コンプライアンス

行動規範

当社は、全ての国と従業員に適用されるPHCグループ行動規範を定めています。コンプライアンスを「多様性とチームワーク」「イノベーション志向」「チャレンジ精神」「高い倫理観」の分野ごとに編成し、当社のビジネスの主要なリスクと倫理的でかつコンプライアンスに沿った行動をするために主要な原則に焦点を当てています。
この規範に加えて適用される地方、国、地域、および国際的な規則、規制および法理も順守する必要があります。当社の方針と基準、行動規範と適用される法令・規則に矛盾がある場合、当社は最も厳しいものに従います。

行動規範についての詳細はこちら
https://www.phchd.com/jp/sustainability/governance/code-of-conduct

研修・教育

コンプライアンスの推進には継続的な研修・教育活動が不可欠です。2023年度は、重要テーマであるインサイダー取引防止に関する研修を、PHCグループに所属する全従業員を対象に実施し、100％の受講率となりました（休職中、産前産後休暇・育児休業等により、受講できない状況にあった従業員を除きます）。
引き続き、コンプライアンス強化に必要な研修を実施してまいります。

内部通報制度

PHCグループでは従業員が利用できるヘルプラインをグループ全社で導入しています。不正や人権侵害等のコンプライアンス上の問題を電話およびメールで、また匿名でも利用できます。各社窓口のほか、法律事務所等第三者通報窓口も世界各地域で用意しており、相談・通報しやすい環境を整備しています。通報案件に対しては各社にて適切に対応することに加え、エスカレーションポリシーに基づき、重大な案件についてはPHCホールディングスにて対応しています。

人権方針

PHCグループは、経営理念に基づき、事業活動を行う際の守るべき指針として　「コンプライアンス3ヵ条」（「法令の順守」「公正な取引」「人権の尊重」）を定めています。

人権方針についての詳細はこちら
https://www.phchd.com/jp/sustainability/social/humanrights

リスクマネジメント

PHCグループは「リスクマネジメント基本規程」に基づき、自然災害、地政学的リスク、サイバーセキュリティ、技術伝承などの重要リスクを抽出し、リスク責任者を定めて対策を実行しています。
2023年度にはリスクマネジメント委員会を設置し、COOがリスク担当役員を務めています。リスクマネジメント委員会は、グループ全体の活動を規程に基づいて、リスクの発生回避および発生時の影響を最小化するための対策案を作成・実行しています。リスクマネジメント委員会は定期的に会議を開催し、リスクの評価と対応策の見直しを行い、取締役会に報告しています。これにより、リスク管理体制を強化し、持続可能な事業運営を実現しています。

事業等のリスクの詳細はこちら
https://www.phchd.com/jp/ir/risk

事業継続計画（BCP）の取り組み

システムのBCP

PHCでは、大規模災害時にバックアップセンターでシステムを稼働させる準備を整えています。

避難訓練の実施

PHC松山地区、群馬地区では年に一度、避難訓練を実施しています。

サイバーセキュリティ・データ保護

全社方針

PHCグループでは、情報セキュリティ国際規格ISO27001のフレームワークに基づき、グループ会社の情報セキュリティ管理基準等の基準書類を整備し、統一体系とルールを用いてグローバルに運用と管理を行っています。

サイバーセキュリティの詳細はこちら
https://www.phchd.com/jp/sustainability/governance/security

研修・教育

サイバーセキュリティ関連研修として、2023年度は、日本国内のグループ従業員を対象とした２つのe-learning研修、「①情報セキュリティ研修（一般教育）」と「②標的型攻撃メール対策研修」を実施しました。研修の受講率は、①が100%、②が100%（メールアドレス未保有の従業員を除く）となりました。
2023年度から、データ保護に関する研修を、日本国外のグループ従業員も含めグループ全体を対象として実施しています。研修の受講率は、 100%（メールアドレス未保有の従業員を除く）となりました。
従業員の積極的な参加により、サイバーセキュリティおよびデータ保護に関する研修・教育の受講率が向上しました。これは当社のサイバーセキュリティへの取り組みが従業員に広く浸透していることを示すものであり、今後も共に安全なデジタル環境を築いていくために、継続した取り組みを行ってまいります。

ベンダーレビュー

当社は委託先ベンダーにおける情報セキュリティレビューの実施割合100％を目指して、年１回の委託先ベンダー管理の取り組みを実施しています。情報セキュリティ影響度により、以下３つの観点により高リスクの委託先ベンダーを対象に実施しており、2023年度の実施割合は運用範囲内で100%となりました。

• データ：「厳秘・極秘」情報を受領、保存、処理送信する委託先ベンダー
• システム・ネットワークアクセス：PHCグループのネットワーク・システムへ直接アクセスする委託先ベンダー
• ビジネスプロセス：重要業務のプロセスをサポートまたは資格を必要とする委託先ベンダー

具体的には、委託先ベンダーに対してISO27001やプライバシーマークの取得状況を調査、未取得の場合においては、情報セキュリティ基準チェックシートにより90点以上もしくはPHCグループと同等以上のセキュリティ基準を満たしていることを確認しています。適合基準未達の場合は、委託先ベンダーと協議し、リスク回避・低減の取り組みを実施しています。また定期的に見直しを実施しており、セキュリティ基準の維持に努めています。

サイバーセキュリティ委員会

PHCグループではサイバーセキュリティ委員会を開催しています。委員会ではグループのサイバーセキュリティの方針やKPIレビュー、インシデント報告の他、セキュリティの脆弱性の是正に関する議論を行っています。社長を含む全執行役員が参加し、事業を取り巻くサイバーセキュリティ上の懸念や対応について議論し、必要な施策を決定・実行しています。