リスクマネジメント・内部統制

リスクマネジメント・内部統制に対する考え方

企業を取り巻くビジネス環境が常に変化する状況において、企業が直面するリスクも多様化・複雑化しています。
KDDIは、会社法に基づき、「内部統制システム構築の基本方針」を取締役会にて決議し、当該方針に従ってリスク管理体制を含む内部統制システムを整備・運用しています。経営目標の達成に対し影響を及ぼす原因や事象を「リスク」と位置付け、リスクマネジメントの強化が重要な経営課題と認識し、事業を継続し社会への責任を果たしていくために、グループ全体でリスクマネジメント活動を推進しています。

KDDIのリスクマネジメント

リスクマネジメント委員会

KDDIは、経営上の重要リスクを一元的に集約して取締役レベルで審議するリスクマネジメント委員会を設置しました。委員長を代表取締役社長、常任委員を取締役・CxOで構成し、重要リスクの特定、対応責任者の選定、対応方針の策定などを行っていきます。なお、リスクマネジメント委員会で審議した内容は、取締役会に付議・報告しています。

リスクマネジメント委員会体制図

なお、リスクガバナンスフレームワークとして、「スリーラインモデル」の考え方に基づいた体制を整備しています。1線は、各現場部門における施策実施に伴うリスクのコントロールを迅速に実行します。またリスク管理の状況を2線へ適宜報告・相談しています。また、リスクマネジメントの責任者であるコーポレート統括本部長は、KDDIグループのリスクマネジメントに関する業務を2線として統括し、その整備、運用状況を、社長、取締役および監査役に報告しています。そして、監査本部(内部監査部)は3線として1線、2線から独立した形で監査を行うとともに、グループ会社の課題の把握と的確なサポートを行い、リスクマネジメントの実効性を高めています。

内部統制責任者体制

リスクマネジメント活動サイクル

KDDIは、会社の危機を未然に防ぐためには、その予兆を把握し、事態が悪化する前に対策を講じることが重要という認識のもと、リスクマネジメント活動のPDCAサイクルを構築しています。また、リスクの発現時には迅速かつ適切な対応がとれる危機管理体制を整備しています。更に全社員向けにリスクマネジメントの基本プロセスを解説するeラーニングを展開し能力向上に努めています。

PDCAサイクル

リスク特定プロセス

KDDIは、リスク情報を年2回以上見直し、会社事業に重大な影響を与えるリスクを重要リスクと位置付け、これらの重要リスクの発現およびその発現した際の影響を可能な限り低減するための対応策を検討し、対策を講じています。またリスクは発生確率、潜在的な影響の大きさ(影響度)の観点から分類して、リスク受容基準(リスクアペタイト)としてKDDI行動指針などを定めております。財務影響との関係から有価証券報告書の「事業等のリスク」にも反映しています。

事業等のリスク

有価証券報告書に記載した事業の状況、経理の状況などに関する事項のうち、経営者が当社グループの財政状態、経営成績およびキャッシュ・フローの状況に重要な影響を与える可能性があると認識している主要なリスクは、以下のとおりです。
また、現時点では必ずしもリスクとして認識されない事項についても、投資家の投資判断上、重要であると考えられる事項については、投資家に対する積極的な情報開示の観点から開示しています。

  1. (1)ほかの事業者やほかの技術との競争、市場や事業環境の急激な変化
  2. (2)通信の秘密および顧客情報の不適切な取り扱いや流出、および、当社の提供する製品・サービスの不適切な利用など
  3. (3)通信障害・自然災害・事故など
  4. (4)電気通信事業などに関する法規制、政策決定など
  5. (5)公的規制
  6. (6)訴訟・特許
  7. (7)人材の確保・育成・労務管理
  8. (8)減損会計
  9. (9)電気通信業界の再編および当社グループの事業再編

