ガバナンス・腐敗防止・情報管理体制に関する取り組み

当社は、コーポレートガバナンスに対する考え方や枠組みを株主等ステークホルダーに示すとともに、役員および従業員の行動指針とすべく、「プロネクサス コーポレートガバナンス・ガイドライン」を制定しています。当社は、株主価値の最大化と、株主や顧客から評価され永続的に発展、成長することを目指し、本ガイドラインに沿ったマネジメントを推進しています。企業価値の向上につながる的確かつ効率的な経営の実践、経営責任の適切・公正な遂行を目指し、絶えず実効性の面から経営管理体制の見直しと改善に努めています。

また、タイムリーかつ正確な経営情報の開示に努め、経営活動に対する監視・チェック機能の強化、透明性の向上、コンプライアンスおよびリスク管理の徹底を図っています。

取締役会は、株主に対する受託者責任を踏まえ、中長期的な企業価値の向上を目指して、当社の経営に関わる重要事項の審議および意思決定ならびに会社の事業、経営全般に対する監督を行っています。

取締役会の構成については、当社グループの事業に関する深い知見を備えるとともに、財務会計、リスク管理および法令遵守等に関する多様な知見・専門性を備えた、全体として適切なバランスの取れた構成とし、その員数は10名以内としています。社外役員については、企業経営、財務会計、法律等の専門分野における高い見識や豊富な経験を持ち、客観的な立場から適切に意見を述べることができる者を指名し、取締役の職務執行の監督と、率直・活発で建設的な意見・提案による取締役会の活性化を図っています。また、経営の意思決定機能と業務執行機能を分離すべく執行役員制度を導入しています。

（2024年10月1日現在）

2024年10月1日現在の取締役は8名、そのうち4名は社外取締役です。また、取締役会に対する十分な監視機能を発揮するため、監査役4名のうち3名を社外監査役としています。執行役員は35名（うち3名は取締役が兼務）です。

当社は、経営の意思決定機能と、執行役員による業務執行を管理・監督する機能を取締役会が持つことにより、経営効率の向上と的確かつ戦略的な経営判断が可能な経営管理体制をとっています。2024年10月1日現在の取締役は8名、執行役員は35名(うち3名は取締役が兼務)です。さらに、取締役会に対する十分な監視機能を発揮するため、取締役8名のうち4名を社外取締役とし、監査役4名のうち3名を社外監査役としています。

当社は「リスク管理規程」に基づき、各部門における対応すべきリスクの洗い出し、識別、分析および対応策の検討をリスク管理統括部門である総務部を中心に行っています。情報セキュリティに関しては、全社範囲で認証取得しているISO27001（情報セキュリティマネジメントシステム）の活動のもと、システム単位でのリスクの特定および予防・是正処置の実施を「インサイダー・情報セキュリティ委員会」で検討・決定しています。全社員に対するセキュリティ教育や訓練、外部委託先に対する情報管理の観点からの実地調査等によって、社員のセキュリティ意識の向上と情報管理体制の強化に努めています。

また、自然災害発生時に従業員の安否が確認できるよう、安否確認システムを導入し、全従業員を対象とした安否確認訓練を毎年実施しています。

贈収賄については、サプライヤー倫理⾏動規範において、あらゆる種類の贈収賄を⾏わないことを明記しております。また、顧客や外製先・購買先等を接待・贈答する場合の決裁基準や上限基準を設けており、全グループ社員に配布している「プロネクサスグループ コンプライアンス・マニュアル」に明記し、周知を図っております。また、接待・贈答に関する社内規程を制定し、社内周知をしています。

プロネクサスグループでは、サプライヤー倫理⾏動規範において、あらゆる種類の贈収賄、恐喝および横領などを禁⽌することを明記しております。また、ウェブサイトでも公開し、周知を図っております。

プロネクサスグループでは、近年の持続可能な調達に関する国際的潮流や社会の要請などに鑑み、2024年2⽉にサプライヤー倫理⾏動規範を新設し、パートナーシップ構築宣⾔に賛同いたしました。サプライヤー倫理⾏動規範に基づく調達を通じ、サプライチェーン全体で、法令遵守や情報セキュリティ、⼈権・環境に配慮した連携の推進に取り組みます。

