リスクへの備え
ローソンでは、CRO※のもとにリスク管理を統括する部署を設置し、リスク管理に関連する規程を定めたうえ、平常時におけるグループ横断的な事前予防体制を整備しています。そして、各部署においては、事業目的と関連した経営に重大な影響を及ぼすリスクを識別し、当該リスクが生じる可能性及びリスクがもたらす影響の大きさを分析し、重点的に対策を講じるべきリスクかどうかを評価してリスクの特性に応じた対応を実施しています。
また、リスク管理の実効性を確保するために、コンプライアンス・リスク管理委員会会議及び情報セキュリティ委員会会議と3つの小委員会を設置し、委員会及び委員長の職務権限と責任を明確にした体制を整備するとともに、リスク管理担当者の各部署及び関係会社への配置、及びリスク管理の教育・訓練の実施により、リスク管理意識の維持・向上を図っています。
CRO(最高コンプライアンス・リスクマネジメント責任者):ローソングループの法令等遵守及びリスク管理の制度・体制整備に関する最高責任者
ローソンがとらえる主要なリスク
- フランチャイズ(FC)事業や銀行事業等の経営戦略リスク
- 資産の棄損や資金調達等の財務リスク
- 食品の安全性やITシステムに関するオペレーショナルリスク
- 法規制等のコンプライアンスリスク
- 災害等のハザードリスク
詳細は、ローソンウェブサイトに掲載されている有価証券報告書をご覧ください。
リスク発生時の対応
ローソンでは、ローソングループにおけるリスクの発生により、事業の中断、損失の発生等の緊急事態・危機になり得るまたはそれらを引き起こし得る状況の発生時には被害最小化を目的に、予め定められた報告ルート・方法に従い迅速な対応報告を行うこと、及び重大なリスク発生時の対策本部設置基準等のルールを整備しています。リスク発生時の対応終了後は、発生要因を分析し、施策の見直し・改善を行って、再発防止へとつなげています。
また、ローソンでは、ローソングループにおける重大な被害(損害)を伴う緊急事態が発生した場合においても、人命の安全確保を前提としたうえで、重要な業務を中断させず、かつ、万一、事業活動が中断したとしても、目標復旧時間までに再開させることを目的とした事業継続マネジメント(BCM)に係る体制及び規程等のルールを整備しています。
情報セキュリティ体制の向上
ローソンでは、当該情報資産を社内外の故意または偶然によるすべての脅威から適切に保護し、お客さまへのサービスと事業の運営を継続的、安定的に行うために「情報セキュリティ・ポリシー」を制定し、また、ローソングループ(ローソン及びローソンが適用対象と定める会社の集合体をいいます)が取得・利用する個人情報の保護を進めるため、「ローソングループ個人情報保護方針」を制定しています。執行役員であるCROの統括のもと、各本部・各カンパニーに情報セキュリティリスク及び個人情報保護に係る評価と対応を行う責任者を設置し、リスク管理を統括する部署及びシステムのセキュリティを主管する部署の支援のもと、情報セキュリティ委員会を通じた全社横断的な情報セキュリティリスク及び個人情報保護に係る統括管理の体制を整備しています。
FC加盟店に対しては情報セキュリティ・ポリシー及び個人情報保護方針の内容を具体的に理解・実行できるように、店舗で起こりうるミス・クレームとその具体的な対処法を店舗の各種マニュアルで周知し、意識の向上を図っており、本部従業員に対しては「情報セキュリティガイドブック」として遵守すべき事項をまとめるとともに、従業員一人ひとりが確実に実践できているか、定期的なチェックを行っています。
お客さまの大切な個人情報を扱う際には、案件・施策ごとに具体的な収集方法や保管方法、保有期間や管理責任者などを定め、事前に専門部署のチェックを受けた上で実行に移す手続きを整備しています。また、個人情報の取り扱いを外部へ委託する際には、事前に当該委託先のセキュリティ体制を細かくチェックし、ローソンが求める条件を満たした委託先にのみ取り扱いを委託するとともに、年に1回は、その条件が維持できているかを立ち入り、または書面で検査を行っています。
そのほか、内部監査部門による情報セキュリティ監査、外部専門企業による情報システムの脆弱性診断など、情報セキュリティ体制のほころびが生じないよう、さまざまな角度でチェックを行っています。
CR責任者:CROを補佐するため、所属グループの法令等遵守に関する問題の掌握並びにリスクを未然に防止する体制の構築及び実施を図る部門の責任者