ガバナンス
コーポレートガバナンス
経営機構における監督機能を強化するとともに、透明性の確保、迅速な職務執行体制、リスク管理体制の確立をはかっています。
内部統制
取締役の善管注意義務のひとつとして、C&R社ならびにグループ会社全体の業務を適正かつ効率的に遂行するため、会社法および会社法施行規則に基づく内部統制システム体制の整備を進めています。
リスクマネジメント・危機管理
リスクに対する考え方
C&Rグループでは、平時からリスクの洗い出しを行っております。特に危機発生の可能性が高いリスク、事業運営への影響度が高いリスクについては、予め未然防止及び発現時の影響の最小化に向けた活動を推進し、グループ全体でのリスク管理体制の強化をはかっています。また、事業継続の危機に直面したときの対応に関する基本的事項を定め、事業を取り巻くさまざまなリスクに対して的確な管理および対応ができることを目的とした「危機管理規程」を策定しています。
リスクマネジメント基本方針
・企業価値の向上
・企業資産の保全
・事業継続
・ステークホルダーの信頼
リスクマネジメント体制
危機管理規程に基づき、当社グループのリスクマネジメントに関する議論を集約し、実行の質・スピードをさらに高めることを目的とした委員会を設置しています。代表取締役を委員長とし、常勤取締役、執行役員により構成し、当社グループのリスクマネジメントに関する課題を審議し、取締役会に審議・報告します。本委員会には、より専門的な課題である、災害、情報セキュリティのBCP(Business Continuity Plan)などを議論するために、委員会の配下に「分科会」を設置し、適切な議論をおこなっています。
リスクの定義と分類
C&Rグループでは、定期的にリスク項目の整理を行い、事業・従業員・従業員の家族・グループの関係者が被るあらゆる損失・法令違反・倫理違反の未然防止と発生時の被害拡大防止に努めています。
従業員...感染症などの生命・健康安全を脅かす事態、労働災害、不祥事、差別など
災害...火災、地震、風水害、紛争、テロなど
情報...機密の漏洩、ITシステムやコンピューター機器の障害など
企業活動...会社の過失による取引先及びユーザーへの損害、内部統制の機能不全、ステークホルダーからの重大クレーム、風評被害など
財務・経理...不良債権、貸し倒れ、金銭事故など
法務...インサイダー情報規制、独禁法、下請け法などの法令違反
気候変動...物理的リスク、慢性リスクなど
危機管理体制
C&Rグループでは、実際に危機が発生したときには、「危機管理規程」に則り、役職員一丸となって迅速かつ冷静に対応をします。必要に応じ、代表取締役社長を本部長とした対策本部を設置し、対応にあたります。
[緊急事態の基本対応]
・安全確保の最優先:人命の保護・救助を最優先とする。
・届出及び情報の公開:官公庁への届出が必要なものは迅速かつ正確に届出をおこなう。また、必要な情報については、事実に基づき迅速に公開し、不安の増大を防止する。
内部通報制度
C&Rグループは、法令や企業倫理、マナーやモラル、人権侵害などコンプライアンス違反行為などによる不正の芽を早期に発見し、法令違反と不正行為を未然に防ぎ、コンプライアンス意識の向上をはかることを目的として、内部通報規程を制定し、通報窓口を設けております。通報窓口は、クリーク・アンド・リバー社 内部監査室が窓口となり通報に対応します。通報窓口への情報提供者の匿名性の保護及び不利益が生じないよう配慮し、通報を受け付けた後、内部監査室が通報内容を検討の上、調査チームを編成し、調査を行い、対処方法を検討します。内部通報制度は、コンプライアンス経営の強化を目的としております。
情報セキュリティ
情報セキュリティ基本方針
C&Rグループは、グループ統括理念である「人の能力は、無限の可能性を秘めています。私たちはその能力を最大限に引き出し、人と社会の幸せのために貢献します。」に基づき、C&Rグループがたずさわる情報および情報資産を過失、事故、災害、犯罪などの脅威から守る対策を講じます。プロフェッショナル、クライアント、社会に対する継続的、かつ安定的なサービスの提供を確保するため、情報セキュリティポリシーを策定し、適切な情報セキュリティ対策を実施し推進いたします。
1. 適用範囲
本基本方針は、C&Rグループが事業活動内で取り扱う「情報資産」全てを対象とします。「情報資産」とは、有形・無形に関わらず、保有または管理するデータ・情報、システム・ネットワーク・設備を対象とします。
2. 情報セキュリティ管理体制
C&R社は情報セキュリティ体制を構築し、その実効性の確保と維持・向上の為に管理部門取締役が情報セキュリティ責任者となります。
3. 内部規定の整備と遵守
情報セキュリティポリシーに基づいた内部規程を整備し、個人情報を含む情報資産全般の取り扱いについて明確な方針を示すとともに、遵守するよう周知徹底いたします。
4. 情報資産の保護
保有する全ての情報資産を機密性、完全性、可用性の視点から重要性を認識し、情報セキュリティ体制のもと適切な情報資産の保護に努めます。
5. 監査体制の整備
情報セキュリティポリシーの遵守状況を点検し・評価し、定期的に監査を実施することで、セキュリティの確保及び保護対策に努めます。
6. 法令遵守
情報セキュリティに関連する法令やガイドラインを遵守いたします。
7. 情報セキュリティ教育の実施
役員・従業員・登録スタッフ・協力会社社員等に対して本基本方針ならびに関連諸規程などの説明や教育を実施いたします。
8. 事故への対応
不正アクセス・情報資産の紛失・漏洩・改ざん・破壊などの予防ならびに是正に適切な処置を講じ、万一の問題発生に対しては迅速に対応いたします。
9. 見直しと改善
社内外の情報セキュリティを取り巻く変化を考慮し、情報セキュリティマネジメントシステムを継続的に改善してまいります。
業界団体との連携
C&R-CSIRT(クリーク・アンド・リバー社 CSIRT)
C&R社は、当社情報推進部を中心としたC&R社全体のサイバーセキュリティインシデントに対応する組織、CSIRT(Computer Security Incident Response Team、シーサート)*i「C&R-CSIRT(クリーク・アンド・リバー社 CSIRT)」を立ち上げ、2023年11月に日本シーサート協議会*iiに加盟登録しました。 情報セキュリティインシデントが発生した際の適切な対応と、早期終息のためのプロセスの改善をはかり、社内活動だけでなく社外との連携を深め、セキュリティ情報共有と活用に努めています。 また、セキュリティ品質の維持・向上の企画・計画を担い、当社の情報セキュリティの改善を推進します。
*i:コンピュータセキュリティにかかるインシデントに対処するための組織の総称。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動
*ii:正式名称は「一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会」。シーサート間の緊密な連携をはかり、シーサートにおける課題解決に貢献するための組織