リスクマネジメント
リスク管理体制
当社では、さまざまな角度から全社的なリスクを特定し、リスクの顕在化を防止するため、「3線モデル」の考え方に基づく管理体制を整えています。第1線として、本社各部門が現場で各種施策を立案する際にリスクを含めた検討を実施するとともに、自部門におけるリスク管理を遂行しています。第2線として、リスク管理の責任者であるリスク管理室長の下、事業部門から独立した組織であるリスク管理室が、全社的・網羅的にリスクの把握と対策状況を確認し(年2回実施)、リスク管理委員会に報告しており、社長、副社長、CFOなどを委員とし、監査役や関係部門長が参加するリスク管理委員会では、リスクの重要度や対応する責任者(リスクオーナー)を定め、対策指示などを行い、リスク管理室長を通じて状況を取締役会に報告しています。なお、リスク管理委員会では、情報セキュリティ経験を有する取締役(代表取締役 社長執行役員 兼 CEO 宮川 潤一)が中心となり当社グループに重要な影響を与えるリスク(通信サービスリスク、情報セキュリティリスク、情報システムリスク等を含む)を監督しています。
内部監査室は第3線として、第1線と第2線から独立した立場から、これら全体のリスク管理体制・状況を監査しています。
また、リスク抽出プロセス等を含むリスク管理委員会における検討内容については、リスク管理室長が会社業務の執行を監督する役割を持つ社外取締役に報告しています。これに加えて、監査役会にも報告を行い、社外取締役および監査役から得たリスク管理手法や改善点等に関する意見や助言をリスク管理の対策等に反映しています。
なお、グループ全体のリスク管理の観点から、子会社・関連会社からの報告体制を整備するとともに、それぞれが抽出した事業に関連するリスクとその対策状況の定期的なチェックを実施します。
当社はインシデントの未然防止に努めていますが、万が一インシデントが発生した場合には、発生部門が第1線としてインシデントの内容および影響を確認し、インシデント影響度判断基準に定める報告基準に従ってリスク管理室へ報告を行っています。リスク管理室は都度インシデントの影響度を評価し、当社グループの経営に重要な影響を及ぼす可能性のあるインシデントについては、速やかに経営陣、社外取締役、監査役等へ報告を行っています。
また、インシデントの影響低減や再発防止策の検討・実施に関しては、第1線である本社各部門が主体的に具体的な対策を検討・実行し、リスク管理室は第2線としてこれらの対策内容や実施状況を確認・評価するとともに、必要に応じて助言・指導を行う体制を整えています。第1線の現場に即した実効性の高い対応策を推進しつつ、第2線がリスク管理の枠組みやルールに基づいて適切な監督を行い、インシデントの再発防止と影響の最小化に努めています。
- [注]
-
- ※1リスクトレンド分析:最新のニュースや公開情報を基にした分析を行い、新しい視点でのリスク抽出の材料とする手法
- ※2KRI(Key Risk Indicators):重要リスク評価指標
- ※リスク管理と監査について、それぞれの責任者であるリスク管理室長と内部監査室長が、それぞれの職責に基づき独立して取締役会に報告しています。
- ※外部からのリスク管理に関する評価として、ISO31000(JISQ31000)に準拠したリスクマネジメント体制およびリスクマネジメントプロセスの評価にかかる検証(今年度実施)や、金融商品取引法で定められている内部統制報告制度およびSSAE18に準拠した内部統制の評価(年に1回)を第三者機関により受け、リスク管理体制のさらなる精度向上に努めています。
- ※1
リスク管理手法
当社は、各種施策の立案時にビジネスの機会とあわせて潜在するリスクも検討することに加え、当社グループのリスクを幅広く抽出、選定、評価するため、リスクの見直しを含めて、年度ごとに以下のようなPDCAサイクルを回すことにより、複雑化・多様化するリスクの発見、低減、顕在化の未然防止に取り組んでいます。
| Plan | リスク管理室は、リスク分類表(当社と当社の子会社・関連会社の事業遂行に関わりのあるリスクシナリオから構成)を用いたリスクアセスメントや、当社の各本部長および主要子会社・関連会社の経営陣へのヒアリングを実施することに加え、当該年度のリスクオーナー(リスクの責任者)等へのインタビューを行っています。リスク管理委員会においては、現場と経営の双方の目線に基づき抽出したリスクを対象に、当社に重要な影響を与えるリスクとリスクオーナーを指名しています。その際、さまざまな観点からリスクを抽出するために、事前にリスクおよび機会を含めた外部環境レポート等の情報提供や、短期/中長期の観点も含めた質問を通じ、情報を収集することで、より多面的なリスク分析を行っています。 |