リスクレビュー

事業等のリスクとして、特定したリスクと緩和措置の一例は以下の通り。

  特定されたリスク1 特定されたリスク2
名前 通信障害・自然災害・事故などによるサービス停止・中断 電気通信事業などに関する法規制、政策決定など
リスクエクスポージャー ネットワークシステムや通信機器の障害などによるサービス停止が発生した場合、当社グループのブランドイメージや信頼性の失墜、顧客満足度の低下により経営成績などに影響を及ぼす可能性があります。また大規模な誤請求・誤課金、販売代理店の閉鎖や物流の停止に伴う・商品・サービスの提供機会損失、SNSなどの媒体を通じた風評被害などが発生した場合も同様の影響が生じる可能性があります。 電気通信事業をはじめ、電気事業や金融事業などに関する法律、規制の改廃または政策決定などが、当社グループの経営成績などに影響を及ぼす可能性があります。当社グループのブランドイメージや信頼性に影響を与える社会的問題を含め、こうした法規制や政策決定などに対して当社グループは適切に対応していると考えておりますが、将来において適切な対応ができなかった場合には、当社グループの経営成績などに影響を及ぼす可能性があります。また、今後の当社の競争優位性が相対的に損なわれた場合にも、当社グループの経営成績などに影響を及ぼす可能性があります。
緩和策 当社グループは通信障害・自然災害・事故などによるサービスの停止、中断などのリスクを可能な限り低減するため、ネットワークの信頼性向上とサービス停止の防止対策に取り組んでいます。具体的には災害時においても通信サービスを確保できるよう、防災業務実施の方針を定め、災害に備えた対策を図り、国内外の関係機関と密接な連絡調整を行っています。災害が発生した際には、各社組織の各機能を最大現に発揮して24時間365日、通信の疎通確保と施設の早期復旧に努めております。 今後の競争政策の在り方について、総務省などにおける様々な審議会や研究会、意見募集などを通じて、ほかの電気通信事業者などとの公正競争を有効に機能させるための措置の必要性を訴えております。また定期的に各種法律・ガイドラインの改正情報は関係部門で確認し情報を集め、グループ会社含め情報展開をしています。同時に対策検討も行っております。

新興リスク

KDDIが認識する新興リスクの一例は以下の通りです。

  新たなリスク1 新たなリスク2
名前 AI技術に関するリスク 高度化、多様化するサイバー攻撃による情報流出
説明

KDDIグループは既にAIを様々な用途に活用し、DX(デジタルトランスフォーメーション)を推し進めています。例えば、通信設備の管理運用・改善、顧客応対などに活用しています。さらに、KDDIは生成AIなど新規のAIシステムの研究開発にも取り組んでおり、法人のお客さまを始めとした当社パートナー向けにAIシステムを提供する事業なども計画しています。
しかし、近年のAI技術の爆発的発展に伴い、開発者・利用者がAIの挙動を予想し制御することが困難になりつつあり、AI技術による新たなリスクが顕在化してまいりました。大きく分けて以下3つのリスクが考えられます。

  • AIの利用により、個人情報が漏えいする、第三者の著作権を侵害するなど関連法令・規制に違反するコンプライアンスリスク
  • AIの出力・生成物に誤情報や倫理的配慮が必要な内容が含まれるなど不適切であることによって生じるレピュテーションリスク
  • 上記各リスクによって生じる事業機会の損失や損害賠償などの発生によるファイナンシャルリスク
 近年、第三者によるサイバー攻撃などによって、重要な機密情報が外部流出する事故やサービス不正利用が世界的に発生しており、大きな社会問題となっています。これを背景に、当社グループがサービスを展開する各国の政府ではサイバーセキュリティ対策に向けた法整備も進められており、当社はEUの一般データ保護規則(GDPR)などグローバル法制度の対応を実施しています。一方で、サイバー攻撃の手法、形態はますます高度化・多様化が進んでおり、活動もますます活発となっていると捉えています。通信が社会インフラの一つになっており、当社は大量の情報資産を保有していることから、当サイバー攻撃のターゲットとされ被害を受けるリスクを重大なものと認識しています。
インパクト 上記コンプライアンスリスクやレピュテーションリスクは、企業の社会的信用の失墜を招き取引の停止や株価の低下、さらには、訴訟に伴う損害賠償や罰金などのファイナンシャルリスクを招く可能性があります。
また、社会的信用の失墜や損害賠償、罰金などによる影響を受け、KDDIのAIに関する事業計画の遅延や事業展開に支障をきたす可能性があります。		 従業員の故意・過失、または悪意を持った第三者によるサイバー攻撃などにより、通信の秘密および顧客情報の漏洩、サービス停止・サービス品質低下が発生した場合、もしくは、当社の提供する製品・サービスが不適切に利用された場合、当社グループのブランドイメージや信頼性の失墜、補償・課徴金を伴う可能性があります。また、将来的に通信の秘密および顧客情報保護、サイバー攻撃防護体制の整備のため、更なるコストが増加する可能性があり、当社グループの経営成績などに悪影響を及ぼす可能性があります。
緩和策

