今回、ピックアップした有価証券報告書は、株式会社リクルートホールディングス(以下「リクルート」)です。リクルートは有価証券報告書を一新しました。情報が整理されており、一見して読みやすい!との印象です。22年4月からの新市場区分でのプライムに向けて、徹底した開示を要求を充足させるべく、その準備が着々と進んでいる報告書です。特に、私が着目している「事業等のリスク」の開示についても、これまでとはガラッと変えてこられています。今回も、「事業等のリスク」の記載を中心にご紹介していきます。
「事業等のリスク」
リスクマネジメント体制
まずリスクマネジメント体制を簡潔に説明されています。ルール、組織、運営の仕組みがわかりやすく、今回、はじめてリスクマネジメント体制図が記載されています。
https://recruit-holdings.co.jp/ir/library/upload/report_202103Q4_sr_jp.pdf
リスクマネジメント本部担当部門を所管する取締役兼執行役員がキーマンです。当該役員から日本と海外のリスクマネジメント本部を統括します。さらに、リクルートはグループ会社数が多く、ビジネスセグメントも多岐にわたることから、SBU(戦略ビジネスユニット)との枠組みでリスクマネジメントを行っています。
2つのリスクマネジメント委員会
リクルートでは、「リスクマネジメント委員会」と「SBUリスクマネジメント委員会」の2段階でのリスクマネジメント委員会を設置しています。グループ会社が多数かつセグメントが多岐に分かれる会社に、よく提案をさせていただくのですが、やはりセグメントに分けてリスクマネジメントを行わないと、実際にはその管理は極めて困難です。
リクルートもグループ会社が300社を超えており、一つのリスクマネジメント委員会ではなく、SBUというビジネスユニットごとにリスクマネジメントを行う仕組みを導入されています。
グループ会社を多数抱えておられる会社からご相談を受けた際、セグメントごとのリスクマネジメント委員会の設置と運営を提案させていただくことが多いです。どうしても一つの委員会で管理しようとすると、委員会が空転することが多く、リスクの抽出、評価も無理があるので、リクルートの手法は非常に効果的です。
「グループトップリスク」の設定
これは驚きました!リクルートは、これまで事業等のリスクを一列に並べて開示されてきました。今回の報告書では、「特に注力が必要である」と考えているリスクを、「事業等のリスク」の箇所の冒頭に1ページを使って開示されています。
当社グループのトップリスクと主な対応策
(株式会社リクルートホールディングス 2021年3月期有価証券報告書)
当社グループの財政状態、経営成績及びキャッシュ・フローの状況(以下「経営成績等」)に影響を及ぼす可能性のあるリスクのうち、当社 の取締役及び執⾏役員が特に注⼒して対応が必要であると認識するグループトップリスクとそれに対する主な対応策は以下のとおりです。 このリスクについての詳細な説明は、本項⽬「(3) 当社グループの経営成績等に影響を与える重要なリスク ⑩データセキュリティ・データプライバシーに関連するリスク」をご参照ください。
グループトップリスク
データセキュリティ・データプライバシーに関連するリスク
リスク認識
当社グループでは、すべてのSBUにおいて、多くの個⼈ユーザーの情報を含む個⼈情報を取得、管理、活⽤をしています。各国法令を遵守することはもちろん、社会からの期待に反せず個⼈ユーザーのプライバシーを尊重し、保護することが責務であると考えています。
万が⼀でも個⼈情報に関する事件事故が⽣じた際には、個⼈ユーザーの皆様に多⼤なご迷惑をかけるだけでなく、当社グループのブランドの価値及び信⽤やサービスへの信頼を⼤きく棄損し、また、当局から業務停⽌命令、罰⾦その他の処分を受けることや、個⼈ユーザー⼜は企業クライアントから訴訟を提起されること等により、当社グループの経営成績等に甚⼤なダメージが⽣じかねないと認識をしています。
そのためデータセキュリティ・データプライバシーに関連するリスクの取扱いは、当社リスクマネジメント委員会及び各SBUのリスクマ ネジメント委員会においてトップリスクと認識し、様々な対策を実施しています。
https://recruit-holdings.co.jp/ir/library/upload/report_202103Q4_sr_jp.pdf
主な対応策(注)
(株式会社リクルートホールディングス 2021年3月期有価証券報告書)