|---|---|
| Do | リスクオーナーは、リスク管理委員会が決定した当社に重要な影響を与えるリスクに基づき、リスクの対策等を検討し、実施しています。 |
| Check | リスク管理室は、リスクオーナーによる対策状況を月次でモニタリングし、経営陣に報告するとともに、リスク管理委員会に対策状況等を報告し、リスク管理委員会は、報告に基づき、対策の実施状況等の確認やリスクの見直しおよび追加対策の必要性等を確認しています。 |
| Action | リスクオーナーは、リスク管理委員会で追加対策が必要と判断された場合には、改善策や追加対策等を検討し、実施しています。 |
年間スケジュール
- [注]
-
- ※上記「取締役会」には、社外取締役・監査役への事前説明会を含みます。
- ※
当社では、広くリスクと機会を抽出し、重要度と優先度を判断した上で、対策や各種施策内容に反映させていく仕組みを導入しています。
リスクアセスメントやインタビューに際して、従来のリスクだけでなく、機会を含めてヒアリングするとともに、会社への影響を検討する時期軸を短期(数年以内)、中期(3年から5年程度)、長期(10年から30年程度)と設定し、より適切な分析を目指しています。
集約されたリスクについては、リスク管理委員会を中心に対策を講じるとともに、機会についての情報は、組織間で情報連携を行い、サステナビリティ戦略の立案やマテリアリティの策定等にも活用しています。
研修等の実施
新入社員を含む当社の全社員に向けては、取り組むべきリスクの社内周知やリスク管理に関する研修(eラーニングなど)等を実施し、加えて社内からの相談窓口を設置しているほか、子会社・関連会社に対しては当社と共通の研修資料を共有し、必要に応じて研修を実施しています。加えて、リスク管理は管理職を含めた従業員の能力評価に組み込まれるとともに、報酬に関する評価に反映されています。
また、取締役・監査役に向けては、定期的に、リスク管理、コンプライアンスなどに関する社内外の研修等を実施しており、社外取締役や社外監査役に対しても、リスク管理に関する適切な助言を得るため、就任時、また就任後も定期的に、リスクの選定と対策状況、リスクの見直し結果をはじめ、当社グループの事業内容、直近のリスク動向・技術動向を含めた最新のリスク関連情報などを説明し、理解する機会を設けています。
リスクアペタイトと
ストレステスト・感応度分析
個々のリスクをリスクアセスメントおよびリスクオーナー(リスクの責任者)等へのインタビューを基に、リスクの発生可能性(発生確率)と潜在的影響の大きさ(影響度)の観点から分類し、リスク受容基準(リスクアペタイト)を定め、社長を含む経営層で構成するリスク管理委員会で承認を得ています。
| 当社のリスク | リスクアペタイト |
|---|---|
| コンプライアンス |
役員・従業員の一人一人が順守すべき行動規範である「ソフトバンク行動規範」に基づき、日常業務の中で高い倫理観と責任感を持ったコンプライアンスの実現に取り組んでおり、コンプライアンスを徹底し、不正、差別・ハラスメントなどのコンプライアンスに反するリスクは許容しません。 |
| 知的財産・ブランド |
役員・従業員、グループ会社の一人一人が順守すべき「ソフトバンク行動規範」の中で、「知的財産権の重要性を認識し、他者の知的財産権を尊重するとともに、自社の知的財産権の適正な保護および活用の推進」を宣言しています。他者の知的財産を尊重しつつ、知的財産の積極的な創造・保護・活用に努めることで、リスクの低減を図り、企業価値を向上し、ひいては社会全体の産業発展に寄与すると考えます。 |
なお、財務リスクについては、為替などの感応度分析、非財務リスクについては、主要な事業拠点における水ストレス等に係るリスク分析を実施しています。
当社に重要な影響を与える
リスクへの対応
当社に重要な影響を与えるリスクについては、以下の4×4のマトリクスを用いてリスクの「発生可能性」(4段階)と潜在的影響の大きさ(4段階)に基づき、リスクを評価・特定しています。さらに、特定したリスクの中から優先的に対応すべきリスクを総合的に評価・決定し、対策を実施することで、リスクの低減と未然防止に努めています。
