識別したリスク項目の中で、リスクが顕在化した場合に甚大な影響を及ぼす可能性のあるリスクを特に重要なリスクと認識し、以下に示します。
当社の役職員、事務所、設備は首都圏に集中しており、首都圏直下型地震や富士山の噴火、台風・高潮等による浸水被害により重要な情報資産の喪失、就業可能な要員の不足、インフラの崩壊等により、迅速な事業再開ができない状況となる事態が発生する可能性があります。また、当社グループの事業所が地震等の自然災害や火災の被害を受け、事業遂行及び知的財産等に関する重要な書類・データが喪失した場合、事業活動に支障をきたし業績及び財政状態に影響を及ぼす可能性があり特に重要なリスクであると認識しています。
リスク低減策として、重要書類及びデータを遠隔地にバックアップするとともに、緊急対策本部の立ち上げなど初動体制の整備のほか、事業再開に向けてBCP( Business continuity plan )策定を進めています。また、オンラインでの業務インフラの増強を図ることにより、通常時よりリモートワークを活用するなど役職員やビジネスパートナーの安全の確保と事業継続性の両立に向けた備えに努めています。
当社グループが提供するクラウドサービスには、連結会計サービス、管理会計サービスなどお客様の重要なデータを取り扱うサービスを提供するものがあります。それらのサービスでは、システム運用上のトラブルやクラウド環境の障害、サイバー攻撃などが原因となり、サービスの停止やお客様データの喪失等が発生した場合はお客様業務に多大な影響を及ぼす可能性があります。また、それらが当社の責めに帰すべき事由により発生した場合には、損害賠償の支払いなどにより当社グループの業績及び財務状況等に大きな影響を及ぼす可能性があるほか、当社グループへの信頼性やブランドイメージの低下に繋がることから、特に重要なリスクであると認識しています。
当社グループではリスク低減の為に、クラウドサービス運用組織及びセキュリティ対策組織を設置しリスクの識別・改善活動を継続して行い、多重データバックアップ等のシステム障害対策や多要素認証等のセキュリティ対策を進めています。またそのほか、一部クラウドサービスでは米国保証業務基準書第 18 号(SSAE18)に準拠した「SOC1 Type2 報告書」を取得するなど、第三者の立場による客観的評価を活用しシステム運用品質向上に努めています。
当社グループは業務遂行の一環として、当社グループ関係者及びお客様の個人情報や機密情報を取り扱うことがあります。これらの情報については外部からの当社グループコンピューターへの不正アクセス、当社グループ役職員や業務委託先の過誤等による情報の漏えいのほか、予期せぬ事態により流出する可能性は皆無ではなく、このような事態が生じた場合、当社グループ及びお客様の社会的信用に重大な影響を及ぼすとともに、当社グループの業績及び財政状態に影響を及ぼす可能性があります。
当社グループではセキュリティリスクへの対応の為、情報セキュリティ方針や個人情報保護方針を定め、情報通信技術の進歩や社会情勢、規制環境の変化に応じてこれらを見直しています。情報セキュリティ対策に関しては代表取締役社長を最高責任者とし、情報セキュリティ責任者(CISO)を中心とした情報セキュリティ委員会を設置し、方針の策定・対策の実施・教育と啓蒙・監査と評価等を行っています。また、これらの運用に関する客観的評価並びに継続的な改善活動のため国際規格である ISMS 認証(ISO/IEC27001:2013)を取得しています。
その他、サイバー攻撃やインシデントに対しては社内規程に則って対応し、情報セキュリティ委員会の中で当社グループ事業への影響度に応じた対策を講じています。また四半期に一度、情報セキュリティ教育を実施して、全役職員・派遣社員・業務委託社員のセキュリティ意識向上も図っています。