上記リスクをゼロにすることはできません。しかし、企画構想段階からこれらリスクを意識した設計開発を行うことで、会社として受け入れがたいリスクを持ったシステムやサービスが無配慮にリリースされ、重大事故を起こしてしまう可能性を大幅に抑制することができると考えています。また、リスクを意識した運用を行うことで、問題発生時においても適切な初動により影響を最小化することができると考えています。具体的には、以下のようなリスクの緩和策を講じ、社内で「安心してAIを活用」できる環境の整備を行っています。

  • 【原則・ポリシーの策定】KDDIでは、2021年8月に「KDDIグループAI開発・利活用原則」を策定・公開しています。この原則は、お客さまに安心してKDDIグループのサービスをご利用いただくための「データ利用における基本指針」に沿うものであり、この原則を遵守するための具体的な社内規定として「AI開発ガイドライン」を制定しAIを利活用する際の規範としています。
  • 【体制・プロセスの構築】KDDIでは、「KDDIグループAI開発・利活用原則」ならびに「AI開発ガイドライン」の遵守に向け、2023年よりガイドラインに沿ったサービスの企画開発が行われているかを審査する「AI開発影響評価(AIA)」を実施しています。その実施主体であるAIA事務局は、社内のセキュリティ部門や法務部門と連携しAIAを迅速かつ適切に実施すると共に、AIガバナンスに関する相談窓口となり、事業部と伴走しながら支援をしています。さらに社内規定や運用ルールの適切な更新を行うため、AIガバナンスに関する有識者会議を定期的に開催し、最新の技術動向や法制面の情報共有および議論を行っています。
  • 【テクノロジーの活用】KDDIグループでは、最新の生成AI技術に関する研究も行っており、生成AIによる事実と異なる出力(ハルシネーション)を抑制する技術などを研究開発しています。また、データが持つバイアスを検出する分析手法などの最新技術を積極的に活用することで、AIによる誤りや、人権侵害が起こりにくいサービスの開発に取り組んでいます。
  • 【社員教育】KDDIでは、AIガバナンスに関するeラーニングや教育コンテンツ(全社員向け、グループ会社社員向けなど)を設け、社員一人一人のAIの利活用に関する意識を高めています。さらに、当社のDX事業および社内DXの推進に向けて設立した社内大学「KDDI DX University」において、主にAIを用いたサービスやシステムを開発する社員向けに「責任あるAI」について理解を深める講座を開設しており、専門的な知識の普及にも努めています。
 業務委託先、特に販売店であるau Style/auショップに対しては、定期的な監査、並びに教育を徹底し、管理強化を図っております。さらに、適正な顧客情報の取り扱いを行うために、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価(PIA)の導入などの対応を実施しています。また、サイバー攻撃による事業影響の回避や低減に向け、事業を担うシステムが守るべきセキュリティ対策の基準をセキュリティ規程として定め、規程への準拠状況を審査しています。本審査を、システムの企画から開発への移行フェーズにおいて厳格に実施することで、企画・設計段階からセキュリティ対策を考慮した「セキュリティバイデザイン」を実現するだけでなく、高度なセキュリティ監視を支える技術開発を進め、システムのセキュリティを強化し、安心・安全なサービスの提供に努めています。

内部統制報告制度(J-SOX)への対応

2008年度から適用された金融商品取引法に基づく内部統制報告制度への対応として、財務報告の信頼性を確保すべく、KDDIおよび国内・海外の主要なグループ会社に対して、内部統制評価を実施しています。評価結果については内部統制報告書として取りまとめ、投資家の皆さまに開示しています。

業務品質向上活動

KDDIは、コーポレート統括本部に全社の業務品質向上活動の推進事務局を設置し、各部門の内部統制責任者が推進責任者となり、業務の効率化・標準化を図りながら自律的に業務の品質を高める業務品質向上活動に取り組んでいます。この活動による業務改善案件は全社で共有され、全従業員が自部門の業務品質向上活動に活用できる仕組みを整えています。
また、優秀で意欲的な業務改善案件を表彰する制度を導入しており、従業員一人ひとりの業務品質に対する意識・モチベーションの向上を図っています。

業務品質向上の浸透活動

  • 各部門毎の自律的な目標・推進計画の策定および全社共有
  • 優秀な業務改善案件に対する全社表彰の実施(年1回)
  • 業務品質向上活動に対する意識調査アンケートの実施(年1回)

おすすめコンテンツ

特集 Starlinkと実現する「空が見えれば、どこでもつながる」
特集 Starlink
ニュースリリース
テクノロジー
個人投資家の皆さまへ
ページ上部へ