代表的なリスクに対する評価結果は以下の通りです。
なお、「影響度」については、対策を実施することでリスクを低減させています。
当社に重要な影響を与えるリスクは以下の通りです。
1. 経営戦略上のリスク
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 経済情勢、規制環境および市場環境の変化、他社との競合について | ||
|
|
|
| b. 技術・ビジネスモデルへの対応について | ||
|
新たな技術(生成AIやAIエージェントを含む)やビジネスモデルの出現を含む市場環境の変化に、当社グループが適時かつ適切に対応できないリスク | 最新の技術動向や市場動向の調査、技術的優位性の高いサービスの導入に向けた実証実験、および他社とのアライアンスの検討など |
| c. 情報(個人情報を含む)の流出や不適切な取り扱いおよび当社グループの提供する商品やサービスの不適切な利用について | ||
|
|
|
| d. 国際情勢の不安定化について | ||
|
紛争国や関連国が課す航空機や船舶などの規制・制限による通信事業関連の機器・設備などの輸送が遅延するリスク | モニタリングや情報収集、サプライヤーの分散化・多様化 |
| e. 安定的なネットワークの提供について | ||
| (a)通信ネットワーク障害 | トラフィック(通信量)の増加や必要な周波数帯が確保できないことなどにより、通信サービスの品質を維持できないリスク | トラフィックの将来予測に基づいて通信ネットワークを増強 |
| (b)自然災害など予測困難な事情 | 自然災害や感染症の流行などにより、通信ネットワークや情報システムを正常に稼働できないリスク | ネットワークの冗長化、応急復旧体制の構築、ネットワークセンターおよび基地局での停電対策等の導入 |
| f. 他社の買収、業務提携、合弁会社設立、グループ内組織再編等について | ||
|
当社グループの投資先会社が見込み通りの業績を上げることができないリスク | 各投資の実行の検討に際し、必要十分なデュー・ディリジェンスを実施した上で、定められた承認プロセスを経て投資判断 |
| g. 他社経営資源への依存について | ||
(a)業務の委託
|
|
|
(b)他社設備などの利用
|
他の事業者が保有する通信回線設備を継続して利用することができなくなるリスク | 複数の事業者の通信回線設備などを利用 |
(c)各種機器の調達
|
通信機器などの調達において、供給停止や納入遅延などの問題が発生するリスク | 複数の取引先から機器を調達してネットワークを構築 |
| h. 「ソフトバンク」ブランドの使用について | ||
|
当社がソフトバンクグループ株式会社の信用または利益を害する行為をし、「ソフトバンク」ブランドを使用できなくなるリスク | ブランド使用前のチェック体制の強化、利用に関する資料公開、研修の実施 |
| i. 関連システムの障害などによるサービスの中断・品質低下について | ||
|
顧客向けのシステム、キャッシュレス決済サービス「PayPay」などで人為的なミスや設備・システム上の問題、または第三者によるサイバー攻撃、ハッキングその他不正アクセスなどによりサービスを継続的に提供できなくなるリスク | ネットワークを冗長化するとともに、障害やその他事故が発生した場合の復旧手順を明確化 |
| j. 人材の育成・確保について | ||
|
|
|
| k. 気候変動について | ||
|
|
|
2. 法令・コンプライアンスに
関するリスク
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 法令・規制・制度などについて | ||
|
|
|
| b. 訴訟等について | ||
|
第三者の権利を侵害することにより当社グループの企業イメージが低下するリスク | 法令・規則・制度や契約書等に記載されている契約条件の確認 |
3. 財務・経理に関するリスク
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 資金調達について | ||
|
金利上昇などによる資金調達コストが増加するリスク | 資金調達手段の多様化により十分な資金を保持する財務基盤の構築 |
