開く

リスクマネジメント

基本的な考え方

キヤノン(株)では、キヤノングループの業務の適正を確保し、企業価値の継続的な向上を図るため、事業を遂行するに際して直面し得る重大なリスクの管理体制を整備・運用することが極めて重要であると認識しています。

リスクマネジメント体制の状況

キヤノン(株)では、取締役会決議に基づき、リスクマネジメント委員会を設置しています。同委員会は、代表取締役副社長を委員長とし、「財務リスク分科会」「コンプライアンス分科会」「事業リスク分科会」の3つの分科会を置いています。

同委員会では、キヤノングループが事業遂行に際して直面し得る重大なリスクの把握(法令違反、財務報告の誤り、品質問題、情報漏えいなど)を含む、リスクマネジメント活動の推進に関する諸施策を立案します。

また、リスクマネジメント活動の年間の活動方針を立案し、取締役会の承認を得て、キヤノン(株)各部門および各グループ会社にリスクマネジメント活動を展開します。そして、各部門・各社によるリスクマネジメント体制の整備・運用状況を評価し、その評価結果をCEOおよび取締役会に報告しています。なお、2018年は評価の結果、重大な不備は発見されませんでした。

リスクマネジメント体制の整備・運用プロセス

リスクマネジメント体制の整備・運用プロセス説明 リスクマネジメント体制の整備・運用プロセス説明

リスクマネジメント推進体制

リスクマネジメント推進体制図 リスクマネジメント推進体制図

 

キヤノン(株)の各部門長および各グループ会社の社長は、リスクマネジメントの推進責任者として、同委員会が立案した活動方針に基づき、各部門・各社の年間活動計画を策定し、リスクマネジメント活動を推進する職責を担っています。そして、各部門・各社で任命されたリスクマネジメント推進担当者は、リスクマネジメント推進責任者を補佐し、リスクマネジメント業務を統括しています。

また、法務部門、人事部門、貿易管理部門、品質保証部門など、事業活動に伴う各種リスクを所管するキヤノン(株)の各管理部門は、各部門・各社によるリスクマネジメント活動を統制・支援しています。

グループ全体で展開するリスクマネジメントコミュニケーション

キヤノン(株)では、人事部門が主催するグループ会社の新任役員研修において、各社でリスクマネジメント体制を自律的に整備・運用することの重要性とその整備・運用における役員の役割を教育しています。

また、同じく人事部門が主催する新任部長研修、新任課長研修においては、リーガルリスクを管理する仕組みの重要性とその構築における管理職の役割を認識させています。

さらに、イントラネット上にWebサイトを開設し、キヤノン(株)とグループ会社の従業員に向けて、キヤノングループのリスクマネジメントの考え方や活動状況などの情報をタイムリーに発信しています。

財務リスクマネジメントの推進

「財務リスク分科会」では、日本の会社法や金融商品取引法、および米国のサーベンス・オクスリー法への対応を含め、財務リスクに関する内部統制の強化を目的とした活動を、グループ全体に展開しています。

具体的には、各グループ会社の自律的な活動や自主的な教育を支援することで、各社が主体的にPDCAサイクル(財務リスクに対する業務手続きの見直し)を回し、グループ全体の「財務報告の信頼性の確保」における質的改善を図っています。

これらの取り組みの結果、2018年も、「財務報告に係る内部統制は有効である」と会計監査人より評価されています。

コンプライアンスの推進

「コンプライアンス分科会」では、「キヤノングループ行動規範」に基づく企業倫理をグループ内で徹底させるとともに、リーガルリスクマネジメント体制の整備を進めています。これらの取り組みの結果、2018年も、キヤノンに重大な影響を与える罰金などの制裁措置は受けていません。

キヤノングループ行動規範の項目(抜粋)

経営姿勢

  1. 社会への貢献
    優れた製品の提供/消費者保護/地球環境保護/社会文化貢献/コミュニケーション
  2. 公正な事業活動
    公正競争の実践/企業倫理の堅持/適切な情報提供

