リスク管理

基本的な考え方

当社は、事業環境に潜在する複雑かつ多様なリスクの特定・評価を的確に行い、必要な予防措置及びリスク最小化に資する体制を整えることに力を注いでいます。具体的には大規模な自然災害や疫病の流行などへの備えに加え、経済・社会情勢、法規制などの経営環境変化のリスク、探鉱・生産・輸送・販売など事業の各工程に存在するリスクへの対処などが挙げられます。なお、 当社は、COSO¹の枠組みをベースとした日本版SOX 法における内部統制を整備するとともに、各事業本部では労働安全衛生と環境保全に関するリスク管理をHSE²マネジメントシステムで運用しています。また、原油価格、為替の変動による影響を分析し、決算説明資料で開示しています。

¹ The Committee of Sponsoring Organizations of the Treadway Commission: 米国トレッドウェイ委員会組織委員会

² Health, Safety and Environment: 健康・安全・環境

リスク管理体制

当社は、事業運営に伴うリスクを適切に把握・管理するリスク管理体制の継続的な改善に努めています。損害の発生・拡大を未然に防止する体制を確立し、顧客、取引先、投資家などステークホルダーからの信頼の維持・強化を図り、企業価値の最大化を目指します。

当社は、業務の効率的運営及び責任体制確立のため、取締役などを本部長とする本部制を採用しています。したがって、まず本部などの各担当部門が、社内規程・ガイドラインなどに基づき緊密に連携した上で、リスクの特定・分析・評価を実施しています。このうち個別プロジェクトにおける主要リスクは経営会議に加え必要に応じて取締役会にも報告され、当該リスクへの対処方針を総合的に検討・決定しています。例えば、上流事業における権益取得や開発計画策定などの意思決定に際しては、経済性評価及びリスク評価に係るガイドラインに基づき、主要リスクの特定・分析・評価をしています。日常業務に係るリスク管理体制の運営状況については、各担当部門における継続的モニタリング及びコーポレート部門などとの連携に加え、社長直属の独立した内部監査組織による監査、あるいは社外専門家による監査を通じ、定期的に検証・評価しています。これを各担当部門にフィードバックすることで、状況の変化に応じた日常業務に係るリスク管理の見直しを行っています。

また、中期経営計画などを実現するため、中長期の目標から落とし込む形で各部署の年度の目標を定めた年度計画に、特定した重要なリスクとその対処方針を含めた上で経営会議において決議しています。各部署は係るリスクとその対処方針に留意しつつ、目標達成へ向けた取組みを推進し、各年度の中間期及び期末にはその進捗状況のレビューを実施しています。

子会社におけるリスク管理については、グループ経営管理規程に基づき、当社各社の相互の連携の下、当社全体のリスク管理を行っています。具体的には、子会社に対して当社の社長直属の内部監査組織による監査や、その他社内担当部署あるいは社外専門家による監査などを通じ、子会社の日常業務に係るリスク管理の運営状況などを検証・評価するとともに、こうした検証・評価の結果を踏まえて、子会社に対して環境の変化に応じて見直しを求めています。当社は「監査法人の評価及び選定に関する基準」を制定しており、本基準では、監査役会が監査法人の品質管理、独立性、監査報酬などについて評価することを定めています。監査役会はこの基準に基づき毎年監査法人の評価を実施しています。

リスク管理体制図

事業のリスク

当社グループの事業展開上のリスク要因となる可能性があると考えられる主要な事項は以下の通りです。また、必ずしも事業上のリスクに該当しない事項についても、投資家の投資判断上重要と考えられる事項については、投資家及び株主に対する情報開示の観点から積極的に開示しております。なお、以下の記載は、当社グループの事業上のリスクをすべて網羅するものではありません。

1. 石油・天然ガス開発事業の特徴及びリスク
   • 災害・事故・システム障害などのリスク
   • 探鉱・開発・生産に成功しないリスク
   • 生産量の特定地域及び鉱区への依存度
   • 契約期限などに関するリスク
   • 原油、コンデンセート、LPG及び天然ガスの埋蔵量
   • オペレーターシップに関するリスク
   • 共同事業に関するリスク
   • 石油・天然ガス開発事業には巨額の資金が必要となり資金回収までの期間が長いことに起因するリスク
   • 将来の廃鉱に関するリスク
     
     
2. 原油価格（油価）、天然ガス価格、外国為替、及び金利の変動が業績に与える影響
   • 油価、天然ガス価格の変動が業績に与える影響
   • 外国為替の変動が与える業績への影響
     
