損害保険ジャパン株式会社 事業等のリスク (2025年3月期)

有価証券報告書に記載した事業の状況、経理の状況等に関する事項のうち、経営者が当社グループの財政状態、経営成績およびキャッシュ・フローの状況(以下「経営成績等」といいます。)に重大な影響を及ぼす可能性があると認識している「主要なリスク」および「当該リスクの管理体制・枠組み」は、以下のとおりであります。なお、文中の将来に関する事項は、本有価証券報告書提出日現在において当社グループが判断したものであります。

親会社であるSOMPOホールディングス株式会社(以下「SOMPOホールディングス」といいます。)および当社は、当社が2023年12月に不適切な保険料調整行為等の問題により金融庁から受けた業務改善命令、ならびにSOMPOホールディングスおよび当社が2024年1月に自動車保険金不正請求等への対応に関する問題により金融庁から受けた業務改善命令を踏まえ、問題の真因を分析の上、再発防止に向けた取組みを進めております。
そのような中、当社が保険契約情報等の不適切な管理に関する問題により2025年3月24日付けで金融庁から業務改善命令を受けたことを厳粛に受け止めるとともに、今後、このような問題を二度と起こさないために、業務改善計画を着実かつスピード感をもって実行し、全てのステークホルダーの皆さまからの信頼を1日も早く取り戻せるよう、取り組んでまいります。
パーパスの実現やその礎となる企業文化の変革、人材育成、さらにはガバナンスの実効性を高めるための態勢強化等につきましては、グループの不断の取組みを今後も継続してまいります。SOMPOホールディングスおよび当社に対する行政処分への対応等は、「第2 事業の状況 1 経営方針、経営環境及び対処すべき課題等」に記載のとおりであります。

(1) 主要なリスクの管理体制・枠組み

① SOMPOグループのリスク管理の全体像

SOMPOグループのリスク管理の枠組みである戦略的リスク経営(ERM)は、経営における高性能な『羅針盤』として、次の「3つの機能」を強化・高度化し、損失を未然に回避するだけでなく、新規事業投資などの機会損失を低減させることで、当社グループを最適な方向に導く取組みを実施しております。

ア. グループが置かれた現在地を正確に把握(現状の多面的な分析) イ. 将来起こりうるリスクを敏感に察知(重要なリスクの的確な把握と対策) ウ.グループが取るべき航路を提示(最適な事業ポートフォリオの提示)

戦略的リスク経営(ERM)は、資本・リスク・収益のバランスを取りながら企業価値の最大化を図る一連の経営管理プロセスとして「戦略執行に係るリスクテイク」と「経営基盤の安定に資するリスクコントロール」の2つの側面を持っております。リスクテイクの側面では、リスクアペタイトフレームワークを中心に資本・リスク・収益に関する分析を重要な経営判断に活かし(上記ウ)、リスクコントロールの側面では、SOMPOグループを取り巻く多様なリスクを特定、分析、評価する仕組み(リスクコントロールシステム)を活用して(上記ア、イ)、不測の損失の極小化と利益の安定を目指しております。

② リスクコントロールシステム

当社グループは、SOMPOグループのリスクコントロールシステムに沿った「重大リスク管理」の枠組みで当社グループを取り巻く重大リスクを網羅的に特定し、定性的・定量的な評価を行っております。
定量化が可能なリスクについては「自己資本管理」「ストレステスト」「リミット管理」「流動性リスク管理」の枠組みで自己資本、流動性などに与える影響を様々な定量指標により分析・評価し、財務健全性およびその向上に必要なリスクコントロールの施策に関する経営論議を行っております。