2024年度において、腐敗防⽌の事例はなく社内処分もありません。私たちの認識している限りにおいて、腐敗に関連した罰⾦、課徴⾦、和解⾦のコストはありません。

役員や従業員による不正⾏為の早期発⾒と早期是正のため、社外通報窓⼝として「プロネクサスグループ 企業倫理ホットライン」を設置し、社員へのカード配布、社内のポスター掲⽰で、周知と利⽤を促しています。「内部通報規程」では、公益通報者保護法を適⽤し、公益通報対象業務従事者を指定しています。通報者を保護するため、不利益取り扱いの禁⽌、探索の禁⽌を規定しています。

プロネクサスグループでは、役員および従業員を対象にした e-ラーニングによる法令遵守に関する教育や、コンプライアンス教育を年２回⾏っています。また、⽇常業務において遵守すべきポイントやケーススタディ、チェックポイントを記載した「プロネクサスグループコンプライアンス・マニュアル」を全グループ社員に配布し、意識向上に努めています。

早期発⾒と早期是正のため、社外通報窓⼝として「プロネクサスグループ 企業倫理ホットライン」を設置し、社員へのカード配布、社内のポスター掲⽰で、周知と利⽤を促しています。「内部通報規程」では、公益通報者保護法を適⽤し、公益通報対象業務従事者を指定しています。通報者を保護するため、不利益取り扱いの禁⽌、探索の禁⽌を規定しています。

プロネクサスグループでは、違法な政治献⾦をしません。
2024年度において、政治団体への寄付は⾏っておりません。

当社の全社リスク・コンプライアンス管理は、総務部、法務・コンプライアンス室および品質管理・業務改革部が活動を統括・推進しています。また、インサイダー取引防止教育およびコンプライアンス教育については年2回の定期研修およびe-ラーニングによる理解度確認テストを実施しています。

当社は、企業のディスクロージャー・IRを支援する専門会社の責務として、インサイダー情報セキュリティ強化のため、組織・人事体制から専用エリアの設置や情報システムの整備まで、広範囲の施策に取り組んでいます。

組織としては、インサイダー・情報セキュリティ委員会が中心的な役割を担い、インサイダー情報の取り扱いルールやインサイダー取引未然防止ルールの徹底を図っています。

グループ全社員を対象として、最新の事例も盛り込みながら年2回のインサイダー取引防止集合研修およびe-ラーニングによる理解度確認テスト、新入社員向け・中途社員向け研修を行っています。加えて、機密情報に触れる機会の多い営業担当者やインサイダー情報取り扱い担当者については、さらに年5回の専門研修を繰り返し実施しています。また、グループ会社や協力会社、業務委託先を対象とした定期集合研修や実地調査を継続的に実施しています。

株式取引規制については、部長職以上、営業社員、インサイダー情報取り扱い担当者の上場会社株券の売買を全面禁止とし、他の社員についても売買の際は事前申請による許可制を導入しています。

また、毎年インサイダー取引防止のための誓約書の提出を全社員に義務づけています。

これらの遵守状況については適宜モニタリングを実施し、改善・強化を図っています。

当社の全社コンプライアンスリスク管理は、法務・コンプライアンス室が担当し、「内部統制システムの基本方針」に基づいて、関連規則およびコンプライアンス・マニュアルを定めています。コンプライアンス・マニュアルについては、定期的に更新し、企業不祥事、SNS等の普及や「働き方改革」など、新たなテーマに対応したケーススタディを掲載して実用性を高めています。

また、企業倫理に関する通報窓口として「プロネクサスグループ 企業倫理ホットライン」を設置し、社員へのカード配布、社内のポスター掲示で、周知と利用を促しているほか、現状把握のために外部機関を活用した全社員向けのアンケートなどを実施しています。

個人情報についてのリスク管理面では、個人情報を適正に取り扱うため、個人情報保護方針を定め、個人情報保護マネジメントシステムを維持・管理しています。特に重要な個人情報業務を委託している契約先については、情報管理体制の実地調査を行っています。

• AI倫理ポリシー

当社事業が社会的なインフラとしての側面を持つことを認識し、お客様の開示前のインサイダー情報を含む機密情報を守り、安全に取り扱うため、情報セキュリティ方針を定め、体制・システムを強化しています。情報を安全に送受信・処理・保管するための、通信インフラ・ハードウェア・ソフトウェアの高度化、マネジメントの向上に継続的に取り組んでいます。