| b. 会計制度・税制の変更などについて | ||
|
会計制度・税制の変更などにより追加の税負担が生じ、当社グループの事業展開、財政状態および業績に影響を及ぼすリスク | 必要に応じて顧問税理士等の外部専門家へ相談 |
| c. 減損損失について | ||
|
減損損失が発生し、当社グループの事業展開、財政状態および業績に影響を与えるリスク | 定期的にモニタリングする体制の構築 |
4. その他
| リスク項目 | 代表的リスク内容 | リスク低減措置 |
|---|---|---|
| a. 経営陣について | ||
|
経営陣に不測の事態が発生した場合、当社グループの事業展開に支障が生じるリスク | 職務の代行が可能な体制の構築 |
| b. 親会社との関係について | ||
|
|
|
新興リスク
定期的にリスクを見直すことで、事業に重大な影響を与える可能性のある新興リスク※1も識別・管理しています。洗い出した新興リスクについては、短期・中長期※2の観点から検討を行い、対策を講じています。
2025年度の新興リスクは以下の通りです。
- [注]
-
- ※1現在は存在していない、または認識していないが、外部環境の変化等により新たに出現したり変化したりするリスクを言い、今後、事業戦略やビジネスモデルの変更が必要となるような、事業に重大な影響を与える可能性があるリスクのこと。
- ※2おおむね3~5年以上を「中長期」として検討を行っています。
- ※1
AI技術に関する規制リスク
| リスク定義 | AIに関連して順守すべき法令・規制に違反する、または新たな法令・規制や官公庁の運用変更に対応できないことにより、業務継続・事業展開に支障が生じる、または当社の社会的信用・信頼の失墜や、経済的・財務的損失(罰則)を招くリスク。 |
|---|---|
| 代表的リスク内容 |
|
| 事業に対する影響 |
対話型で利用可能な生成AI※1の登場、さらにはユーザーの代わりに自律的にタスクを検討・実行するAIエージェント※2への発展により、AIは今後もビジネスの生産性向上等に大きく寄与することが期待されています。 当社グループは、さまざまな業務で積極的にAIを活用することにより、業務の改善や効率化を実現することに加え、関連商品やサービスを顧客企業等へ提案・販売しており、例えば、2024年8月から生成AIエージェントサービス「satto」のベータ版提供を開始しました。 また、当社は、経営理念である「情報革命で人々を幸せに」の実現に向けて、2023年5月に発表したデジタル社会の発展に不可欠な次世代デジタルインフラを提供するというソフトバンクの長期ビジョンの実現に向け、分散型AIデータセンターやAIとの共存社会を支えるデジタルインフラの構築などにも取り組んでいます。経済安全保障推進法に基づく「特定重要物資クラウドプログラムの供給確保計画」について、2024年5月に当社が経済産業省から認定を受けたことから、AI計算基盤を拡張するため、約1,500億円の設備投資を行い、2024年度から2025年度にかけて国内の複数の拠点にAI計算基盤を新たに構築していきます。 一方、世界経済フォーラム(WEF)の報告書(Global Risks Report 2025)では、2024年に続き最も深刻な世界的リスクの短期リスク(今後2年)に「誤情報と偽情報」、長期リスク(今後10年)に「AIリスクの悪影響」がランクインしています。高度な技術や専門知識を必要とせずにAI技術を利用できるようになったことで、誤情報や偽情報の拡散が一層容易になり、社会に新たな混乱や不安を引き起こすだけでなく、政治的、経済的な安全保障上の懸念から、一部の国では規制を検討する動きもみられます。日本においても、AI活用推進法※3が2025年5月28日に参議院本会議で可決・成立し、開発事業者や活用事業者にはAI技術の適正な利用に努め、透明性・公正性を確保し、利用者の権利利益を保護することが求められています。 このような状況において、当社は、「責任あるAI」※4の実行が不可欠と捉え、AIの活用および顧客企業等へのAI関連商品・サービスの提案・販売や、生成AIや生成エージェント等の開発を行っていますが、今後、より厳格な法令・規制等が制定され、当社がそれらに適切に対応できなかった場合、当社グループのAIに関する事業計画に大幅な遅れが生じる可能性があります。 さらに、例えば、当社による生成AIの活用において機密情報や個人情報が漏えいする、または生成物の利用において第三者の著作権を侵害する等、当社が関連法令・規制等に違反した場合には、当社の社会的信用・信頼の失墜や経済的・財務的損失(罰則)を招く可能性、また、AIに関する法令・規制等のルール策定への関与や対応が遅れる場合、当社の戦略が影響を受け、業務継続や事業展開に支障が生じる可能性があります。