ア.重大リスク管理

当社は、「事業に重大な影響を及ぼす可能性があるリスク」を「重大リスク」と定義し、事業の抱えるリスクをボトムアップのリスクアセスメントと、取締役会等によるトップダウンでの確認・議論を通じて網羅的に把握・評価しております。リスク評価の実施にあたっては、経済的損失や業務継続に加えて、お客さま、社会などのステークホルダーの観点でのレピュテーション影響を重視するように基準の明確化を図っております。
重大リスクは、お客さまからの苦情など現場から集められた声を踏まえた上でリスクアセスメントを実施し、社外有識者の見解なども参考にしたうえで、複層的な目線で網羅的にリスクを把握し、選定しております。また、重大リスクが当社に及ぼす影響を具体的なシナリオで想定した上で、発生可能性および影響度でリスクを定性・定量の両面から評価し、管理状況を年2回以上、経営会議・取締役会で確認・議論を行っております。
管理態勢の強化が必要なリスクについては、管掌する役員等が対応策を実施する体制としております。
また、現時点では具体的な影響シナリオの想定に基づく評価は困難であるものの、環境変化などにより新たに発現または変化し、今後、当社グループに大きな影響を及ぼす可能性のあるリスクを「エマージングリスク」と定め、重大リスクへの変化の予兆を捉えて適切に管理しております。エマージングリスクの選定については、官民の各種情報を将来大きな影響をもたらす可能性のある変化の兆候などの観点から収集・分析し、リスク候補をリストアップしたうえで、その中から重要性を踏まえてリスクを選定しております。

イ.自己資本管理

当社グループが保有する保険引受リスク、資産運用リスクおよびオペレーショナル・リスクを定量化したうえで、自己資本がリスク量と比べて充分な水準を維持できるよう管理を行っており、必要に応じ対応策を実施する態勢を整備しております。

ウ.ストレステスト

当社グループの経営に重大な影響を及ぼし得る事象を的確に把握・管理するために、「シナリオ・ストレステスト」「リバース・ストレステスト」および「感応度分析」を実施し、資本およびリスクへの影響度を分析して、必要に応じ対応策を実施する態勢を整備しております。また、2025年3月末時点で、当社の想定するストレス下においても十分な資本を有していることを確認しております。

シナリオ・ ストレステスト	大規模な自然災害や金融市場の混乱など、経営に重大な影響を及ぼすストレスシナリオが顕在化した際の影響を評価し、資本の十分性やリスク軽減策の有効性検証などに活用することを目的として実施しております。なお、環境変化などに適切に対応するため、ストレスシナリオの妥当性を定期的に検証しております。
リバース・ ストレステスト	リスク許容度などに抵触する具体的な事象を探索することで脆弱性を特定し、あらかじめ具体的なストレス事象を想定した対策を検討することを目的として実施しております。
感応度分析	主なリスク要因の変動が資本とリスクに与える影響を把握するとともに、内部モデルが算出した理論値と実績値との比較を行い、内部モデルの妥当性を検証することを目的として実施しております。

エ.リミット管理

特定事象の発現により多額の損失が生じることを回避するため、与信リスク、出再リスクについてはSOMPOホールディングスが定めるリミットの範囲内の個社リミットを設定し、自然災害リスクについてはSOMPOホールディングスが定めるリミットに基づき、リミットを超過した場合には対応策を実施する態勢を整備しております。なお、2025年3月末時点で各リスクを適切にコントロールできていることを確認しております。

オ.流動性リスク管理

日々の資金繰り管理のほか、巨大災害発生時などの最大資金流出額を予想し、それに対応できる流動性資産が十分に確保されるよう管理しており、2025年3月末時点で当社に最大の資金流出をもたらすシナリオに対しても、十分な流動性資産を有していることを確認しております。

(2) 主要なリスク

① 重大リスクおよびその発生可能性・影響度の評価

経営者が当社グループの経営成績等に重大な影響を及ぼす可能性があると認識している「主要なリスク」は、当社グループが定義する「重大リスク」であります。重大リスクおよびその発生可能性・影響度の評価は、下記のとおりであります。

	影響度(※)					発生可能性
	経済的損失	業務継続性	レピュテーション毀損
極大	5,000億円以上	事業免許の取消し	信頼の極めて大幅な失墜		極大	1年に1回以上
大	2,000億円以上	主要な業務の停止	信頼の大幅な失墜 (信頼回復に5年以上)		大	10年に1回以上
中	100億円以上	一部の業務の停止	信頼の失墜 (信頼回復に2～3年以上)		中	100年に1回以上
小	100億円未満	-	信頼の失墜の可能性は低い		小	100年に1回未満

