リスク管理

当社は、サステナビリティ関連を含む事業運営に関するリスクを適切に把握・管理するリスク管理体制の継続的な改善に努めています。損害の発生・拡大を未然に防止する体制を確立し、顧客、取引先、投資家などステークホルダーからの信頼の維持・強化を図り、企業価値の最大化を目指します。

当社は、業務の効率的運営及び責任体制の確立を図るため取締役などを本部長とする本部制を採用しています。これに従い、初めに本部などの各担当部門が、社内規程やガイドラインに基づき緊密に連携した上で、リスクの特定・識別・分析・評価を実施しています。このうち、個別プロジェクトにおける事業上の主要リスクは経営会議にて統合的管理・対処方針の討議・決定が行われます。また、必要に応じて取締役会にも報告され、十分な監督機能が果たされているほか、経営の公正性・透明性の確保がなされています。さらに、日常業務に係るリスク管理の運営状況などについては、社長直属の内部監査部門による監査、その他社内担当部署あるいは社外専門家による監査などを通じ、これを検証・評価するとともに、環境の変化に応じた不断の見直しを行っています。毎年、当年監査する対象部門を選定の上、各担当部署を網羅的に監査できるような運営を行っています。2024年度には情報セキュリティの管理体制に関わる内部監査を実施しました。当監査は、情報セキュリティの領域において専門的な知見を有する当社グループから独立した外部第三者組織のサポートのもと、米国立標準技術研究所（NIST）が策定した国際標準的な枠組み（サイバーセキュリティフレームワーク（CSF v2.0））に照らして当社の情報セキュリティ管理体制が適切かなどを確認することを目的に実施しています。今後も定期的な情報セキュリティに関する監査に向けた検討を進めていきます。

また、中期経営計画などの実現に向け、中長期の目標から落とし込む形で各部署の年度の目標を定めた年度計画に、特定した重要なリスクとその対処方針を含めて経営会議において決議しています。各部署は係るリスクとその対処方針に留意しつつ、目標達成へ向けた取組みを推進し、各年度の中間期及び期末にはその進捗状況のレビューを実施しています。

子会社におけるリスク管理については、グループ経営管理規程に基づき、当社グループ各社の相互の連携のもと、当社グループ全体のリスク管理を行っています。また、当社は子会社に対して社長直属の内部監査組織による監査、その他社内担当部署あるいは社外専門家による監査などに協力するよう求め、係る監査などを通じ、子会社の日常業務に係るリスク管理の運営状況などを検証・評価するとともに、係る検証・評価の結果を踏まえて、子会社に対して環境の変化に応じた不断の見直しを求めています。

当社グループの事業展開上のリスク要因となる可能性があると考えられる主要な事項は以下のとおりです。また、必ずしも事業上のリスクに該当しない事項についても、投資家の投資判断上重要と考えられる事項については、投資家及び株主に対する情報開示の観点から積極的に開示しています。なお、以下の記載は、当社グループの事業上のリスクを全て網羅するものではありません。

事業に関連するさまざまなリスクに対処するため、個別のプロジェクトにおける対応として、経済性評価及びリスク評価に係るガイドラインを導入し、主要リスクを認識した上で、新規プロジェクトの取得に際して採否の分析・検討を行うとともに、リスク対応を行っています。新規プロジェクトの取得に際しては、経営企画本部が横断的に各事業本部と調整を行い、協働で採否の分析・検討を行っています。また、探鉱、評価、開発などの各フェーズにおける技術的な評価に加え、地域コミュニティへの影響をはじめとする倫理的・社会的リスクの評価を組織横断的に行うための仕組みとしてINPEX Value Assurance System（IVAS）審査会を運営しているほか、各プロジェクトのリスク及び対処方針を定期的に見直すとともに、原則最低年1回は経済性評価とリスク評価を実施し、主要なプロジェクトについては毎年取締役会にて報告しています。

再生可能エネルギー事業やCCS・水素事業に関しては、再生可能エネルギー・電力ソリューション事業本部及び低炭素ソリューション事業本部がそれぞれ担当する事業の総合調整をしています。IVAS審査会や外部専門家の検証を実施するとともに、重要なプロジェクトについては取締役会にて報告しています。