当社グループ全体の対応策として、保有するデータを重要性に応じて分類し、事業内容・国や地域ごとの法規制や保護すべき 情報資産の特性に応じて必要な体制や施策を整備しています。例えば、不正アクセスの検知、ウイルス感染の検知と遮断や、 調査に備えた通信・アクセスの記録、定期的な脆弱性検査等を実施しています。
https://recruit-holdings.co.jp/ir/library/upload/report_202103Q4_sr_jp.pdf
International(海外)における対応策例
データプライバシーに関しては、欧州連合(EU)の「欧州連合⼀般データ保護規則」や⽶国カリフォルニア州の「California Consumer Privacy Act」をはじめとする各地域・国の法規制への対応をしています。データセキュリティに関しては、SBU ごとに事業内容やリスクの特性に応じてNISTやISO、CIS20等、参照する基準を設定し、業界で求められる⽔準を満たすレベルでの対応策を実施しています。Japan(⽇本)における対応策例
(株式会社リクルートホールディングス 2021年3月期有価証券報告書)
データプライバシーに関しては、パーソナルデータ指針の制定やプライバシーセンターの設置等の対応をしています。データセ キュリティに関しては、「Recruit-CSIRT」等セキュリティに関する専⾨部署を設置し、被害の最⼩化、早期検知、未然防 ⽌に関する各施策を実施しています。 なお、当社グループにおいては、上記施策の実施に当たり、会社ごとに導⼊の是⾮及び取組みの優先順位を検討の上、進めています。
https://recruit-holdings.co.jp/ir/library/upload/report_202103Q4_sr_jp.pdf
私の推察ですが、やはり、2019年8月に問題となったリクルートキャリアにおける、いわゆる「内定辞退率」問題のデータ提供の問題を意識されているのではないかと考えています。個人情報、プライバシー情報の不適切な活用や情報漏洩などの問題は企業評価に直結するダメージを与えます。特に、多くの個人情報、プライバシー情報を抱えるリクルートにおいては、そのリスクに対する感度を徹底して高める必要があり、その対応策を徹底することを改めて説明されています。「トップリスク」として明示し、再発防止を意識され、二度とデータセキュリティーに関する問題は発生させない、という強い企業としてのメッセージを感じる開示といえます。
参考になる網羅的なリスク項目の設定
トップリスクの開示以外のリスクについては、一覧として、リスクの項目、対応策、影響度という観点で端的に開示を行っておられます。参考となるのは、リスク項目の列挙です。リクルートが設定されているリスク項目は、どの企業にもあてはまるものであり、この項目をみれば基本的には網羅的にリスクを押さえられるのではないかと思います。
当社グループの経営成績等に影響を与える重要なリスク⼀覧
(株式会社リクルートホールディングス 2021年3月期有価証券報告書)
項番 リスク名称
① 新型コロナウイルスに関するリスク
② 景気の動向等のマクロ環境に関するリスク
③ 競合に関するリスク
④ 個⼈ユーザー・企業クライアントのニーズの変化に関するリスク
⑤ 技術⾰新によるリスク
⑥ 事業戦略に関するリスク
⑦ 買収・投資活動等に伴うリスク
⑧ グローバル展開に伴うリスク
⑨ ⼈材確保・労務環境リスク
⑩ データセキュリティ・データプライバシーに関連するリスク
⑪ 情報システムに関するリスク
⑫ 当社グループが提供するアプリケーションの⽋陥等によるリスク
⑬ 法規制に関するリスク
⑭ 訴訟等によるリスク
⑮ 当社グループのブランド・社会的信⽤に関するリスク
⑯ 外部事業者への依存に関するリスク
⑰ 広告・マーケティング活動に関するリスク
⑱ ⾃然災害、感染症の伝染及び有事に関するリスク
⑲ 資産の減損等に関するリスク
⑳ 税務に関するリスク
㉑ 為替変動リスク
㉒ 資⾦調達リスク
㉓ 経営指標、財務⽅針等に関するリスク
㉔ 株価変動に関するリスク
https://recruit-holdings.co.jp/ir/library/upload/report_202103Q4_sr_jp.pdf
上記24項目は一般的なリスク項目であり、各項目につき、詳細に記載されているというよりも、一般的な開示といえます。今回の報告書では、やはり「トップリスク」という設定は衝撃的でした。自社の過去の問題に真摯に向き合い、再発防止を徹底する企業姿勢を伺うことができました。東証のプライム市場区分への変更は、有価証券報告書の記載に多大なる影響を及ぼしています。これからも引き続き色んな有価証券報告書をご紹介していきます。
