1. 目的
Micron Technology, Inc.(以下「当社」という。)の取締役会のセキュリティ委員会(以下「委員会」という。)の目的は、データガバナンス、プライバシー、コンプライアンス、サイバーセキュリティ、関連リスクの監視、および取締役が随時委員会に委任する可能性のある、当社のセキュリティ機能に関連するその他のタスクを含むがそれらに限定されない、当社の従業員、施設、情報インフラストラクチャーおよび全ての会社情報のセキュリティに関する取締役会の監督責任の遂行を支援することである。
2. 組織、資格、報酬
2.01. 任命。委員会のメンバーは、取締役会により任命され、取締役会の裁量により職務を遂行するものとする。委員会は、少なくとも2名の取締役で構成されるものとする。委員会のメンバーは、本第2条の基準ならびに証券取引委員会(以下「SEC」という。)またはナスダック・ストック・マーケットLLCのナスダック・グローバル・セレクト・マーケット(以下「ナスダック」という。)が求めるその他全ての基準を満たすものとする。
2.02. 独立性。委員会のメンバーの過半数は、その時点で有効なナスダックの上場基準で定義される「独立性」を満たすものとする。
2.03. 委員会の報酬。委員会のメンバーに支払われる報酬は、取締役会が独自の裁量で決定するものとする。
3. 委員長
取締役会が委員長を選任しない場合、委員会のメンバーは、委員会の全メンバーの過半数の賛成により委員長を指名するものとする。
4. 役割と責任
前述の目的を遂行するため、委員会は、以下に別途定めがない限り、以下に記載する具体的な責務と責任に加え、取締役会が随時指示するその他の責務に取り組むものとする。
4.01. 特定のセキュリティ問題に関する責務。当社の経営陣は、会社のセキュリティ慣行、手順、およびコントロールを管理する責任を負っている。委員会は監視者としての役割を担い、その役割を全うするにあたり、経営陣と委員会のアドバイザーが提供するレビューとレポートを参照することができる。監督者としての責任を果たすにあたり、委員会は以下を実施するものとする。
4.01.01 リスクの監督。経営陣と共に以下についてレビューし話し合う。(i)当社の施設と従業員の物理的なセキュリティに関するポリシー、計画、指標、プログラムに加え、当社のセキュリティ関連インフラストラクチャーと関連事業に紐づけられたエンタープライズサイバーセキュリティとデータ保護リスク、(ii)当社の事業運営全体においてかかるリスクを特定、評価、優先順位付け、および軽減するための当社のプログラムと慣行の有効性。
4.01.02 準備状況。経営陣と共に、当社のサイバー危機に対する準備状況、セキュリティ侵害とインシデント対応計画、エスカレーションプロトコルとコミュニケーション計画、上記に関する災害復旧・ビジネス継続能力についてレビューし、話し合う。
4.01.03 予防対策とインシデントの監督。経営陣と共に、当社の従業員、施設、知的財産、機密情報、事業運営の機密性、完全性、可用性、安全性、そして回復力を守るために使用する予防対策についてレビューし、話し合う。また、経営陣と共に、規制当局に提出するレポートまたは規制当局から受領したレポート、予防対策の有効性、再発低減のために講じられた措置を含む、全ての重大なセキュリティインシデントについてレビューし、話し合う。
4.01.04 製品の安全性。経営陣と共に、当社の製品に関連するサイバーセキュリティおよびデータ保護リスクについてレビューし、話し合う。
4.01.05 コンプライアンスの監督。適用される情報セキュリティ法およびデータ保護法と業界基準の遵守、当社または当社の従業員、施設、事業運営に対するセキュリティ、データプライバシー、および/またはその他の規制上のリスクやコンプライアンスリスクの新しいまたは最新の法的意味、関連する重要な法律・規制上の進展、当社と当社の事業運営が直面する脅威状況に関するレポートを経営陣から受け取る。
4.01.06 戦略的監督。当社の物理的・サイバーセキュリティ戦略、危機管理またはインシデント管理、セキュリティ関連の情報テクノロジー計画プロセスをレビューして助言を提供し、また当社の最高情報責任者と最高セキュリティ責任者と共に会社のセキュリティシステムへの投資戦略をレビューする。
4.01.07 情報公開。経営陣と共に、プライバシー、ネットワークセキュリティ、データセキュリティを含む、当社の従業員、施設、情報テクノロジーシステムのセキュリティに関してSECに提出したレポートその他の情報公開についてレビューし、話し合う。
