当社グループは企業倫理と社会規範を尊重することにより、経営者から従業員一人ひとりまでが組織として法令や社内規則を遵守し、企業の社会的責任を果たすことを基本方針としています。
「ダイワボウグループ企業行動憲章」は、当社グループが国内外を問わず、人権の尊重はもとより、すべての法律、国際ルールを遵守し、社会的良識をもって、社会の持続的な発展に向け、高い倫理観をもって社会的責任を果たすことを示したものです。全従業員、全役員は同憲章を遵守する義務を負っています。
同憲章に定める、法令遵守および企業倫理の浸透をグループの全従業員、全役員に徹底するため、関連する法令の周知および社内規則・マニュアルの整備と従業員教育に努めています。
代表取締役を委員長とする「リスク管理委員会」を設置し、当社グループ内の法令遵守および企業倫理の取り組みを横断的に推進・統括しています。当委員会は四半期ごとに開催し、グループにおけるコンプライアンス体制の維持・管理および全従業員が受講するコンプライアンス教育の監督など、コンプライアンス意識の普及・啓発に取り組んでいます。
世間で問題となった事案やグループ内で発生したコンプライアンス問題について、全社で共有できるよう、グループ各社の全従業員が、年1回コンプライアンス教育を受講するよう計画しています。逐次改善を重ねることで、教育内容の充実を図っています。
事業活動におけるコンプライアンスの違反行為の未然防止、早期発見・対応のため、当社および当社グループにおいて内部通報制度を設けています。ハラスメントおよびコンプライアンス全般(汚職・賄賂などによる腐敗防止を含む)に関する相談依頼、法令や倫理等に違反する行為や違反する恐れのある行為が発見された場合、通報者は、実名または匿名で、通報・相談を行うことができます。通報・相談を受け付ける窓口として社内のほか、社外にも受付窓口を設置して、電子メール、電話、書面などによる方法で、より通報・相談しやすい環境を整えています。通報・相談を受け付けた場合、リスク管理委員会事務局が中心となり関係部門と連携しつつ、迅速に、その事実関係や関連法令・規則を可能な限り確認・調査します。そのうえで、コンプライアンス違反行為の有無を認定し、必要に応じて是正や再発防止などの対応措置を講じています。この際、通報者の匿名性・プライバシーを保護するとともに、報復行為を禁止して、通報したことにより通報者が不当に不利益を被らないように措置を講じています。また、通報者には、その後の確認・調査の経過や結果を適宜フィードバックしています。
当社グループは、財務健全性と企業価値の維持・向上を目指し、企業活動に伴うさまざまなリスクを把握し、その特性に応じて体系的に分類・管理することを基本方針としています。
なかでもコンプライアンス違反、情報セキュリティなど当社の財務状況・社会的信用などへ大きな影響を与えるリスクについては、グループ全体で把握・管理することとしています。
当社グループ全体を俯瞰し、グループ全体で網羅的・効率的にリスクマネジメントを実施するため、リスク管理に関する規則を整備しています。リスクを、コンプライアンス違反をはじめとする経営リスク、業務リスク、環境・安全・品質リスクの3つの体系に区分し、グループ共通のリスク項目、リスクの評価方法などを定めています。また、リスクが具現化した場合に備え、「危機管理規則」を整備し、甚大な損失の及ぼす影響の極小化と再発防止に努めています。
特に大きいリスクが現実に発生した場合、もしくは発生する予兆がある場合は、同規則に基づき対策本部を設置し、危機管理体制へ移行します。その上で、事前対応策または危機対応策を実行し、事態の推移を監視する体制を整えています。
これらの取り組みをグループ横断的に統括、推進するため、代表取締役社長を委員長とする「リスク管理委員会」を設置しています。また、「リスク管理委員会」に相当する委員会は当社と重要なグループ会社に設置しています。各社委員会で議論された内容や活動を、当社の「リスク管理委員会」(グループ委員会)が取りまとめ、グループ全体のリスク管理を統括しています。
リスク管理体制の運営状況やグループ委員会で議論された内容については、定期的に取締役会に報告した上で、その監督を受けています。