役員・社員行動規範

  1. 企業倫理と法の遵守
    公正・誠実/適法な業務遂行/ルールの適正解釈
  2. 会社資産の管理
    資産の厳格管理/不正利用の禁止/知的財産権の保護
  3. 情報の管理
    ルールに基づく取り扱い/私的利用の禁止/インサイダー取引の禁止/他社情報の不正取得の禁止/他社情報の適切な取り扱い
  4. 利益相反と公私の区別
    利益相反の回避/贈与・接待・利益供与の禁止/未公開株式の取得禁止
  5. 職場環境の維持・向上
    個人の尊重と差別の禁止/セクシャルハラスメントの禁止/銃刀・薬物の持込禁止

企業倫理の徹底

キヤノングループ行動規範/コンプライアンス・カード

キヤノンは、1992年制定の「キヤノン行動規範」を刷新し、2001年に「キヤノングループ行動規範」を制定しました。キヤノングループの経営姿勢を示すとともに、キヤノングループに属する役員・従業員が業務の遂行にあたり守らなければならない規準を示すものです。日本語版のほか、英語、フランス語、中国語など多言語に翻訳され、各グループ会社はそれぞれの取締役会などで同規範の採択を決議し、その浸透に努めています。

また、常に携行可能な「コンプライアンス・カード」を作成し、日本語版のほか、英語、フランス語、中国語など多言語に翻訳して、国内外グループ会社の役員・従業員に配布しています。このカードには創業期からの行動指針である「三自の精神」のほか、日々、自らの行動を自己点検するための「コンプライアンス・テスト」が記載されています。

コンプライアンス・カード
コンプライアンス・カード

企業倫理・コンプライアンス教育

キヤノンでは、事業を展開する地域の状況に応じて、企業倫理やコンプライアンスに関わる従業員教育を展開しています。

例えばキヤノン(株)では、新任部長、新任課長、新入社員などを対象とした階層別研修の機会を利用しています。

また、キヤノン(株)および国内グループ会社では、2004年以来、上期と下期の年2回、「コンプライアンス週間」を設定し、コンプライアンスに関する課題について職場ごとに議論を行い、コンプライアンス意識の浸透と法令遵守を実現する業務プロセスの整備・改善に取り組んでいます。

内部通報制度

キヤノン(株)は、コンプライアンス関連の通報を受ける窓口を設けています。通報者の秘密を守ること、通報によって不利益な取り扱いを受けないことを保証するとともに、社内のコンプライアンス総合サイトや研修などを通じて通報窓口の周知に努めるなど、利用促進のための施策を行っています。

通報窓口は、国内外のほぼすべてのグループ会社にも設置されています。キヤノン(株)は、グループ会社の内部通報制度の運用状況を把握するため、グループ会社から半期ごとに報告を受けています。

リーガルリスクマネジメント体制の整備

キヤノンでは、リスクが現実の問題として発現する可能性や、発生した場合の経営や事業への影響度合いなどを勘案して、キヤノングループが直面し得る重大なリーガルリスク(独占禁止法違反、賄賂防止法違反、安全保障輸出規制違反など)を特定しています。これらのリスクを最小化するために、業務フローの整備、ルールの整備、関係従業員への法令教育、監査・点検の実施など遵法体制の整備を行っています。

安全保障貿易管理の徹底

キヤノン(株)は、大量破壊兵器・通常兵器の開発・製造に転用可能な貨物の輸出や技術の提供に関する規制を遵守し、安全保障貿易管理を確実に遂行するため、社長を最高責任者とし、ロジスティクス統括センター貿易法務部を統括管理部門とする管理体制を構築しています。

