リスクマネジメント

当社グループの経営・事業上のリスクには、クラウド型のソフトウエアを主軸としたサービス展開をしている性質上、情報セキュリティや技術革新によるものが挙げられます。また、コロナ禍によってもたらされたような商習慣やユーザー行動の変容といった不確実性の高いリスクも存在しています。当社グループでは、経営に大きな影響を及ぼす可能性があるリスクに対して、その発生可能性を認識した上で、発生の回避及び発生した場合の対応に努めており、リスク管理体制やリスク対応の手法について整備しています。

リスク管理

リスクの把握・分析

当社グループでは、内部監査規程に従って内部監査計画を策定し、内部監査プロセスにおいて定期的にリスク把握及び分析をしており、各部署において抽出されたリスクについて、発生頻度及び影響度の観点からリスク評価を行い、リスクの未然防止や早期発見に努めています。

インシデントガイドライン

当社グループでは、災害や事故、不正アクセス、脆弱性の問題等のサービス提供に係るインシデントが発生した場合に備え、各部署においてインシデントに対する体制・指揮命令系統や判断基準、対応手順に関するガイドラインを定めています。具体的には、インシデントの種別を機密性・完全性・可用性という3つの観点で種別し、それぞれの対応について優先度を設定した上で、各部署におけるインシデントの判断・対応の意思決定者を定めています。

主なリスクと対応策

種別 項目 リスク内容 対応
情報セキュリティリスク (1) 個人情報の取り扱いについて
  • 自然災害や事故、外部からの悪意による不正アクセス行為及び内部の故意または過失による顧客情報の漏洩、消失、改ざんまたは不正利用
  • 個人情報保護マネジメントシステムの構築、運用
  • 「プライバシーマーク」付与の認定
  • ISMS、ISO27017の認証及びSOC2の発行
  • 全役職員への個人情報保護士資格の取得義務付け
  • 国内外の新たな法的規制等に関する情報収集及び必要な対策の実施
  • 法令遵守の徹底及び業務委託先の安全管理
(2) 設備及びネットワークの安定性について
  • 火災、地震等の自然災害や外的破損、人的ミスによるシステム障害、その他予期せぬ事象による当社グループの設備及びネットワーク利用への支障発生
  • 複数のサーバーによる負荷の分散や定期的なバックアップ
  • リアルタイムのアクセスログチェック機能やソフトウエア障害を即時に通知する仕組みの整備
  • 障害発生時を想定した復旧訓練
サービスリスク (3) サービス等の不具合について
  • 当社グループのアプリケーション、ソフトウエアやシステムにおける各種不具合の発生
  • 当社グループ事業の運用に支障をきたす致命的な不具合の発見
  • 信頼度の高い開発体制の構築、維持
  • サービスのインシデントガイドラインの策定と実施
外部環境リスク (4) インターネットの利用環境について
  • インターネットの利用に関する新たな規制の導入や弊害の発生
  • インターネットに関する法的規制等の情報収集及び課題抽出と解決策の実行
(5) クラウド事業について
  • クラウドサービス自体の大幅な需要低迷
  • 新たな提供価値の創造
  • 新技術の積極的な投入
  • 特許取得等による知的財産権の保護
  • M&Aや資本業務提携の推進
(6) 技術革新への対応について
  • 技術革新等への対応遅延
  • 予想外の開発費等の発生
(7) 競合について
  • 既存事業者や新たな参入事業者との競争激化
  • 画期的なコンセプトの他社サービス出現による競争激化
投資リスク (8) 広告宣伝活動等の先行投資について
  • 広告宣伝活動の方針や計画変更による大幅な支出増加
  • 広告宣伝活動の費用対効果のモニタリング
(9) 企業買収等の投資について
  • 買収や出資後における事業計画の遅延
  • 対象企業に対する十分なデューデリジェンスの実施
  • 対象企業に対するモニタリングやフォローアップの徹底
(10) システムインフラ等への投資について
  • サービスの安定運用のための、予期せぬハードウエアやソフトウエアへの追加投資
  • 外部からのアクセスに関するモニタリングの徹底
  • 事業拡大に応じた適切なシステムインフラ投資の設計
人的リスク (11) 経営管理体制の確立について
  • 事業規模に応じた事業体制や内部管理体制構築の遅延
  • 業容や従業員の増加に合わせた内部管理体制整備の徹底
(12) 人材の育成及び確保について
  • 優秀な人材の不足
  • Sansan/Bill One事業の営業人材の確保遅延や流出
  • 積極的な人材採用
  • 社内育成等による体制強化
  • 労働環境の整備
(13) 特定の人物への依存について
  • 代表取締役である寺田親弘の業務継続が困難となる何らかの事象の発生
  • 同氏に過度に依存しない体制の整備
  • 役員間の相互情報共有や経営組織の強化
法的リスク (14) 法令について
  • 国内外における新たなプライバシー関連法規の制定やインターネット関連事業者を規制する法律等による影響
  • 法的規制等の情報収集及び課題抽出と解決策の実行
(15) 知的財産権の侵害等について
  • 第三者からの特許権侵害や商標権侵害を理由とする損害賠償請求や差止請求
  • 第三者による当社グループが保有している知的財産権への侵害
  • 特許事務所を通じた特許権侵害調査の実施
  • 商標の出願、登録
  • 法的措置の実施
海外リスク (16) 海外展開について
  • 対応が困難な海外特有のリスク発生
  • 海外事業の収益化の遅延
  • 事業展開地域の情報収集及び課題抽出と解決策の実行
  • 適切な事業計画の策定
その他 (17) インセンティブの付与について
  • 発行するストックオプションの行使による既存株主の株式価値の希薄化
  • 市場環境や既存株主への影響等を十分に考慮したストックオプションの設計