|
| 対応策 |
当社は、「Beyond Carrier」戦略の下、AIやIoTなどの先端技術を活⽤し、⾰新的なサービス提供とDX推進に取り組んでいます。特にAIについては活⽤が広がる⼀⽅で、倫理⾯での配慮が必要とされていることから、AIの適切な活⽤と安⼼・安全なサービス提供をするため、2022年に「ソフトバンクAI倫理ポリシー」を策定しました。具体的には「⼈間中⼼の原則」「公平性の尊重」「透明性と説明責任の追及」「安全性の確保」「プライバシー保護とセキュリティの確保」「AI⼈材・リテラシーの育成」の6つの項⽬において指針を定め、この指針にのっとった事業運営やサービス開発などを⾏うことを宣⾔しました。AI倫理ポリシーを基に規程・基準、ガイドライン、チェックシートなど、さまざまな社内ルールを制定しており、制定にあたってはAI事業者ガイドライン(第1.0版)の基礎となっている内閣府作成の⼈間中⼼のAI社会原則、総務省作成のAI開発ガイドライン、AI利活⽤ガイドライン、経済産業省作成のAI原則実践のためのガバナンス・ガイドライン、等の準拠性を考慮して作成しています。また、このポリシーをグループ会社でも適用できる体制を整えており、2025年3月1日時点で74社がポリシーを適用しています。加えて、グループ会社に対しても当社が定めたAIガバナンスにおけるリスク観点に基づくリスクアセスメントを実施することで、リスク低減に努めています。 当社のAIガバナンス推進にあたっては、AI事業の戦略部⾨であるAI戦略室がミッションを担い、その中に独⽴した専⾨部⾨としてAIガバナンス推進室を設け、社内AI利活⽤部⾨のガバナンスを推進しており、CIO(Chief Information Officer)、CDO(Chief Data Officer)、CISO(Chief Information Security Officer)、CCO(Chief Compliance Officer)から構成されるステアリングコミッティが管理・監督しています。また、2024年4月に、社外有識者委員と社内委員で構成される、AIガバナンスのアドバイザリーボードである「AI倫理委員会」を設立しました。社外有識者委員には、AI倫理やAI技術全般、データガバナンス、金融、法律、消費者、ESG(環境・社会・ガバナンス)など、さまざまな専門領域の知見を持つメンバーが就任し、AI倫理に係る各種課題の議論や提言を行うほか、国内外の最新動向に係る知⾒の共有などを行っています。AI技術の急速な進化やそれに伴う課題の複雑化は世界規模で進んでおり、当社は社外有識者の多様な視点や知見を取り入れることで、顧客の視点を踏まえた、客観的で実効性が高いAIガバナンスを実現しています。 また、当社はAIガバナンス推進戦略の中で、“AI倫理・ガバナンス教育の推進”を重要視しています。具体的には、e-learningによる研修(年1回)、勉強会(年2回)、毎⽉配信しているメールマガジン等で役員を含む全社員に対して教育を推進しています。教育コンテンツのアジェンダとしては、国内外で発⽣しているAIインシデントの事例紹介、⽣成AIを含むAIを利活⽤する際の注意点(バイアス、情報漏えい、著作権侵害、ハルシネーション等)、AI倫理に関する社会動向などを中⼼に教育を推進しており、全社員のリテラシー向上に努めています。 |
国際情勢の変化がもたらす
サイバー攻撃のセキュリティリスク
| リスク定義 | 多様化・複雑化・巧妙化に加え、国際情勢の変化に伴い増加するサイバー攻撃により、当社の情報資産の漏えい、改ざん、破壊、消去、窃取等が発生、もしくは当社または関係会社のサービスが停止または損害が発生することで、当社グループの経済的・財務的損失や社会的信用・信頼の低下を招くリスク。 |
|---|---|
| 代表的リスク内容 | 国際情勢の変化による地政学リスクの高まりにより、基幹インフラである通信事業者を標的とした、背後に国家関与が疑われるAI等の利用により高度化したサイバー攻撃により、以下のような状況が発生することで、当社の経済的・財務的損失を招く。