インサイダー情報管理においては、業務エリアの隔離、ファイルサーバーの分離に加え、ID管理によるアクセス限定とアクセス記録の解析・監査を定期的に実施していますが、さらに社内基幹システム開発と運用を通じてもこれを向上させています。例えば、従来の生産管理システムを統合し、受注から配送までの工程の一元管理を可能としたシステム「GENE-S.I.S.」は、業務効率化、情報の共有や可視化によるミス・トラブル防止等に役立っていますが、同時に重要情報・機密情報をひとつのシステム内で完結することで、不要な人の介在や情報の露出を防ぐ「隠ぺい化」につながり、インサイダー情報管理にも大きな役割を果たしています。

一方、外部からのサイバー攻撃の脅威に対応した取り組みとしては、2015年に経済産業省が公表した「サイバーセキュリティ経営ガイドライン」に経営者のリーダーシップのもと対応し、「サイバーセキュリティ経営チェックシート」の全要件を速やかに実施すべく活動しています。またCISO^※による脅威分析、報告を受け、経営レベルで脅威への対応方針とリスクマネジメントの妥当性を評価しています。

• CISO：(Chief Information Security Officer) 最高情報セキュリティ責任者

多様化するインシデントを理解し、能動的なセキュリティ対策を実施するため、当社と株式会社アスプコミュニケーションズ共通の組織としてCSIRTを構築し、グループ全体のセキュリティ強度を高めています。

CSIRTの主な役割：

コンピュータセキュリティに係る事象発生の検知
セキュリティインシデントの対処と管理
感染コンピュータの原因究明と分析
セキュリティ関連情報の把握と展開　等

• CSIRT：(Computer Security Incident Response Team) (シーサート) コンピュータやネットワーク上で問題が起きていないか監視し、問題が発生した場合にその原因解析や影響範囲の調査を行う組織の総称

これまでのコロナ禍での在宅勤務への対応と、これからの働き方改革へ向けた取り組みとして、全社員へリモート管理が可能な在宅用PCを支給し全社統一のセキュアな在宅環境を構築しています。業務は在宅用PCから社内LAN環境へのVPN経由にて行い、在宅用PCは社内データを持ち出すことは一切できません。当社では、BYOD（個人所有の情報機器の利用）による在宅勤務は実施しておりません。

外部からの標的型攻撃、ランサムウェア、DDoS攻撃等、高まる脅威に対応し、全社員向けにメール訓練を定期的に実施しています。不審メールに「気づき」、「報告する」というアクションを徹底させ、危険を素早く察知して攻撃を未然に防ぐことを目的としています。

あわせて、年2回のe-ラーニングによる情報セキュリティ教育を定期開催しています。

また、システム開発段階から、セキュリティを担保したシステム開発を行うため「セキュリティガイドライン」を作成し、そのルールを遵守した設計・開発をCSIRTの運用の一環として推進しています。

近年脅威を増しているマルウェアへの対策として、「PC上での不審な挙動、痕跡の検出・排除・調査」を行うEDR製品と、「社内ネットワーク上に流れる異常な通信」の検出を行うNDR製品を導入し、ゼロデイ攻撃にも対応できるセキュリティ環境を構築しています。

セキュリティ診断ツールを導入しており、全ての外部公開サービスについて、システム定時と年に1度のセキュリティ診断を実施しております。また、全ての外部公開システムにおいて2~3年程度のスパンで外部のセキュリティ診断会社による外部診断を実施しております。

「CSIRT^※（シーサート）」とは、システムセキュリティの問題や事故が起きてしまった際に対応する部門横断型の専門チームです。情報セキュリティインシデントの発生に備え常に点検監視を行い、有事の際には迅速に行動できるよう訓練や体制作りを行っています。
2019年から日本CSIRT協議会に加盟し他社CSIRTメンバーとの情報共有を行っております。また、社内でのCSIRT活動として、CSIRTメンバーによる月次定例会を運営しております。ここに外部の有識者を招き、第三者視点からの気づきや、セキュリティのトレンド情報等を提供して頂いております。

• CSIRT：Computer Security Incident Response Team

CSIRT活動の中で、セキュリティインシデント発生時に備えた対応手順を構築し文書化を実施しておりますが、これらについて実際にインシデントが発生した場合を想定した防災訓練を年6回実施しています。またこれらの実施結果は社内のセキュリティ委員会にて定期的に報告しています。

全社員に対してEmotet等の攻撃パターンを模したメールによる防災訓練を定期的に実施し、社員がメール攻撃への注意を怠らない活動を継続しています。