※影響度は3基準のうち最も大きな評価を適用

② 重大リスクの分類ごとのリスクの概要と対応策の状況

経営戦略リスク

1. 競争環境の悪化・転換、11. 販売戦略リスク、12. 商品・サービス戦略リスク デジタル関連等の異業種からの新規参入や生成AIをはじめとしたデジタル技術進展への対応不十分により競争力・販売戦略・商品サービス戦略の劣化・毀損、シェアリング経済の拡大や国内の人口減少・高齢化等を背景としたマーケット規模の縮小や技術革新に伴う事故の減少による保険ニーズの減少等による当社グループの経営成績等への影響 デジタル戦略、M&A等を実行し、「SOMPOのパーパス」実現へのトランスフォーメーションを進めております。例えば、生成AI活用・データドリブンな意思決定を可能にするワークフローの構築等をはじめとした既存事業の生産性向上や販売戦略の高度化、デジタル技術の活用や、防災・減災・モビリティ領域等における社会課題起点での新商品・サービスを通じた新たな価値創造、それらの実現を支えるデジタル分野の専門人材の採用・育成によるデジタルトランスフォーメーション(DX)を進めております。

2. 大規模景気後退、3. インフレーションリスク 世界経済の減速による収入の大幅減少、急激なインフレ進行による事業コスト・支払保険金の増加を商品・サービス価格に転嫁できない可能性や金融資産の価値下落 世界経済の減速や急激なインフレ変動など、マクロ経済の状況が事業に与える影響を注視し、保険料収入や支払保険金などの適切な見積もりおよびそれを踏まえた施策を講じております。 また、マクロ経済環境の変化は、運用資産の価格変動を通じて当社の資本の状況にも大きな影響を与えるため、発生しうる複数のシナリオを設定したうえで、当社への影響を分析し、対応策を講じております。

4. 地政学リスク 地政学的緊張の高まりによる制裁の応酬や重大事象の発生などによる当社事業への波及的な影響(金融資産価値の下落、支払保険金増大、事業中断など) 外部専門家の知見も活用して、当社に大きな影響を及ぼすシナリオ(市場への影響含め)を調査し、財務的な影響の検証を行い、経営上の影響を見極められるよう注視しております。また、危機発生時の役職員の行動等を示したマニュアルや業務継続計画等を整備し、訓練や自主点検を通じて、実効性のある危機対応体制の維持に努めております。

5. 税制・規制の変更 保険業に係る法規制、監督態勢、金融行政方針等の大幅な変更に対して適切な対応が実施されないリスク(行政処分、イノベーション機会の喪失、事業コストの増大、訴訟に伴う賠償金の支払い、レピュテーション毀損など) 関連法令の改正状況の把握に努め、必要な対応を実施しております。また、「損害保険業の構造的課題と競争のあり方に関する有識者会議」や金融審議会「損害保険業等に関する制度等ワーキング・グループ」における議論等、損害保険業の構造改革に関する動向を適時適切に把握しております。

6. ガバナンス不十分(内部統制の機能不全) ・ガバナンス機能(内部統制システムの整備・運用を含む)の発揮が不十分なことで生じるリスク ・意思決定プロセスなどに対する内部統制システムの機能不全による戦略目標の実現不能、規制からの逸脱、レピュテーション毀損など ガバナンスをより適切に機能させるために、監査等委員会設置会社へ移行したほか、経営会議の諮問機関としての各種委員会の設置、内部統制基本方針に基づく態勢整備などにより、業務の適正を確保するための体制を整備しております。

7. 戦略投資・新事業に係るリスクの見誤り 戦略投資・新事業(デジタル技術関連を含む)に対するリスク評価が不十分なことによる、出資金の毀損、レピュテーション毀損、デジタル技術・システムによる投資対効果不発揮 デジタル戦略・M&Aや大規模システム開発等の大規模投資は取締役会等で妥当性を十分議論して実行しておりますが、環境変化や想定を超える困難などのために期待した成果が得られない可能性があるため、実行後も定期的に所定の基準に基づいて妥当性が失われていないことおよび撤退基準に抵触していないことを確認しております。

8. システム戦略リスク 各種要因によるシステム開発プロジェクトの実現遅延に伴う事業費や業務プロセス改善等の想定効果未実現、または他社との競争力の劣後 大規模システム開発等の大規模投資は取締役会等で妥当性を十分議論して実行しております。また、システム開発の進捗については、システム委員会等で確認しており、必要に応じて、対策を講じております。システム開発プロジェクトの遅延による効果発現の未達や他社との競争力の劣後に対してはリスク極小化を図っております。

