1. トップ
  2. グループ情報セキュリティ方針

グループ情報セキュリティ方針

丸井グループ((株)丸井グループを中心とする企業グループ)は、小売・金融の一体化による事業活動を通じて、お客さまをはじめとするステークホルダーの皆さまの「しあわせ」を共に創る共創経営を進めています。これを実現するために丸井グループでは、お客さまの情報をはじめ、丸井グループが保有する情報資産を、不正アクセスやサイバー攻撃などのさまざまな脅威から保護し、グループ全体の情報セキュリティを強化していくことが、経営上の最重要課題であると認識しています。

この考え方のもと、丸井グループは「グループ行動規範」の趣旨に基づき、「グループ情報セキュリティ方針」を以下の通り定めました。今後は、本方針および別掲の「グループ プライバシーポリシー」「グループ ソーシャルメディアポリシー」を役員・社員が順守し、かつ適正に取り扱うことを通じて、情報セキュリティの維持・向上に努めます。

  • 1. 目的

    本グループ方針は、お客さま、および丸井グループの情報資産を、社内外の故意または偶然によるすべての脅威から保護し、安定した事業活動を継続することを目的として、情報セキュリティマネジメントシステムを構築・運営するための方針として定めます。

  • 2. 基本原則

    • (1) 丸井グループは、その事業において、個人および組織から提供を受けた情報を適切に取り扱い、当該個人および組織の権利・利益を保護します。
    • (2) 丸井グループは、その事業において、営業秘密、技術情報、その他の価値ある情報を適切に取り扱い、丸井グループの権利・利益を保護します。
    • (3) 丸井グループは、情報セキュリティ対策に関わる研究および人材育成に努めることで、お客さまの情報セキュリティの確保・向上を図り、お客さま、ひいては社会全体の信頼に応えます。
  • 3. 適用範囲

    本方針は、丸井グループの役員・社員に適用します。

  • 4. 情報セキュリティの定義

    • (1) 「情報セキュリティ」とは、丸井グループが取り扱う情報資産を「機密性」「完全性」「可用性」に関する脅威から保護することをいい、サイバーセキュリティを含みます。
    • (2) 「サイバーセキュリティ」とは、情報の漏えい、滅失または毀損の防止など、当該情報の安全管理のために必要な措置、および情報システムや情報通信ネットワークの安全性・信頼性の確保のために必要な措置を講じ、その状態が適切に維持管理されていることをいいます。
  • 5. 情報セキュリティ体制

    丸井グループは、情報セキュリティを脅かすさまざまな要因を事業遂行上のリスクとして認識し、以下の内容の情報セキュリティ体制を整備します。

    • (1) 丸井グループの情報システムのリスクマネジメントについては、(株)丸井グループの代表取締役社長を議長とするコンプライアンス推進会議がグループ全体を統括するものとします。
    • (2) 丸井グループは、情報セキュリティの状況を正確に把握し、その対策を議論するための情報セキュリティ委員会を設置します。情報セキュリティ委員会は、コンプライアンス推進会議に活動内容を報告し、グループ全体の情報セキュリティ対策を速やかに実施できる体制を構築します。
    • (3) 丸井グループは、グループ全体の情報資産等を保護し、適切な管理を行うために最高セキュリティ責任者としてCSO(Chief Security Officer)を配置し、CSOは丸井グループにおける情報セキュリティ対策の実行に関して責任と権限を持つものとします。
    • (4) CSOは、職務の実行状況について、(株)丸井グループの取締役会、およびコンプライアンス推進会議において、必要に応じて報告を行います。
    • (5) 丸井グループは、情報セキュリティシステムを管理・運営するグループ会社の(株)エムアンドシーシステム代表取締役社長を最高情報責任者CIO(Chief Information Officer)として配置します。
    • (6) 丸井グループでは、組織的または個人的な法令違反行為や不正行為等の抑制と是正を図ることを目的に、「丸井グループホットライン(内部通報制度)」を設置しています。当制度は、社内規程に基づいて運用し、通報窓口は(株)丸井グループの監査部および社外の弁護士事務所に設け、通報者に対して不利益な取り扱いを行わないことを規定しています。
  • 6. 情報セキュリティ対策

