ガバナンスの取り組み

コンプライアンス・
リスクマネジメント

コンプライアンス

行動規範

当社は、全ての国と従業員に適用されるPHCグループ行動規範を定めています。コンプライアンスを「多様性とチームワーク」、「イノベーション志向」、「チャレンジ精神」、「高い倫理観」の分野ごとに編成し、当社のビジネスの主要なリスクと倫理的でかつコンプライアンスに沿った行動をするために主要な原則に焦点を当てています。
この規範に加えて適用される地方、国、地域、及び国際的な規則、規制及び法理も順守する必要があります。当社の方針と基準、行動規範と適用される法令・規則に矛盾がある場合、当社は最も厳しいものに従います。
当社の行動規範について詳しくはこちらをご覧ください。

研修・教育

コンプライアンスの推進には継続的な研修・教育活動が不可欠です。上場の翌年度である2022年度は、重要テーマであるインサイダー取引防止に関する研修を、グループ会社の管理職及び内部情報に触れる機会の多い一定の役職以上や特定部署の役職員で当社の定める基準に該当する者を受講対象者として実施し、99.8%の受講率となりました(休職中、産前産後休暇・育児休業等により、受講できない状況にあった従業員を除きます)。また、上記に該当しない一般従業員も任意で受講可能な仕組みとして実施致しました。
引き続き、コンプライアンス強化に必要な研修を実施してまいります。

内部通報制度

PHCグループでは社員が利用できるヘルプラインをグループ全社で導入しています。不正や人権侵害等のコンプライアンス上の問題を電話及びメールで、また匿名でも利用できます。各社窓口のほか、法律事務所等第三者通報窓口も世界各地域で用意しており、相談・通報しやすい環境を整備しています。通報案件に対しては各社にて適切に対応することに加え、エスカレーションポリシーに基づき、重大な案件についてはPHCホールディングスにて対応しています。

リスクマネジメント

当社はグループ全体の基本的な方針や体制及び取り組み内容を定めた「リスクマネジメント基本規程」をもとに様々なリスクの管理を行っています。毎年グループ全体で自然災害や地政学的なリスクの他、サイバーセキュリティや技術伝承といった事業継続に影響するリスクを抽出し、重要リスクを特定しています。重要なリスクについてはリスク責任者を定め、発生回避及び発生時の影響を最小化すべく対策案を作成・実行しています。
PHCホールディングスのCOO(最高執行責任者)がリスク担当役員を務め、グループ全体の活動を規程に基づいて実施し、リスクの内容や対応方針について取締役会に報告しています。
2023年度からリスクマネジメント委員会を立ち上げ、これらの取組をより一層体系立てて推進していきます。

事業継続計画(BCP)の取り組み

当社は、事業継続が困難になる事態(地震、水害、雪害、台風、パンデミック、サイバー攻撃、テロ等)について、事業継続マネジメント(BCM)の下、各事業部、部門において事業継続計画(BCP)を作成し、平時より緊急事態に備えています。PHCグループで定めるBCMガイドラインにおいて、

  • (1)従業員の人命を最優先とする
  • (2)ステークホルダーから許容される商品供給量、又はサービスレベルを保つ
  • (3)ステークホルダーから許容される期限内に事業復旧、及び業務復旧をする

を基本方針と定め、平時より各種対策の整備と教育を通じて、緊急事態への備えを行っています。事業所や営業所において、職場や事業所内に組織した防火防災隊による防災訓練や、情報システム部門による基幹システム停止時の代替ウェブサイト稼働訓練、机上訓練による手順書の点検等、実践的な訓練を通じ、活動の定着と運用の見直しを行っています。

サイバーセキュリティ・データ保護

全社方針

PHCグループでは、情報セキュリティ国際規格ISO27001のフレームワークに基づき、グループ会社の情報セキュリティ管理基準等の基準書類を整備し、統一体系とルールを用いてグローバルに運用と管理を行っております。
当社のサイバーセキュリティについて詳しくはこちらをご覧ください。

研修・教育

サイバーセキュリティ関連研修として、2022年度は、日本国内のグループ従業員を対象とした2つのe-learning研修、「①情報セキュリティ研修(一般教育)」と「②標的型攻撃メール対策研修」を実施しました。研修の受講率は、①が99.4%(海外・国内出向者、長期休暇者を除く)、②が97.0%(メールアドレス未保有の従業員を除く)となりました。
なお、2023年度からは、データ保護に関する研修を、日本国外のグループ従業員も含めグループ全体で実施して参ります。

ベンダーレビュー

当社は委託先ベンダーにおける情報セキュリティレビューの実施割合100%を目指して、年1回の委託先ベンダー管理の取り組みを実施しております。情報セキュリティ影響度により、以下3つの観点により高リスクの委託先ベンダーを対象に実施しております。

  • データ:「厳秘・極秘」情報を受領、保存、処理送信する委託先ベンダー
  • システム・ネットワークアクセス:PHCグループのネットワーク・システムへ直接アクセスする委託先ベンダー
  • ビジネスプロセス:重要業務のプロセスをサポート又は資格を必要とする委託先ベンダー

具体的には、委託先ベンダーに対してISO27001やプライバシーマークの取得状況を調査、未取得の場合においては、情報セキュリティ基準チェックシートにより90点以上若しくはPHCグループと同等以上のセキュリティ基準を満たしていることを確認しています。適合基準未達の場合は、委託先ベンダーと協議し、リスク回避・低減の取り組みを実施しています。また定期的に見直しを実施しており、セキュリティ基準の維持に努めております。

サイバーセキュリティ委員会

PHCグループではサイバーセキュリティ委員会を開催しています。委員会ではグループのサイバーセキュリティの方針やKPIレビュー、インシデント報告の他、セキュリティの脆弱性の是正に関する議論を行っています。社長を含む全執行役員が参加し、事業を取り巻くサイバーセキュリティ上の懸念や対応について議論し、必要な施策を決定・実行しています。