9. サステナビリティリスク ・環境問題を含むSDGsに関する企業への社会的要請が高まる中で、脱炭素社会への移行に向けた商品・サービス展開の遅れ等、対応が不十分なことによるステークホルダーからのレピュテーション毀損。気候変動対応に係る規制強化等による化石燃料関連資産の価格下落(座礁資産) ・ビジネスと人権の規範に反する不適切な行為・事象の発生、発生時の不十分な対応によるステークホルダーからのレピュテーション毀損 移行リスクについては、保険引受や資産運用を中心としたグリーントランジションプランを掲げ取組みを進めるとともに、人権リスクに関しては、事業プロセス(バリューチェーン全体)を対象に発生する可能性のある「潜在的な影響とリスク」を特定し、評価を行っております。これらの取組みについては、SOMPOグループにおけるグループCSuOを議長とする「グループサステナブル経営推進協議会」において、状況把握、協議を行い、各役員会議に報告する体制を構築しております。

10. 人的資本リスク ・対話、承認、学び、DEIのカルチャー変革が進まないことにより従業員エンゲージメントや意欲が低下し、「退職者数の増加」や「専門性向上に向けた自律的な学びの停滞」などが発生 ・当社ブランド力の低下や社会的な少子化影響により採用者数が減少 これらにより人材力が低下し、戦略的な人材配置計画が実現できず、業務遂行能力の低下が発生 人的資本のリスクについて、人事制度面では、高度専門人材の充足を目的としたジョブ型人事制度や多様な働き方を実現する制度など、自分自身の人生の意義や目的あるいは働く意義である「MYパーパス」に基づくキャリアを描ける人事制度を構築しているほか、自律的な学びを促進するためのプラットフォームを整備して、その機会を従業員に提供しております。また、採用力の強化に向けて、地域における採用活動の推進を担う採用アンバサダーを設け、全国に配置しております。さらには、人材への投資を拡大し、従業員の専門性向上を図っていく予定であります。

13. パンデミック 人々の生活や産業活動に制約をかけるレベルのパンデミック(世界的な大流行)が発生した場合の当社グループの事業に及ぼす影響(支払保険金増大、世界経済の減速による事業計画の未達、事業中断、金融資産の価値下落など) 新型コロナウイルスのパンデミック時に得た経験を踏まえ、新たな感染症等のパンデミックの発生に備えた業務継続計画を策定し、定期的に訓練を実施するとともに、業務継続計画の有効性の検証を行っております。また、その後の大きな変化から来る機会と脅威に柔軟に対応できるよう、環境変化への注視など続けてまいります。

財務・運用リスク

14. 市場の大幅悪化 ・国内外の有価証券等に幅広く投資しており、株式・為替・金利相場等の変動により、資産の価値が下落した場合の投資実現損や時価評価損の発生、公正価値の下落等による当社グループの経営成績等に影響を及ぼす可能性 ・予定利率(契約時にお客さまにお約束する運用利回り)を設定した契約期間が長期の保険商品を販売しており、金利の低下局面で、実際の運用利回りが予定利率を下回る可能性 ・反対に、金利の上昇局面では、主に貯蓄性商品において、お客さまが予定利率の高い商品に乗り換えることに伴う保険契約の解約が増加する可能性 当社は、保有することで保険取引において公正な競争を阻害する要因となりうる政策株式については、2030年度末を目処に保有残高ゼロとする計画を策定しております。特に2024年度以降は削減ペースを加速させ、着実に残高が減少しており、株式相場下落の影響が低減するよう努めております。また、為替変動の影響については、グループベースで為替リスク量をモニターし、円高により自己資本が大幅に減少するリスクを管理しております。 積立保険の満期返戻金などの長期の保険負債の金利感応度に対しては、長期の投融資を実行することで、資産負債全体の金利感応度を低減させ、実質自己資本に対する金利変動の影響を抑制することに努めております。なお、市場の大幅悪化など、経営に重大な影響を及ぼすストレスシナリオが顕在化した際の影響を定期的に評価しております。

15. 投融資先、出再先の破綻 投融資先・保証保険の保証先の破綻や信用力低下等による金融資産の価値下落・保険金支払、また出再先再保険会社の破綻等に伴う再保険金回収不能による当社グループの経営成績等への影響 投融資先については特定の与信先への集中、また再保険の出再先については特定の再保険会社への集中を回避するため、社内格付に応じたリミットを設定し、当該リミットを超えることがないように定期的にモニタリングを実施して適切に管理しております。