また、当社グループ全般に係るリスク対応として、大規模な事故や災害などによる緊急事態に対応できる能力を高めるため緊急時・危機対応計画書を策定・維持するとともに、平時より緊急時対応訓練を定期的に実施するなど、積極的にリスク管理に努めています。加えて、重要な業務を停止させないことを目的として、事業継続計画（BCP：Business Continuity Plan）を策定し、適宜見直しを実施しています。

HSE（健康・安全・環境）リスクに関しては、当社の事業活動における安全衛生、プロセスセーフティ、環境保全の継続的改善を推進するため、HSEマネジメントシステムで定めるHSEリスク管理要領に基づき、事業所ごとにHSEリスクの特定、分析・評価を行っています。また、リスク対応策を策定、実行するとともに、HSEリスクを監視するため、リスク管理状況を定期的に本社に報告させ、本社ではこれを確認しています。さらに、セキュリティに関するリスクなどについても、関連する要領や指針をもとに全社的な管理に取り組んでいます。さらにノンオペレータープロジェクトのHSE管理についても、各プロジェクトのリスクに応じたHSE関与を推進しています。

カントリーリスクに関しては、事業を行う国や地域のカントリーリスク管理に係るガイドラインを制定し、リスクの高い国には累積投資残高の目標限度額を設定するなどの管理を行っています。

さらに、為替、金利、原油・天然ガス価格、及び有価証券価格の各変動リスクを特定し、それらの管理・ヘッジ方法を定めることで財務リスク管理を行っています。

このほか、重要な契約や訴訟などに関する事業部門及び経営陣への適切な法的助言ができる体制の整備ならびに国内外の事業への法務サポート機能のさらなる充実のため、リーガルユニットを独立した組織とし、リーガルリスクの管理も強化しています。

情報セキュリティリスクへの対応及びデジタル技術の活用は当社の事業にとって非常に重要であると考え、2025–2027中期経営計画においてもデジタル技術の徹底活用を掲げています。デジタル技術は、以前から石油・天然ガス業界に幅広く活用され、当社グループの事業もその恩恵を受けてきました。近年では最先端のデジタル技術により、さらに高度で高速な処理が可能になり、多様かつ大量のデータを活用した取組みを実現しています。当社グループは、日本及び世界のエネルギー需要に応えつつ、2050年ネットゼロの実現に向けたエネルギー構造の変革に積極的に取り組んでおり、AIを中心とした新規デジタル技術の活用をそうした取組みのなかの重要な柱と位置づけています。デジタル技術を活用することで、当社グループの事業活動停止や、機密情報・個人情報漏洩などのさまざまなリスクのさらなる低減に向け、以下の取組みを進めています。

当社は保有している情報の機密性、完全性及び可用性を維持するために「情報セキュリティ基本方針」を、個人情報の保護のために「個人番号及び特定個人情報の適正な取扱いに関する基本方針」を定めています。さらに、全社統括組織として設置された情報セキュリティ委員会のもと、関連する諸規程の制定や管理体制の整備、情報資産を守るために必要な組織的・システム的・人的な対策を計画的に講じています。同委員会は通常年2回開催され、経営会議の構成員である技術統括本部長を委員長とし、総務本部、経営企画本部、財務・経理本部の各本部長と、リーガルユニットのグループジェネラルカウンセルから構成されています。同委員会での決議事項は、経営会議へ報告され、同会議での審議を経て、その結果は必要に応じて取締役会に報告されます。