貿易法務部は、個々の貨物・技術の取り扱い部門とともに、輸出貨物・技術が規制対象に該当するか、取引先が大量破壊兵器の開発に関与していないかなどについて、ダブルチェックを実施しています。また、安全保障貿易管理の重要性を従業員に浸透させるため、「安全保障貿易管理ガイドライン」を作成・改訂し、キヤノン(株)および国内グループ会社の担当者向けに説明会や研修を定期的に開催しています。さらに、グループ会社に対しては、会社規程やルールの雛型の提供、従業員教育教材の提供、ヘルプデスクによるサポートなど、管理体制・管理ルールの構築を支援しています。

こうした各社における社内管理の徹底により、これまでキヤノングループにおいて安全保障貿易管理に関する法令違反は発生していません。また、キヤノン(株)は、1990年以来継続して、経済産業省から管理の厳格な輸出者にのみ与えられる包括輸出許可を得ています。

独占禁止法の遵守

製品の開発から、生産、販売そしてアフターサービスまでを担うキヤノンにとって、すべての事業活動に適用される独占禁止法は、遵守を徹底すべき重要な法律の一つです。

キヤノン(株)の事業部門および販売・サービス機能を担う国内外のグループ会社では、独占禁止法違反のリスクがある部門の従業員に対して、独占禁止法の趣旨や違法行為類型、業務遂行上の留意事項などについて定期的に研修を実施しています。また、独占禁止法に関する相談窓口を法務部門に置き、法律の解釈や適用について疑問がある場合には同窓口に相談するよう周知徹底しています。

贈収賄の防止

「キヤノングループ行動規範」には、社会的常識の範囲を超えた贈与、接待などの利益を受けてはならないこと、および同様の利益を与えてはならないことが明記されています。

キヤノンでは、公務員や取引先との折衝が生じる部門の従業員に対して、主要国の法規制(外国公務員への贈賄防止規制を含む)の動向や行動規範の内容を周知する定期的な教育を実施しています。

事業リスクマネジメントの推進

「事業リスク分科会」では、事業活動を進める上で発生するリスクについて、発生した場合の影響の大きさを勘案して重大リスクを定め、そのマネジメントを担当しています。

重大リスクに選定された各リスクについて、活動の主体となる所管部門と協同して活動方針・計画を定め、キヤノンの各部門および各グループ会社の担当部門を通じて、体制の整備やリスク低減活動を推進しています。

情報セキュリティの徹底

キヤノンは、情報セキュリティを重要な経営課題と捉え、情報セキュリティ規程の基本理念をもとに、グループ全体で取り組むためのマネジメント体制を確立しています。この体制のもと、情報セキュリティ対策として「内部からの情報漏えい対策」と「外部からのサイバー攻撃対策」、その他の対策として「生産設備のセキュリティ対策」と「従業員の意識向上に向けた情報セキュリティ教育」を実施しています。

また、キヤノンでは情報セキュリティ部門を登録範囲として、2005年からISO27001の外部認証を取得しています。

情報セキュリティマネジメント体制の状況

キヤノンは、情報セキュリティ担当役員である情報通信システム本部長を情報セキュリティの意思決定責任者と位置づけています。そして、そのもとでキヤノン(株)の情報通信システム本部が実務組織として、グループ全体の情報セキュリティマネジメントにおける責任を担います。

万が一、情報セキュリティに関する事件・事故が発生した場合は、情報通信システム本部に報告され、状況に応じリスクマネジメント委員会に報告する体制となっています。

また、情報通信システム本部は情報セキュリティをグループ全体で同じレベル、同じ考え方で維持することを目的として、「グループ情報セキュリティルール」を策定し、国内外のグループ会社に適用しています。各グループ会社では、同ルールをもとに、各社の実情にあわせた規程やガイドラインを策定するとともに、教育啓発活動を実施しています。また、各グループ会社の取り組み状況については、同ルールに基づいた定期的な点検によって確認し、必要に応じて施策の改善や見直しを行っています。