16. 大規模災害時の資金繰り 大規模災害時の資金繰りのために多額の借入れや金融資産の売却等が必要となることによる当社の経営成績等への影響 資金繰りについては、巨大災害時の資金ニーズや金利上昇に伴う解約増加等に対応できる流動性資産が十分確保されるようにして管理しております。また、大規模自然災害発生時に機動的な資金調達を行えるよう、事前に短期資金調達枠を設定しております。

オペレーショナルリスクおよびコンプライアンスリスク

17. 委託先・提携先に関するリスク 代理店等を含む重要な外部委託先の業務遂行能力不足、経営破綻、法令等違反、不適切行為、サービス撤退等により委託業務の継続が困難となる状態の発生および賠償金支払やレピュテーション毀損 SOMPOホールディングスおよび当社は、行政処分の指摘を受けて、「第2 事業の状況 1 経営方針、経営環境及び対処すべき課題等」に記載のとおり再発防止策を進めております。その中でも、コンプライアンスやお客さま保護を重視する健全な企業風土を醸成し、役職員の認識・思考・価値観および行動を変革するために、遵守しなければならない行動原則等の策定を含めた、企業理念体系(パーパス、ビジョン、バリュー、行動規範等)の見直しを行いました。今後さらなる浸透を図るべく周知、教育等を行っていく予定であります。 また、法規制や社会規範および企業倫理に則った適正な企業活動を行うための態勢を整備するだけではなく、不適切事案の具体事例を分析し、共通する課題への対策を実施することなどにより、内部統制システムの実効性向上に努めてまいります。

18. システム障害 ・機器の故障、人為的ミス、情報システムの不備といった内部要因、災害等の外部要因等により、情報システムの停止、誤作動等のシステム障害が発生するリスク発生 ・復旧コストの発生やサービス停止による機会損失、信用失墜による取引等への影響 適切なITガバナンスを確保するため国際標準に沿った管理プロセスを整備しております。各種手順や基準を定めることでシステム障害の未然防止を図るとともに、システム障害等の定期的な分析、事業継続計画(BCP)の整備、平時からの訓練といった各種対策を実施することで、継続的にシステムリスクの低減等に努めております。

19. サイバーセキュリティ ・サイバー攻撃により当社グループまたは代理店・委託先へのセキュリティ侵害が発生し、情報システムの停止、誤作動、不正使用、データ破壊・改ざん、重大な情報漏えい、サプライチェーンの寸断等が発生するリスク ・調査・復旧コストの発生やサービス停止による機会損失、信用失墜による取引等への影響の他、個人情報保護法等の法令違反等の発生 日々高度化・巧妙化するサイバー攻撃に対しては、対応能力を継続的に向上させることが何よりも重要と認識しております。サイバー攻撃に対する管理態勢を整えるとともに、SOMPOグループ全体でサイバーセキュリティ対策(詳細は下記「サイバーセキュリティへの取組み」を参照)に取り組み、対応能力の継続的な向上を図っております。なお、2025年4月21日、当社のウェブシステムに対する第三者による不正アクセスが発覚し、お客さまの情報の一部が外部に流出した可能性があることを認識しました。本件による影響を確認のうえ適切に対応を行うとともに、事案発生を踏まえた管理態勢の見直しを進めてまいります。

20. 生成AIガバナンスリスク 生成AIを組み込んだシステムを開発・活用するにあたり、知的財産やプライバシーの侵害、虚偽情報生成、使用者がAIの判断結果や創作物を過信することにより、結果として誤った判断や風評等を生むリスク AIツール導入の際のリスク評価や開発時のテストを定める規程およびガイドラインなどの策定に取り組んでおります。

21. 重大な事務ミス 料率誤りによる保険料の返戻等の事務ミスにより、大規模な損害、レピュテーション毀損の発生 事務ミスに関する規程を策定し、迅速な報告・対応、真因分析、再発防止策を講じる態勢を整備しております。特に、お客さまへの影響が大きい重大な事務ミスについては、本社関連部で協議のうえ実効的な再発防止策に取り組んでおります。

22. 労務リスク ・退職者の増加や業務量の拡大による労働時間の長時間化、働き方の多様化や管理スパンの拡大により労務管理が行き届かないことなどにより、労働関連法令違反や過重労働に係る訴訟が発生し、健康経営やレピュテーションの毀損、事業停止に及ぶリスク ・パワハラなどの各種ハラスメントを主因とした従業員の心身の不調、生産性低下などによりコスト負担や退職者増加およびそれに伴う人材採用や要員確保の困難な状態の発生 長時間労働等による労務リスクについては、適正な勤怠管理の徹底に向けたモニタリングや研修を実施するなど、リスク極少化に向けた取組みを進めております。 また、ハラスメント行為についても継続的な注意喚起を行うなど撲滅に向けた取り組みを進めております。