|
| 事業に対する影響 |
近年、ロシアによるウクライナ侵攻やガザに端を発した中東紛争、米国・中国や韓国・北朝鮮の関係悪化など、国際情勢の不安定化に伴い、国家の支援がうかがえるサイバー攻撃が増加しています。また、AI技術の革新が進み、利用者の裾野が広がったことで、技術的専門知識の乏しい攻撃者でもAIの支援を受けてサイバー犯罪を行えるようになり、攻撃のスピードや規模も飛躍的に拡大しています。例えば、生成AIは自然で説得力のある文章やコードを自動生成できるため、マルウェアなどの作成が格段に容易かつ高度になりました。世界経済フォーラムの年次レポート「Global Cybersecurity Outlook 2025」では、組織の約60%が地政学的緊張がサイバーセキュリティ戦略に影響を与えていること、47%が生成AIを活用した攻撃者の進化を最大の懸念事項として挙げていることが述べられています。 通信事業においては、5GやIoTの普及により通信インフラが高度に複雑化し、新たな攻撃ポイントが増加しています。さらに、新たな脆弱性が生まれたことで、攻撃の標的となりやすい状況が生じています。こうした技術革新の負の側面は、通信事業者である当社にとって、通信ネットワークの安定供給を脅かす中長期的なリスクとなる可能性があります。 当社は通信事業者として大量の機密データを伝送・保有しているため(2025年3月期におけるスマートフォン契約数は累計3,177万件)、サイバー攻撃による不正アクセスやランサムウェア攻撃により個人情報を含むデータの窃取や流出が発生した場合には、顧客の信頼を損ない、顧客離れにつながるおそれがあります。 また、当社の取引先は数千社に及びますが、攻撃者がマルウェアを用いて当社の社内システムやサーバを暗号化し業務を停止させた場合、当社が適切に対処できない場合には、事業継続が困難になるおそれがあります。これは当社に限らず、取引先を含む当社の国内外に及ぶサプライチェーンが地政学的要因によるサイバー攻撃で途絶した場合、重要な通信機器等の供給が遅れ、サービスの提供に支障をきたす可能性があります。 さらに、通信インフラは社会の基盤であり、その破壊は社会に大きな影響を及ぼすため、攻撃の動機となる可能性があります。Check Point Software Technologies社の調査(2025年第1四半期)によると、サイバー攻撃が世界中で急増する中、業界別の増加率が最も大きかったのは通信業界で、前年比94%の大幅な増加となったと報告されています。当社は経済安全保障推進法※1に基づき、2023年11月16日に電気通信事業における特定社会基盤事業者(基幹インフラ事業者)に指定されており、サイバー攻撃により、通信の重要設備の維持管理に支障が生じ、通信サービスの提供に影響が出た場合、監督官庁から罰則を科されるだけではなく、当社の社会的信用・信頼の低下を招くおそれがあります。
|
| 対応策 |
当社では、従業員や業務委託を含む約4万人が約10万台のデバイスおよび1,000を超えるITシステムを利用して業務を行っており、このような大規模なIT環境では、外部からの偵察行為や脆弱性を狙った攻撃、ウイルスやフィッシングなど多くのセキュリティイベントが日々発生しています。 対策として、情報セキュリティに関する法令その他の規範を順守し、情報資産の保護やサイバー攻撃の防御を目的とした情報セキュリティ管理体制を構築しています。具体的には、従業員が順守すべき「情報セキュリティポリシー」の制定や、「最高情報セキュリティ責任者(CISO:Chief Information Security Officer)」の設置、さらに、CISOを委員長とする情報セキュリティ委員会およびSoftBank Computer Security Incident Response Team(SoftBank CSIRT)を組織し、環境変化や技術革新に応じた対策の見直しや、情報セキュリティ・サイバーセキュリティ対策に有益な情報の共有を行っています。 SoftBank CSIRTは、CISOの下、セキュリティ部門のメンバーおよび各部門の所属長に任命されたメンバーで構成され、セキュリティインシデントの未然防止と、迅速なインシデント対応による被害極小化を行うとともに、CSIRT事務局を設置し、情報セキュリティ委員会事務局および社内外の関連組織と共に対応を行っています。