4.01.08 外部パートナー。経営陣と共に、当社のデータにアクセスできる、当社の外部パートナーおよびその他のサードパーティサービス提供者(ベンダー、サプライヤー、業務パートナーなど)に関連するサイバーセキュリティリスクや、かかるリスクを特定し軽減するためのポリシーと手順についてレビューし、話し合う。
4.01.09 その他の関連事項。必要に応じて、リスクの特定、評価、優先順位付け、軽減、および管理に関する経営陣のプログラムを含めて、当社の従業員や施設のセキュリティ、情報テクノロジーの保護に対する委員会の監督に関連すると委員長またはその他の委員が判断したその他の事項について経営陣と共にレビューし、話し合い、助言を提供する。
4.02. 取締役会への提言。本規程に定められる委員会の役割の範囲内における、取締役会の承認を必要とする活動について、取締役会に承認を求める提言を提出する。
4.03. その他の役割。委員会の目的の範囲内、または取締役会が随時委任するその他の活動を遂行する。
4.04. 取締役会の権限の委員会への委任。取締役会は、本規程に定められる委員会の役割の範囲内において、全てまたは特定の活動について、随時、委員会に一定の水準の承認権限を与えることができる。そのような活動に関して、一定の承認権限の水準までにおいて、委員会は取締役会と同等の権限と権利を有するものとする。一定の承認権限の水準を超える活動については、委員会は取締役会に承認を求める提言を提出するものとする。
4.05. アクセス権。委員会は、その役割を果たすために適切または必要な場合、当社に合理的な事前通知を行い、当社の経営、事業、業務への支障がないよう合理的な努力を行った上で、当社の役員、従業員、帳簿、設備についてアクセスできるものとする。支障が生じないよう、そのようなアクセス要求は、委員長を通じて調整されるものとする。
4.06. コンサルタントとアドバイザー。委員会は、本規程で定められる役割を果たすという目的のため、委員会が適切と判断する内部または外部の法務、会計、サイバーセキュリティ、フォレンジック、テクノロジー、およびその他のコンサルタントまたはアドバイザー等を含む専門家から助言と支援を得る権限を有するものとする。委員会は、毎年、当社のサードパーティ監査計画と、経営陣が実施するレビューの結果をレビューする。当社は、委員会の判断に基づき、本第4.06.条に従って委員会が採用したアドバイザーに対する報酬の資金を提供しなければならない。
4.07. 調査。委員会は、委員会に委任された役割と責任の範囲内のあらゆる事項について、適切と判断される調査を実施または承認する権限を有するものとする。
4.08. 報告。委員会は、該当する場合および本規程に準拠する場合、委員会の活動、評価、提言を定期的に取締役会に報告するものとする。
4.09. 小委員会への権限委譲。委員会は、その判断により適切と認める場合、その責任を小委員会に委任する権限を有するものとする。小委員会は、本規程に準拠するものとする。
5. 会議
5.01. 会議への出席と招待者。委員会のメンバーではない非経営取締役は、委員会会議への出席は認められるが、議決権は有さない。さらに、委員会は、当社の取締役や役員を、あるいは委員会がその責任を遂行するために適切と判断した場合はその他の者を、委員会会議に招待することができる。また、委員会は、その責任を遂行するために適切と判断した場合、委員会のメンバー以外の者であれば会議から排除することもできる。
5.02. 会議。委員会は、その責務と責任を遂行するために必要であると判断した頻度、または間隔で委員会会議を開催することができる。ただし、いずれの場合も、年に少なくとも4回開催するものとする(通常は各四半期に1回)。委員会は、独自に日程を設定することができ、毎事業年度、事前に取締役会に提出するものとする。委員長または委員会のメンバーの過半数が、委員会会議を招集することができる。委員会会議は、電話および/またはビデオ会議で開催することができる。会議は、全ての参加者がお互いの声を聞き取れる形で開催するものとする。
6. 議事録
委員会は、会議の議事録を書面で作成し、その議事録を取締役会会議の議事録と共に保管するものとする。
7. 決議
委員会の各メンバーは、委員会による措置が必要な全ての事柄について、投票権として1票を有する。全委員数の3分の1を定足数とするが、最低でも2人以上でなければならない。委員会は、正式に招集された会議で、定足数に足る出席者の過半数による賛成票、または全委員による満場一致の書面による同意のみを条件として、承認された措置を講じる権限を有するものとする。委員長は、可否同数の場合に裁決権を投じる権利を有する。
8. 成績評価
委員会は、少なくとも年1回、本規程の見直しも含めた委員会の成績評価を実施するものとする。
2024年7月18日改訂・施行。