具体的な活動については、各リスク項目に対して、当社各部門およびグループ会社において事業活動に関連するリスクを特定し、発生時の影響度と発生可能性を評価した上で、リスク管理表を作成しています。
リスク管理表において特定・評価されたリスクについては、その影響度および発生可能性を踏まえ、グループ全体の内部統制強化およびリスク全体の観点から、リスク管理委員会事務局とグループ会社が調整を行います。
このようなプロセスを経て決定した重要リスクについては、リスク低減に向けた各種取り組みなどの対応策を検討し、実施します。また、その有効性を同事務局および同委員会で定期的にモニタリングし、改善すべき事項や課題について、必要に応じて追加の対応策を選定し、実施するなど、PDCAサイクルを回すことで実効性を高めています。
加えて、同委員会における議論などを通じて重要な課題と認識された事項のほか、グループ全体における内部通報窓口の認知度および利用率の向上、リスク発生の早期発見・未然防止などについて、年度ごとに重点活動項目として選定し、集中的にリスク低減活動を行うことを活動方針として定めています。
さらに、社会情勢の変化にともなう新たなリスクについても、グループ委員会および各社委員会において速やかに対処方針を決定し、リスク管理体制の実効性を確保すべくリスク低減活動に取り組んでいます。
リスクマネジメントは、委員会における議論だけでなく、従業員一人ひとりが自らの業務とリスクの関係を理解し、主体的に向き合うことが不可欠です。当社は、定期的な教育を通じてリスクとその低減活動に関する情報を広く共有し、健全なリスクカルチャーの醸成に取り組んでいます。そして、中長期ビジョン『2030 VISION』にて描くエクイティストーリーとリスクマネジメントのバランスを取ることで、持続的な企業価値の向上を目指して取り組んでいきます。
当社グループは、特定の取引先・製品・技術・法的規制などへの依存割合が小さく経営成績は比較的安定しています。しかし、技術革新が著しく、市場が大きく揺れ動く業界に属することから、新製品・新サービスの展開により、業界構造が変化し、従来製品・サービスに対する需要が変動することなどにより、当社グループの売上高および利益は変動する可能性があります。
この変化に対処すべく、仕入、調達先と販売先との密な情報交換を通じて、技術革新および市場の動向を適切に把握して、顧客の要請に対しグループ全体で迅速に対応できる体制を整えています。
ここ数年間においては、ランサムウェア被害にともなう業務停止や、レピュテーションリスク、機密情報、個人情報の漏えいといった情報セキュリティリスク、不十分な内部統制システムによるインサイダー取引規制違反、不正行為などの不祥事発生リスクを特に重要なリスクとして認識しています。
これらの想定される重要なリスクに対して、グループ全体として情報セキュリティインシデントが発生した場合を想定した対応訓練の実施、グループ全従業員を対象としたコンプライアンス教育を含む各種教育の継続実施や頻度向上、不正事案の早期発見、未然防止のための内部通報窓口の浸透など、各種リスク低減活動を検討、実施しています。
|
重点リスク |
概要 |
|
(1) 商品等に関するリスク |
|
|
ITインフラ流通事業 |
|
|
産業機械事業 |
|
|
(2) 生産活動、研究開発に関するリスク |
|
|
(3) 外部環境に関するリスク |
|
|
(4) 知的財産権に関するリスク |
|
|
(5) システムトラブル・情報セキュリティに関するリスク |
|
|
(6) 直接配送に関するリスク |
|
当社は、情報セキュリティの重要性を深く認識しています。情報の保護に向けた必要な取り組みを継続的に行い、情報資産の取り扱いにおいて不測の事態が生じないようにするため、情報セキュリティ基本方針を定めています。
サイバーセキュリティ対策としては、当社グループは、グループ基本方針である「情報セキュリティポリシー」(グループポリシー)を策定しています。本ポリシーは、「情報セキュリティ基本方針」「情報セキュリティポリシー規程」「情報セキュリティ対策基準」で構成されており、グループ最高情報管理責任者およびグループの情報セキュリティを統括する組織として「リスク管理委員会」を定めています。
本ポリシーは、当社グループの情報セキュリティに関する考え方を示すとともに、情報資産を故意または偶然による改ざん、破壊、漏えいなどから保護するための管理策をまとめたものです。