     
3. 気候変動に関するリスク
   • 政策・法規制リスク
   • 技術及び市場リスク
   • 物理的リスク
   • 資金調達リスク
     
     
4. 海外事業におけるカントリーリスク

事業リスクの管理

事業に関連するさまざまなリスクに対処するため､個別のプロジェクトにおける対応として､経済性評価及びリスク評価に係るガイドラインを導入し､主要リスクを認識した上で､新規プロジェクトの取得に際して採否の分析・検討を行うとともに､リスク対応を行っています｡既存プロジェクトについても､各フェーズにおける技術的な評価などを組織横断的に行うための仕組みとして｢INPEX Value Assurance System(IVAS)審査会｣を運営するとともに､原則最低年1回は経済性評価とリスク評価を実施し､そのうち､主要プロジェクトについては毎年取締役会にリスク評価結果の概要を報告しています｡

当社事業全般に係るリスク対応として､大規模な事故や災害などによる緊急事態に対応できる能力を高めるため､緊急時・危機対応計画書を作成するとともに､平時より緊急時対応訓練を定期的に実施するなど､積極的にリスク管理に努めています｡また､重要な業務を停止させないために事業継続計画（BCP: Business Continuity Plan )を策定し､適宜見直しを行っています｡

HSEリスクに関しては､新規プロジェクトも含め、当社の事業活動における継続的な改善活動を推進するため､HSEマネジメントシステムで定めるHSEリスク管理要領に基づき､事業ごとにHSEリスクの特定・分析・評価を行っています｡さらにノンオペレータープロジェクトについても､各プロジェクトのリスクに応じたHSE関与を推進しております｡

原油・天然ガス価格､為替､金利､及び有価証券価格に関しては､各変動リスクを特定し､それらの管理・ヘッジ方法を定めることで財務リスク管理を行っています｡カントリーリスクに関しては､事業を行う国や地域のカントリーリスク管理に係るガイドラインを制定し､リスクの高い国には累積投資残高の目標限度額を設定するなどの管理を行っています｡このほか､リーガルリスクについては､リーガルユニットを独立した組織とすることで､重要な契約や訴訟等について､事業部門及び経営陣へ適切に法的助言ができる体制を整備し､また、国内外の事業への法務サポート機能を充実させております。

また､情報セキュリティに関する取組みは以下のとおりです。

当社では､保有している情報の機密性､完全性及び可用性の維持に向けて､｢情報セキュリティ基本方針｣を､個人情報の保護のために｢個人番号及び特定個人情報の適正な取扱いに関する基本方針｣を､定めています｡さらに､全社統括組織として設置された情報セキュリティ委員会のもと､関連する諸規程の制定や管理体制の整備､情報資産を守るために必要なシステム的・物理的・人的な対策を計画的に講じています｡同委員会は通常年2回開催され、経営会議の構成員である資材・情報システム本部長を委員長とし、総務本部、経営企画本部、財務・経理本部、技術本部、上流事業開発本部の各本部長と、リーガルユニットのジェネラルマネージャーから構成されています。同員会での決議事項は､経営会議へ報告され､同会議での審議を経て､その結果は必要に応じて取締役会に報告されます｡

情報セキュリティに関する戦略及び施策は､毎年の予算審議時に､経営会議での決議を経て策定されています｡内部からの情報漏えい対策として､システム的な対策だけでなく､毎月発行される｢情報セキュリティニュース｣に加え､定期的なeラーニングや標的型メール訓練などを通じて社内の情報セキュリティ意識を高め､｢情報資産｣を大事にする価値観や風土を会社文化として根付かせるための活動を実施しています｡また外部からの攻撃を検知、防止するシステム的な対策に加え､インシデントの速やかな対処・是正のため24時間365日体制の監視を行い、また対応組織としてCSIRT（Computer Security Incident Response Team: シーサート）の構築・運用を行っております。さらに、定期的に外部のセキュリティ専門ベンダーによるアセスメントを実施しています。

内部のセキュリティアセスメントとしては、国内の子会社及び海外事業拠点におけるセキュリティアセスメントを実施しております。2023年度は制御システムセキュリティ基準（国際規格 IEC62443）に従い、 当社国内操業拠点における制御系システムを中心としたセキュリティ対策状況のアセスメントを実施しました。

なお、2023年度において、外部へ公開すべき重大なサイバー攻撃が原因で発生したインシデントの件数は0件でした。

2023年度は､昨年度同様グループ内の情報セキュリティ意識向上のために､標的型メール訓練を2回実施し､eラーニングを1回実施しました｡

情報セキュリティ基本方針

個人番号及び特定個人情報の適正な取り扱いに関する基本方針

リスクマップ

事業展開上の主要なリスクは下記カテゴリーで分類し、基本的な対応策を設定しています。また、事業戦略における既発現のリスクを含む具体的かつ最新のリスクについて、リスクマップを用いて、事業と業績に与える「発生可能性」と「影響度」の観点から分析し、緊急度や影響度に応じた対応方針を設定の上、速やかに対策に着手しています。