全社方針

PHCグループでは、情報セキュリティ国際規格ISO27001のフレームワークに基づき、グループ会社の情報セキュリティ管理基準等の基準書類を整備し、統一体系とルールを用いてグローバルに運用と管理を行っています。

サイバーセキュリティ委員会

PHCグループではサイバーセキュリティ委員会を開催しています。委員会ではグループのサイバーセキュリティの方針やKPIレビュー、インシデント報告の他、セキュリティの脆弱性の是正に関する議論を行っています。社長を含む全執行役員が参加し、事業を取り巻くサイバーセキュリティ上の懸念や対応について議論し、必要な施策を決定・実行しています。

研修・教育

サイバーセキュリティ関連研修として、2024年度は、日本国内のグループ従業員を対象とした2つのe-learning研修、「① 情報セキュリティ研修（一般教育）」と「② 標的型攻撃メール対策研修」を実施しました。研修の受講率は、① ② ともに100%（メールアドレス未保有の従業員を除く）となりました。

また、2024年度から、データ保護に関する研修を、日本国外のグループ従業員も含めグループ全体を対象として実施しています。研修の受講率は、100%（メールアドレス未保有の従業員を除く）となりました。

従業員の積極的な参加により、サイバーセキュリティ及びデータ保護に関する研修・教育の受講率が向上しました。これは当社のサイバーセキュリティへの取り組みが従業員に広く浸透していることを示すもの であり、今後もともに安全なデジタル環境を築いていくために、継続した取り組みを行ってまいります。

委託先（ベンダー）リスクアセスメント

当社グループは業務上緊密に連携している委託先ベンダーに対して、年1回情報セキュリティレビューを実施し、リスクの低減に積極的に取り組んでいます。具体的には、委託先ベンダーに対してISO27001やプライバシーマークの取得状況を調査し、未取得の場合においては、情報セキュリティ基準チェックシートにより90点以上若しくはPHCグループと同等以上のセキュリティ基準を満たしていることを確認しています。適合基準未達の場合は、委託先ベンダーと協議し、リスク回避・低減の取り組みを実施しています。

網羅性を確保するため、2024年度はPHCグループ全体で、すべての委託先を対象にこれらの取り組みを実施し、実施率100％を達成しました。特に、委託先が取り扱っている機密情報のレベル、関与するクリティカルシステム・ネットワークへのアクセスの度合い、そして携わる重要な業務プロセスの3つの観点から、高リスク委託先ベンダーを特定し、必要な対応策を講じることでリスク軽減につなげることができました。

事業環境やエマージングテクノロジーが急速に変化する中、当社グループは今後も委託先やサプライチェーンリスクについて、情報セキュリティの観点及び前述の3つの観点から継続的に一貫したアプローチを継続的に実施してまいります。