2018年も国内グループ会社20社、海外グループ会社17社を対象に、情報セキュリティ点検を実施しました。

また、情報セキュリティインシデントについては、対処のための専門チームCSIRT(シーサート)を2015年にキヤノン(株)情報通信システム本部内に設置しました。同時に、日本シーサート協議会(NCA)に加盟し、他社CSIRT組織との連携強化を図っています。

  • CSIRT:Computer Security Incident Response Teamの略。コンピューターセキュリティにかかる事件・事故に対処するための組織の総称。

情報システムセキュリティ対策

キヤノンは、情報セキュリティの三要素といわれる「機密性」「完全性」「可用性」※1を保持するための施策に取り組んでいます。

「内部からの情報漏えい対策」として、最重要情報はセキュリティを強化した専用のシステム内に保管し、アクセス制限や利用状況を記録することを徹底しています。また、出張先から自社の情報資産に安全にアクセスできる環境を構築した上で、メールのファイル添付送信やPC・記録メディアの社外持ち出しを制限しています。

また、「外部からのサイバー攻撃対策」として、マルウエア※2などが添付された不審メールの侵入監視、社内からインターネットへの不正通信の監視を実施し、攻撃被害の拡大防止に努めています。

さらに、「ラグビーワールドカップ2019TM日本大会」「東京2020オリンピック・パラリンピック」の開催に伴い想定されるグローバルサイトのサイバー攻撃対応といったリスクを低減するための対策を2018年より開始しました。

  • ※1 機密性:許可された者だけが情報にアクセスできるようにすること。
    完全性:情報や処理方法が正確で、改ざんされないよう保護すること。
    可用性:許可された者が必要とする時に情報にアクセスできるようにすること。
  • ※2 マルウエア:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエア。(コンピューターウイルス、ランサムウエアなど)

生産設備のセキュリティ対策

キヤノンは、マルウエアやサイバー攻撃によって工場の生産設備に稼働障害が発生し、生産計画に問題が生じることがないよう、生産設備のセキュリティ対策に取り組んでいます。

従来、サイバー攻撃の対象は企業の業務システムやWebシステムなどの情報システムが主体でしたが、生産設備においても汎用OSの利用やネットワーク化が進み、情報システムと同等の情報セキュリティリスクが生じています。さらに、生産設備の稼働期間は、汎用OSのサポート期間よりも長期にわたり、情報システムとは別のセキュリティ対策が必要となりました。そのため、2017年はキヤノン(株)、国内グループ生産会社の生産設備の状況調査を行い、重要設備のセキュリティ点検を実施しました。また、重要生産ラインにおいては生産設備系ネットワークの不正通信監視を開始しました。

2018年は、海外グループ生産会社においても同様の生産設備のセキュリティ点検を実施しました。

従業員の意識の向上をめざす情報セキュリティ教育

キヤノンは、情報セキュリティの維持・向上のため、情報システムの利用者である従業員の意識向上にも注力しています。

定期入社者、中途入社者ともに集合教育を通じてキヤノンの情報セキュリティに関する施策やルールの徹底を図っています。また、毎年、全従業員を対象として、eラーニングによる情報セキュリティ研修を実施しています。

2018年はキヤノン(株)の従業員全員の約2万5,000人が受講しました。研修の内容は、不審メール受信時の対処やメールの誤送信防止確認、情報インフラを利用する際の注意点など、従業員の情報セキュリティリテラシーを向上させるものとなっています。また、キヤノン(株)、グループ会社ののべ7万8,000人の従業員に対し、不審メールを受け取った際に適切に対処し被害を拡大させないための実践教育として標的型攻撃メール対応訓練も実施しています。

  • 情報セキュリティリテラシー:セキュリティ対策を実行する時に知っておくべき知識やスキル。

個人情報の保護

キヤノンは、個人情報を重要な資産と認識し、社会的責務としてその保護に努めています。

キヤノン(株)では、「個人情報保護方針」「個人情報保護規程」をはじめとした個人情報を保護するルールを整備し、定期的に監査や教育を実施し、情報漏えいを防止する運用体制を構築しています。