本ポリシーは取締役会で承認されており、取締役会は運用状況について定期的に報告を受け、適宜指摘を行うなど、監督を行います。
また当社は、グループ最高情報セキュリティ責任者を設置しています。グループ最高情報セキュリティ責任者はグループ各社およびグループ情報セキュリティ運用統括部門と連携し、グループ全体の情報セキュリティ戦略の立案・実行・評価を統括します。
具体的には、本ポリシーの運用状況の監督、リスク評価および対策の優先順位付け、脆弱性対応の指示、従業員教育の策定・推進、インシデント対応の指揮・報告などを担います。
グループ最高情報セキュリティ責任者は、重大なセキュリティインシデント発生時には直ちに取締役会へ状況と対応方針を報告します。取締役会は、グループ最高情報セキュリティ責任者の報告を受けて必要な指示を行い、方針の見直しや対策の承認を行います。
グループ各社は、本ポリシーに整合する形で、各社ごとに「情報セキュリティポリシー」を整備するとともに、各社のポリシーに基づき、事業内容に応じた情報セキュリティ対策を講じています。
ITインフラ流通事業を担い、情報セキュリティに知見のあるダイワボウ情報システムが、ノウハウや脆弱性に関する各種情報を提供しています。また、「リスク管理委員会」が中心となり、グループ最高情報セキュリティ責任者がグループ各社におけるポリシーと、それに基づく情報セキュリティ対策の整備状況や脆弱性をチェックし、必要に応じて改善を指示するなど、PDCAサイクルを回すことで、施策・体制の強化に継続的に取り組んでいます。重大なセキュリティリスクについては、グループ最高情報セキュリティ責任者から取締役会へ報告されるほか、重大なインシデント発生時には速やかに取締役会に報告し、その指示に基づき対応を実施します。
具体的なサイバーセキュリティ対策としては、外部からの不正侵入を防ぐ「入口対策」と外部への情報流出を防ぐ「出口対策」等の物理的・技術的な対策、仮想の不審メール送付による訓練、サイバーインシデント発生の疑いがある場合の対応、連絡体制などを定めた緊急時対応計画の策定、全従業員向けの情報セキュリティ教育の実施など、人的・組織的な対策を組み合わせた各種対策を講じています。
取締役会は、これらの体制と施策の有効性についてグループ最高情報セキュリティ責任者から定期的に報告を受け、必要と判断した場合には追加対策などの指示を行います。
- 企業としての社会的責任を全うすべく、情報流出を未然に防止し、当社のみならず、他企業に対し影響を及ぼさないよう情報資産を正当な権限を持った人だけが使用できる状態(機密性)を確保する。
- 情報の消失・改ざん等により、企業経営において誤った判断に至ることがないよう情報資産が正当な権限を持たない人により変更されていない状態(完全性)を確保する。
- 故意・過失および災害等によるシステム停止の防止策を実施し、会社運営のために求められる時に情報資産が最大限利用できる状態(可用性)を確保する。
当社グループの情報資産を利用する者は、情報セキュリティの重要性を認知し、この「情報セキュリティ基本方針」を含むグループの「情報セキュリティポリシー」(グループポリシー)を遵守するものとします。
遵守事項に違反した者は、その違反内容によっては当社の就業規則等の規程により、懲戒されることがあります。 また、不正アクセスなどのサイバー攻撃などサイバーインシデントの発生と疑われる事象を発見した場合、速やかにグループポリシーによって定められた連絡体制に則り報告しなければなりません。
さらにPCにおいて、ウイルス感染や不正アクセスの疑いがある場合、発見後ただちに該当するPCをネットワークから切り離した上で報告するものとします。特に不正行為が発見された場合には、その証拠となる各種データの消去・改ざんを防ぐため、対象となる各種データを確保しておくものとします。
報告を受けた情報セキュリティ管理者は、速やかに情報システム担当部署に対して指示し、関連する部署、関係会社、外部ベンダー等に連絡し、協力を依頼のうえ、迅速な対応措置を行います。
これらのサイバーインシデント発生時における初動対応については、全従業員に対して定期的な周知を行い、研修等を通じて、認知度向上に向けた取り組みを継続的に行ってまいります。