情報セキュリティに関する戦略及び施策は、毎年の予算審議時に、経営会議での決議を経て策定されています。重要インフラ事業者を取り巻くサイバー攻撃リスクが増大するなか、当社では多層的な情報セキュリティ施策を推進しています。
組織面では、サイバーインシデント発生時の速やかな対応及び復旧を目的に据え、CSIRT（Computer Security Incident Response Team：シーサート）を構築し、24時間365日体制での監視を行っています。また、情報セキュリティ委員会への定期的な報告を通じて、全社的なセキュリティ管理体制の強化を図っています。加えて、サイバー攻撃発生時においても事業の継続性を確保するため、対応体制の整備を計画しています。計画では、事業影響を踏まえた優先度に基づく復旧シナリオを策定し、定期的な訓練を実施することで、サイバー攻撃による事業継続の阻害リスクへの対応力向上に努めることを目的としています。
システム面では、国内外の公的機関、警察当局、情報セキュリティ専門ベンダーから提供される最新の脅威情報を収集・分析し、外部からの攻撃を検知・防止する対策を講じています。さらに、必要に応じて、外部のセキュリティ専門ベンダーによるアセスメントを実施することで、情報システム及び制御システム双方の安全性の確保と強化を図っています。また、サイバー攻撃への備えとして、サーバーや通信機器の脆弱性対策及び製造元から提供されるセキュリティ更新プログラム適用を適時・適切に実行することで、悪意のある第三者の侵入経路となり得る境界へのセキュリティ対策を強化し、攻撃の踏み台となるリスクの低減にも取り組んでいます。
人的側面では、役員・従業員を対象とした定期的な教育・訓練を実施しています。具体的には、情報セキュリティ説明会をはじめ、毎月発行する「情報セキュリティニュース」、定期的なeラーニング、標的型メール訓練などを通じて、社内の情報セキュリティ意識の向上を図っています。このような教育・啓発活動の継続的な実施を通じ、「情報資産」を大切にする価値観や風土を会社文化として定着させ、内部からの情報漏えいリスクの最小化に努めています。
これらの施策を通じ、情報セキュリティ最高責任者である技術統括本部長の監督責任のもと、厳格なガバナンス体制とリスク管理プロセスの確立を目指し、全社的なデジタル変革が安全かつ持続的なものとなるよう取り組んでいます。

なお、2025年度において、サイバー攻撃が原因で発生した外部へ公開すべき重大インシデントの件数は0件でした。

当社グループでは、デジタル技術の活用がグループ全体での事業運営や競争力の基盤となる一方で、各社のセキュリティ事故やシステムの分断、属人化といったリスクが顕在化し得ることを重要な経営課題として認識しています。こうしたリスクを低減するため、自社単体だけではなくグループ全体を対象としたIT・デジタルガバナンスの強化に取り組んでいます。

IT・デジタルの企画、導入、運用及び保守を統一的かつ体系的に管理するための基本指針を整備し直し、自社だけでなく国内外のグループ会社を含むグループ全体に適用することで、IT・デジタル投資やシステム導入における判断基準を明確化し、リスクや影響度を踏まえた適切な意思決定を行う体制を構築しています。これにより、グループ各社間でのセキュリティレベルのばらつきや、管理不十分なクラウドサービス利用などのリスク低減を図ります。
さらに、グループ会社の課題を可視化し、グループとしてのセキュリティレベルの向上や共通ルールの整備を進めています。これらの取組みにより、知見の共有や運用の効率化を実現し、グループ全体としてのレジリエンス強化につなげています。
また、当社グループでは、情報セキュリティのガバナンスの枠組みのもとで、情報セキュリティ及び個人情報保護を確保するとともに、AIの判断や利用が不透明または不適切なものとならないよう、人による管理・監督及び生成物の最終的な責任を負うことを徹底する「責任あるAIの活用」を基本方針として取組みを推進しています。

本取組みでは、生成AIを含むAIサービスの利用に関して、「AIが空気のように、自然にある職場へ」というコンセプトのもと社内でのAI活用を推進・管理する体制「AIR」を立ち上げ、AI系サービスの利用・活用を推進すると同時に、AIができること・できないことを明示した上での利用範囲や留意事項を明確化した社内ルールの整備ならびに社内ポータルへの掲示を行っています。また、全ての役員・従業員を対象とした情報セキュリティ教育やeラーニングでは、AIの活用に関して以下の内容で研修を実施しています。

• 機密情報・個人情報の入力制限
• AIの生成物の妥当性・バイアス・適法性の確認の徹底

イクシスLNGプロジェクトを運営するINPEX Australiaでは生成AIに関するガバナンスに関連するAdvisory Groupを立ち上げ、AIリスクに対応する各種ドキュメントを整備し、従業員への周知を徹底しています。
その他、当社のデジタル技術の活用については「デジタル戦略」をご覧ください。

事業展開上の主要なリスクは下記カテゴリーで分類し、基本的な対応策を設定しています。また、当社の財務見通しに影響を与える具体的かつ最新のリスクについて、リスクマップを用いて「発生可能性」と「財務影響の大きさ」の観点から分析し、緊急度や影響度に応じた対応方針を設定の上、速やかに対策に着手しています。