23. 機密情報・顧客情報漏えい(サイバー攻撃を除く) 役職員による重大な情報漏えいの発生を起因とした賠償金支払およびレピュテーション毀損 SOMPOグループおよび当社として「SOMPOグループ顧客情報管理基本方針」や「情報管理規程」等を定め、各種の安全管理措置などの管理態勢を整備し、重大な情報漏えい発生の未然防止を図っております。 また、データへの直接アクセス管理、重要データベースへのアクセスに対するモニタリングを行っております。

24. 独占禁止法に関するリスク、25. コンプライアンスリスク ・当社に適用される法規制への違反とこれに伴う課徴金等の支払い ・役職員等による不正行為、外部からの犯罪行為、訴訟に伴う賠償金の支払い ・法令違反、不正行為による当社の社会的信頼および信用の失墜 法規制や社会規範および企業倫理に則った適正な企業活動を行うための態勢を整備するだけではなく、不適切事案の具体事例を分析し、共通する課題への対策を実施することなどにより、内部統制システムの実効性向上に努めております。

26. コンダクトリスク ・当社が提供する商品・サービスや業務慣行と社会やお客さまをはじめとしたステークホルダーの期待との間にギャップが生じることによる企業価値の毀損 ・当社の商品・サービスや個人情報収集、AI活用などに関するガバナンスがステークホルダーの期待を下回るおよび市場の健全性に悪影響を及ぼす可能性 コンプライアンスやお客さま保護を重視する健全な企業風土を醸成し、役職員の認識・思考・価値観および行動を変革するために、遵守しなければならない行動原則等の策定を含めた、企業理念体系(パーパス、ビジョン、バリュー、行動規範等)の見直しを行いました。今後さらなる浸透を図るべく周知、教育等を行っていく予定であります。

事業固有リスク

27. 国内巨大地震、28. 国内巨大風水災 ・大規模な自然災害が発生し、多額の保険金等の支払いが発生することによる、保険引受収支への影響 ・再保険の手配が困難となる等の影響により、リスクアペタイトに沿ったリスク管理が難しくなる状態 自然災害リスクについて、集積が過大とならないよう、グループの資本水準を踏まえたリミットを自然災害種類別に設定し、当該リミットを超えることがないように定期的にモニタリングを実施して適切に管理しております。 また、ストレステストを定期的に行い資本の十分性を確認しつつ、再保険の活用や資本の充実を通じて事業の安定化を図るとともに、自然災害による保険金支払のリスクについて定量的に評価することで、適切な料率設定・商品設計を行っております。

29. 気候変動(物理的リスク) ・気候変動による想定を超える巨大風水災損害(雪・雹災等を含む)の発生、または発生頻度の上昇(国内外)による保険引受収支への影響 ・風水災損害の拡大に伴いマーケットがハード化し、再保険キャパシティが大幅減少することによるリスクの集積および利益安定性の低下 IPCC(気候変動に関する政府間パネル)、NGFS(気候変動リスク等に係る金融当局ネットワーク)などの外部機関の研究成果や、大学等の研究機関と連携して得た科学的知見を踏まえた取組みを進めており、気象・気候ビッグデータを用いた大規模分析によって、台風や洪水、海面水位の変化の影響を受ける高潮の平均的な傾向変化や極端災害の発生傾向について、平均気温が上昇した気候下での長期的な影響を把握するための取組みを行っております。 また、巨大風水災損害が当社に及ぼす影響をコントロールするために、商品改定・引受条件見直しを行っております。

30. テクノロジー巨大災害(サイバー) 大規模なサイバー攻撃等が発生し、多額の保険金の支払いが発生することによる、保険引受収支への影響 リスクモデルによる定量評価に基づくサイバー保険の予想最大損害額を算出し、あらかじめ設定したガイドラインに対する状況を定期的にモニタリングしております。