2015年からは、この活動の対象範囲を各グループ会社にまで拡大し、グループ一元管理体制を整えました。その結果、2018年もキヤノングループ全社で個人情報に関する紛失、漏えいなどについて重大な事例はありませんでした。また、顧客のプライバシーの侵害に関する不服申し立てはありませんでした。

日本国内で2016年から導入されたマイナンバーの取り扱いに関しても、国内グループ全体で「マイナンバー取扱規程」や「マイナンバー取扱細則」および詳細な取り扱い手順書を制定し、これに従って適切な管理を行っています。特に物理的・技術的安全管理措置については法令より厳しい基準を設定し、IT部門と連携して取り組んでいます。また、2018年5月に施行されたEU一般データ保護規則(GDPR)に関しても、キヤノン(株)では、施行の約1年前から対応を開始し、体制の整備や遵守ルールの制定・運用を進めました。

  • GDPR:General Data Protection Regulation

災害時のための事業継続計画

インフラ被災リスクへの対応

キヤノンは、万が一の災害に対しても事業を継続できる体制を整備することを、企業としての重大な社会的責任の一つだと考えています。こうした認識のもと、事業継続計画(BCP)※1や「キヤノングループ防災行動指針」の策定をはじめ、旧耐震基準の建築物の改修や地域との防災協定締結、情報収集・報告体制の整備など、災害時の事業継続対策を推進しています。

特に、下丸子本社では、キヤノングループの世界本社という重要性を考慮し、全館建て替え、危機管理対策室の整備、自家発電設備・燃料・装備品・備蓄品などの整備を進めたほか、通信設備の多重化も実施してきました。情報システムのバックアップとしてディザスターリカバリーセンター※2を設置することで、災害時も基幹システムが安全に作動できる体制を整備しています。

国内グループ会社の全拠点においても、建物の改修や非常時通信設備の整備、非常時対応体制の整備を進め、従業員に対しては実践的な防災訓練などを通じて災害時対応に関する意識啓発を図っています。また、各拠点のさまざまな場所に設置したキヤノンの監視カメラのデータを利用し、災害時には本社から各拠点の被災状況を迅速に把握できる体制を整えています。さらに、自然災害や火災から早期に人命の安全を確保するとともに、二次災害を防止し会社資産を保護することを目的とした担当者マニュアルを整備。各グループ会社でも、立地する地域の災害リスクに応じて、スムーズな復旧をめざす地域版マニュアルを策定しています。このマニュアルに基づき、2018年は、39拠点にて有事対応シミュレーション訓練を実施しました。

  • ※1 事業継続計画(BCP):Business Continuity Planの略。災害や事故などの際にも最低限の事業を継続し、短期間で復旧できるよう策定された行動計画。
  • ※2 ディザスターリカバリーセンター:災害によるシステム停止に備えて、システム内のデータをバックアップするための施設。

適正な納税の履行

世界中で事業を展開するキヤノンにとって、事業活動を行う国・地域において納税義務を適正に履行することは、企業が果たすべき最も基本的かつ重要な社会的責任の一つです。こうした認識のもと、税務処理にあたっては、以下の原則を遵守し、2018年も大きな影響を与える罰金などの制裁措置は受けていません。

  1. 税務関係法令に従い、適正に納税する。
  2. 税務に関係ある会計処理およびその関連措置については、常に遺漏のないようにし、適法な税務管理を行う。
  3. 税務に関するガバナンス体制を整備し、税務コンプライアンス意識の向上に努める。
  4. 国際税務に関する国際社会共通のルール(経済協力開発機構/国際連合が定めるガイドラインなど)を尊重し、各国の税務関係法令に準拠する。

法人税等

2014 2015 2016 2017 2018
税引前当期純利益に対応する税額(億円) 1,180 1,161 827 980 962
税引前当期純利益に対する実効税率(%) 30.8 33.4 33.8 27.7 26.5