About

リスクマネジメント

リスクマネジメント体制

リスクマネジメントに関する規程

当社では、当社グループ全体のリスクマネジメントの体制を体系的に定める「リクルートグループリスクマネジメント規程」や、重大案件の迅速な報告及び情報共有を行うことを目的とした「リクルートグループエスカレーション細則」を制定し、グループ全体のリスクマネジメントを、当社グループの事業の継続及び安定的な発展を確保するために重要なものと捉えて積極的に取組んでいます。

リスクマネジメント委員会

当社は、取締役会の諮問機関としてリスクマネジメント委員会を設置しています。当社のリスクマネジメント委員会は、当社の取締役及び執行役員が参加し、各SBUのリスクマネジメント状況のモニタリングを行い、その状況及び当社におけるリスクマネジメント状況も踏まえてグループリスクマップを基に、当社グループを取り巻くリスクについての包括的な議論を行っています。その上で、当社のリスクマネジメント委員会においてグループトップリスクを選定し、その対応策やモニタリングの方針を決定しています。

当社及びSBUにおけるリスクマネジメント体制

当社は、取締役 兼 常務執行役員を、リスクマネジメント本部担当として配置しています。当社は、リスクへの対応のポイントが日本と海外とで差異があると考えていることから、リスクマネジメント本部配下にJapan担当とInternational担当の執行役員を配置し、それぞれの特性に応じて、グループトップリスクへの対応を行っています。

加えて、当社の内部監査所管部署においてグループトップリスクへの対応状況の業務監査を円滑に実施することができるよう、当社のリスクマネジメント所管部署は当社の内部監査所管部署とも適時に情報共有を行い、連携をしています。

また、SBUにおけるリスクマネジメント体制は以下のとおりです。

  • SBU統括会社では、当該SBUにおけるリスクマネジメント担当役員を任命し、当該SBUにおける子会社の事業に関連するリスクマネジメントの状況のモニタリングを行っています。これに加え、SBU統括会社は、それぞれSBUリスクマネジメント委員会を半期に一度開催し、SBUを取り巻くリスクを包括的に確認して議論を行うとともに、SBUのトップリスクの選定と対応策の決定を行い、それらのリスクの状況のモニタリングを行っています。
  • SBUリスクマネジメント委員会には当社のリスクマネジメント本部担当取締役 兼 常務執行役員も参加し、SBUにおけるリスクマネジメント状況を確認しています。各SBUの子会社においては、リスクの洗い出しや重要性の判断、対応策の実施等、リスク管理を実施することとしています。

当社のリスクマネジメント委員会の事務局を担うリスクマネジメント所管部署は、これらのリスクマネジメント活動について、定期的に当社の取締役会に報告し、取締役会が当社グループを取り巻くリスクの状況や対応状況について、適切にモニタリングできる体制を整えています。

当社グループのリスクマネジメント体制図

当社グループのリスクマネジメント体制図

当社グループのトップリスクと主な対応策

当社グループの財政状態、経営成績及びキャッシュ・フローの状況(以下「経営成績等」)に影響を及ぼす可能性のあるリスクのうち、当社の取締役及び執行役員が特に注力して対応が必要であると認識するグループトップリスクとそれに対する主な対応策は以下のとおりです。

グループトップリスク

データセキュリティ・データプライバシーに関連するリスク

リスク認識

当社グループでは、すべてのSBUにおいて、多くの個人ユーザーの情報を含む個人情報を取得、管理、活用をしています。各国法令を遵守することはもちろん、社会からの期待に反せず個人ユーザーのプライバシーを尊重し、保護することが責務であると考えています。

万が一でも個人情報に関する事件事故が生じた際には、個人ユーザーの皆様に多大なご迷惑をかけるだけでなく、当社グループのブランドの価値及び信用やサービスへの信頼を大きく棄損し、また、当局から業務停止命令、罰金その他の処分を受けることや、個人ユーザー又は企業クライアントから訴訟を提起されること等により、当社グループの経営成績等に甚大なダメージが生じかねないと認識をしています。

そのためデータセキュリティ・データプライバシーに関連するリスクの取扱いは、当社リスクマネジメント委員会及び各SBUのリスクマネジメント委員会においてトップリスクと認識し、様々な対策を実施しています。

主な対応策

当社グループ全体の対応策として、保有するデータを重要性に応じて分類し、事業内容・国や地域ごとの法規制や保護すべき情報資産の特性に応じて必要な体制や施策を整備しています。例えば、不正アクセスの検知、ウイルス感染の検知と遮断や、調査に備えた通信・アクセスの記録、定期的な脆弱性検査等を実施しています。

  • International(海外)における対応策例
    データプライバシーに関しては、欧州連合(EU)の「欧州連合一般データ保護規則」や米国カリフォルニア州の「California Consumer Privacy Act」をはじめとする各地域・国の法規制への対応をしています。データセキュリティに関しては、SBUごとに事業内容やリスクの特性に応じてNISTやISO、CIS20等、参照する基準を設定し、業界で求められる水準を満たすレベルでの対応策を実施しています。
  • Japan(日本)における対応策例
    データプライバシーに関しては、パーソナルデータ指針の制定やプライバシーセンターの設置等の対応をしています。データセキュリティに関しては、「Recruit-CSIRT」等セキュリティに関する専門部署を設置し、被害の最小化、早期検知、未然防止に関する各施策を実施しています。

なお、当社グループにおいては、上記施策の実施に当たり、会社ごとに導入の是非及び取組みの優先順位を検討の上、進めています。