その他リスク

31. 事業中断 大規模地震等の自然災害、大規模テロ攻撃、新型感染症等のパンデミック、サイバー攻撃等による大規模システム障害等が発生し、本社機能、保険金支払などにおける円滑な業務運営が阻害される状態 当社では、従来から大規模な地震などの自然災害、新型感染症等のパンデミックの発生、サイバー攻撃等による大規模システム障害発生の有事に備えた業務継続計画を策定し、定期的に訓練を実施するとともに、業務継続計画の有効性の検証・改善等に努めております。 また、直近では、「首都直下地震」や「南海トラフ地震」の被害想定に基づく業務継続計画の整備状況の点検や最新の通信手段・電力ファシリティの配備、サイバー攻撃に対する体制整備などを通じ、更なる危機対応力向上へ向け改善を行っております。

32. レピュテーションリスク ネガティブ情報がマスコミ報道・インターネット上の記事等に流布されることによるブランド価値の毀損 レピュテーションリスクについては、当社が定める規程において、ネガティブ情報による信用毀損リスクをコントロールする方法を明確化し、迅速かつ適切に対応することで、影響の抑制を図っております。また、危機発生時に情報開示要否を判断するための基準を作成し、適時適切な情報開示を徹底しております。さらに、不芳情報の報告ルールに基づき、レピュテーション事案を会社として早期に把握する体制を構築しております。

① 基本方針の策定 SOMPOグループでは、サイバーセキュリティへの取組みにより安心・安全な社会を構築することが企業の社会的責任であるとの認識のもと、「SOMPOグループサイバーセキュリティ基本方針」を定め、グループ全体でサイバーリスク管理態勢の整備に努めております。 ② 管理体制 SOMPOホールディングス内にサイバーCoE(Center of Excellence)態勢を構築し、情報処理安全確保支援士やCISSP(Certified Information Systems Security Professional)などのサイバーセキュリティ人材が中心となり、グローバルレベルで実効的な態勢の強化を推進しております。その方針や方向性については、グループCIOをはじめとする関連役員による協議を踏まえ決定しており、特に部門横断での対応が求められるレジリエンスの強化に向けては、関係各部が相互に連携しながら対応にあたっております。

③ リスクの把握と対応計画策定 SOMPOグループでは、グループ各社のサイバーセキュリティ対策状況を定量的にモニタリングし可視化を行う「サイバーメトリックス」を構築しております。サイバーメトリックスは、グループ内の各社から、サイバーセキュリティの管理強度や網羅性に関するデータを集め、それらを統一的に評点化したうえで、ダッシュボード上に視覚的に表示したものです。これにより、各社のサイバーセキュリティ対策状況につき、経営層を含め、共通目線での理解を可能としております。各社の対策状況は、KPIを策定し管理しており、把握した課題に対しては、サイバーCoEや外部コンサルティング会社の知見を活用してPDCAサイクルを通じた改善を継続的に実施しております。 ④ 緊急対応体制・復旧体制 SOMPOホールディングス内にHD-CSIRT(Computer Security Incident Response Team)を組成し、事案発生時の情報連携や意思決定、フォレンジック調査といった有事の際に必要となる各種対応を適時迅速に行えるよう組織的な整備を行っております。 また、マルウェア感染等のインシデントを想定した実践的なサイバーインシデント演習を定期的に実施し、レジリエンスの強化に努めております。 ⑤ 保護対策の実施 SOMPOグループでは、多層防御を前提とした総合的な技術的対策を実施しております。「ゼロトラストセキュリティ」の考えの下、SASE基盤(Secure Access Service Edge)の導入やSOC(Security Operation Center)での監視等により安全性の確保に努めているほか、クラウドの設定ミスを防ぐセキュリティガードレールの適用、インターネット資産の監視と保護を行うサイバーパトロール活動、IT資産を対象とした脆弱性診断、侵入テストの実施といった各種の対策を実施しております。 人的対策としては、SOMPOグループの全従業員を対象にサイバーセキュリティ教育やフィッシングメール訓練を実施し、従業員の倫理観とセキュリティ意識の向上を図っております。また、SOMPOホールディングス内にサイバーセキュリティの研究開発の拠点である「サイバーラボ」を設置し、サイバーセキュリティの知識共有を目的としたイベントや体験型の研修をグローバルレベルで定期的に開催することで、人材の育成と知識、専門性の向上に努めております。 また、サイバーセキュリティ対策はSOMPOグループのみではなく、取引先である代理店や委託先等における対策も不可欠であることから、契約時のセキュリティチェックや定期的なモニタリング等、取引先のセキュリティ対策を意識した取組みを実施しております。