本方針を定め、これを推進します。
- 1.法令等の遵守
-
情報セキュリティに関連する法令、その他の規範を遵守するとともに、情報セキュリティ確保の取り組みの継続的な改善、向上に努めます。
- 2.情報セキュリティ体制
-
各組織に情報セキュリティの責任体制を敷き、また、所要の規程の策定と実施をし、これにより情報資産の適切な管理に取り組みます。
- 3.情報資産の管理
-
情報資産とセキュリティ確保のため、重要性とリスクに応じて、その取り扱い方法を明確にし、適切に管理します。
- 4.教育・訓練
-
すべての役員及び従業員に対して情報セキュリティについての教育・訓練を継続的に実施し、その意識向上と関連する諸規程の遵守・徹底を図ります。また、これらの規程に違反した者に対しては、懲戒を行うことも含め、厳正に対処します。
- 5.安心できる製品・サービスの提供
-
当社製品・サービスをご利用されるお客様に関する情報のセキュリティに特に配慮し、お客様に安心してお使いいただける製品・サービスの提供に努めます。
- 6.事故対応体制の整備と事故発生時の対応
-
情報資産の取り扱いに関連して、不正アクセス、紛失、破壊、改ざん及び漏洩等の事故が発生した場合に影響を最小限にとどめることができるように報告及び対応体制を整備します。また、万一事故が発生した場合には、その原因究明と再発防止に向けた取り組みを行います。
個人情報保護基本方針
キッツグループは、個人情報保護に関し以下の基本方針を定め、これを推進します。
- 1.法令等の遵守
-
個人情報に関する法令、国が定める指針及びその他の規範を遵守します。
- 2.個人情報保護体制
-
個人情報を保護するために必要な社内ルールや、これを遵守するための個人情報保護マネジメントシステムを策定し、役員及び従業員がこれを実践します。
- 3.個人情報の管理
-
個人情報は、社内ルールに従い適切な方法で収集するものとし、ご本人の同意を得た範囲に限定して利用するとともに、正当な理由がない限り第三者に開示・提供しません。また、これらの規程に違反した者に対しては、懲戒を行うことも含め厳正に対処します。
個人情報保護に関して定期的に監査を行い、定期的にまたは必要により社内ルール及び管理方法を見直し、個人情報保護マネジメントシステムも継続的に改善を実施します。
保有する個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいを予防並びに是正するため、組織的、人的、物理的及び技術的に必要な安全対策を講じます。
個人情報について、開示・訂正・利用停止及び消去などの要求がある場合は、ご本人であることを確認し、速やかに対応します。
- 4.教育・訓練
-
役員及び従業員に対し、個人情報の保護及び適正な管理方法についての教育を行い、日常業務における個人情報の適正な取り扱いを徹底します。
情報セキュリティ・個人情報保護管理体制

情報セキュリティ・個人情報保護の取り組み
キッツグループは、サイバー攻撃及び内部者による情報漏えいリスクを最小化する仕組みとして、キッツ及びグループ会社を対象とした内部者向けのキッツグループ情報セキュリティ・個人情報保護ポリシー (以下、本ポリシーといいます)を定め、情報セキュリティと個人情報の適正な取り扱いの徹底に取り組んでいます。
本ポリシーは、情報セキュリティ・個人情報保護基本方針のほか、情報資産の利用に関する事項、情報システムに関する技術的事項等を定めており、様々な観点から情報セキュリティ・個人情報保護の確保につなげています。また、昨今の環境変化・リスク変化に対応するため、当ポリシーを定期的に見直しています。
また、年に一度、キッツ及びグループ会社が出席する情報セキュリティ・個人情報保護委員会を開催し、インシデントの共有や情報セキュリティ推進活動の進捗状況の共有などを行い、グループ一体となった継続的な情報セキュリティ・個人情報保護の向上に努めています。
情報セキュリティ・個人情報保護教育の実施
キッツグループは、従業員一人ひとりが情報セキュリティ・個人情報保護の意識や知識を高め、適切に情報を管理することができるようにキッツ及びグループ全社の従業員向けに各種教育を実施しています。具体的には、毎年実施するeラーニングによる情報管理教育、入社時及び管理職への昇格時の階層別教育、実践的なサイバー攻撃対応訓練などの教育を行っています。