また、インシデントの未然防止として、脆弱性対応(情報収集と分析、対応依頼、対応状況の把握)、セキュリティルールの策定、セキュリティ教育、注意喚起、インシデント発生時の準備として、インシデント発生時対応フローの整備、インシデント対応訓練などを行っています。 同様に、関係会社(子会社および関連会社)においてもリスク管理体制を整備しています。CISOを委員長とし、関係会社の情報セキュリティ管理責任者を構成員とするSBKKグループセキュリティ委員会を設置し、情報共有、教育・訓練の実施、インシデント発生時の連携対応を行っています。また、関係会社の適正なセキュリティ管理に必要な体制や順守事項を定めた「ソフトバンク関係会社セキュリティガイドライン」を策定するなど、情報セキュリティ・サイバーセキュリティに関するリスクの低減および未然防止を図っています。 さらに、2023年度の当社へのサイバー攻撃の実態として、1日あたりのセキュリティイベント数は160億件に達し、偵察行為や脆弱性を狙った攻撃が1,200万件、ウイルスやフィッシングメールは8万件にも及んでいることから、これらのサイバー攻撃に対抗するため、当社では対策として複数のセキュリティソリューションを活用し、日々サイバーセキュリティの強化に取り組んでいます。 |
緊急時の対応
大規模災害など緊急事態の発生時には、社長を本部長とする緊急対策本部を設置し、担当部門が各事業分野における影響や被害の情報収集・分析を行います。その上で、影響や被害状況に基づき緊急対策本部を設置し、事態の早期復旧などの対策を講じます。
緊急対策本部 体制図
災害協定に基づく対応
また、大規模災害時の通信確保のために広範な相互協力の下、迅速な復旧活動の実施を目的に、防衛省および海上保安庁と「災害協定」を締結しています。大規模災害の発生時における人命救助活動などに必要な通信手段として、当社は防衛省および海上保安庁へ、衛星携帯電話や携帯電話などの通信機器を提供します。
また、防衛省および海上保安庁は、当社が被災地において通信手段の確保や復旧活動を行うにあたり、物資の輸送や各種施設・設備の使用などの協力を行います。有事に備え、全国で陸上自衛隊と連携した訓練を実施しており、海上保安庁とも訓練を積んでいきます。
今後も防衛省および海上保安庁ならびに関係機関との円滑な連携を図りながら災害対策に取り組むとともに、通信事業を担う企業としての社会的責任を果たしてまいります。
防災等業務計画
万が一の自然災害やテロ、パンデミック発生時などの非常事態においても、お客さまの安全を確保するとともに、安定した通信サービスが提供できるよう努めています。
防災業務計画
「災害対策基本法」は、国土ならびに国民の生命、身体および財産を災害から保護し、防災に関する基本理念を定め、社会の秩序の維持と公共の福祉の確保を目的に、国や地方公共機関の役割分担、指定公共機関の役割、災害時の実施体制などについて定めています。
「災害対策基本法」に基づき、国の定める指定公共機関として「防災業務計画」を策定しています。災害予防対応や災害発生時の体制を確立し、災害が発生した際は「防災業務計画」を順守するとともに、その他の関連機関と連携し対応します。
国民保護業務計画
「武力攻撃事態等における国民の保護のための措置に関する法律(以下「国民保護法」)」は、武力攻撃から国民の生命、身体および財産を保護し、武力攻撃が国民生活および国民経済に与える影響を最小とすることを目的に、国や都道府県および市町村の役割分担、指定公共機関の役割、国民保護の実施体制などについて定めています。
「国民保護法」に基づき、国の定める指定公共機関として「国民保護業務計画」を策定しています。テロなど武力攻撃の事態などが予見される、または発生した際は「国民保護業務計画」を順守するとともに、その他の関連機関と連携し対応します。
新型インフルエンザ等
対策業務計画
「新型インフルエンザ等対策特別措置法」は、新型インフルエンザ等に対する対策の強化を図ることで、国民の生命および健康を保護し、生活や経済への影響を最小にすることを目的に、国や地方公共団体の役割分担、指定公共機関の役割、緊急事態の実施体制などについて定めています。
「新型インフルエンザ等特別対策措置法」に基づき、国の定める指定公共機関として政府行動計画等に沿って「業務計画」を策定しています。準備期、初動期以降の体制、感染対策などを「業務計画」に記載し、関連機関と連携し対応します。