    • (1) 情報セキュリティ対策フレームワークの構築
      丸井グループは、情報セキュリティのリスクに応じた対策の実施計画を策定し、その計画が確実に実施されているかを評価します。また、継続的に改善するためのプロセス(PDCA)に基づくフレームワークを整備します。
    • (2) 関連規定の整備・法令順守
      丸井グループは、情報セキュリティ対策を適切に実施するための関連社内規程を整備し、役員・社員に周知徹底します。情報セキュリティに関連する法令または社内規程の違反に対しては、厳しく対処します。
    • (3) リソースの確保
      • ① 丸井グループは、情報セキュリティ対策を適切に実施するために必要な経営資源を確保・投入します。
      • ② 丸井グループは、情報セキュリティ対策を実施する上で必要な人材の育成・確保を計画的、継続的に行います。
      • ③ 丸井グループは、役員・社員に対し、情報セキュリティに関する啓発と教育を行い、その重要性を認識させ、行動させます。
      • ④ 丸井グループは、外部の情報共有活動に積極的に参加し、情報セキュリティ対策に反映します。
    • (4) お取引先さま・ビジネスパートナーさま等との情報セキュリティ確保の共有
      丸井グループは、お取引先さま、および関係企業や外部委託先などのビジネスパートナーさまに対して、丸井グループの情報セキュリティに関する方針等を周知するとともに、適切な情報セキュリティの確保を求めます。
    • (5) 情報開示
      丸井グループは、ステークホルダーからの信頼性を高めるために、情報セキュリティへの取り組みに関する情報を適切に開示します。
    • (6) 監査体制の整備・充実
      丸井グループは、業務の遂行において情報セキュリティに関する諸法令、行政機関・業界団体の規範、社内規程・ルールなどが順守され、有効に機能していることを検証するため、定期的かつ必要に応じて情報セキュリティの監査を行い、違反する行為があれば厳しく対処して情報を適切に管理します。
    • (7) 情報セキュリティ対策を反映したシステムの実現
      丸井グループは、情報資産に対する不正アクセス・破壊・情報漏えい・改ざんなどの事故を未然に防止するため、情報セキュリティ対策を反映したシステムを実現します。
    • (8) 情報セキュリティリテラシーの向上
      丸井グループは、役員・社員に対して、情報セキュリティリテラシーの向上を図り、グループ全体の情報資産の適切な管理を実行するための教育・訓練を継続的に実施します。
  • 7. お客さまの個人情報保護

    丸井グループは、全事業活動において取り扱う個人情報について、「グループ プライバシーポリシー」に基づいた個人情報保護活動を行い、必要な保護と適切な安全対策を講じます。

  • 8. 情報セキュリティインシデントの対応

    丸井グループは、情報セキュリティリスクの顕在化(以下、「情報セキュリティインシデント」という)に備え、以下の内容の体制・対応方針を整備します。

    • (1) 丸井グループは、情報セキュリティインシデントに対する報告体制や初動対応マニュアルを装備し、関係者に周知徹底させ、定期的かつ実践的な訓練を行います。
    • (2) 丸井グループでは、重大な情報セキュリティインシデントが発生した場合、認知した部署の所属長は情報セキュリティ委員長およびCSOへ速やかに報告します。
      情報セキュリティ委員長は、CIOへ報告し、CSOは(株)丸井グループ代表取締役社長に適宜報告します。
    • (3) CSOが重大な情報セキュリティインシデントの発生の報告を受けた場合、CSOの指揮のもと、専門チームを設置し、対応します。
    • (4) (株)丸井グループの代表取締役社長が緊急事態の報告を受けた場合、必要に応じて、速やかに対策本部を設置します。当対策本部は、適切な対応によって問題の早期解決を図るとともに、原因究明に努め、再発防止策を立案・実行します。
    • (5) 情報セキュリティインシデントの発生に際しては、官公庁への届け出や関係者への通知を状況に応じて適切に行います。
  • 9. 本方針の改廃

    本方針の改廃については、(株)丸井グループの取締役会で適宜レビューを行い、十分に議論した上で決定します。
    ただし、組織名の変更などの軽微な改定は、CSOの裁量により行うことができるものとします。

  • 10. 継続的改善の実施

    丸井グループは、以上の取り組みを定期的に評価し、見直すことで、社内外の情報セキュリティの最新動向やIT技術の変化に応じて情報セキュリティマネジメントを継続的に改善します。

  • 11. 第三者評価・認証取得の状況

    • (1) 情報セキュリティマネジメント(ISO27001)
      (株)エムアンドシーシステムのシステムセンター事業本部では、2006年にISMS認証を取得しました。さらに、2007年3月には、ISMSの国際規格化、およびJIS化に伴い、ISO27001認証を取得しています。
    • (2) ITサービスマネジメント(ISO20000)
      (株)丸井の営業商品・通販系システムおよび(株)エポスカードの基幹系システムでは、2008年4月にISO20000認証を取得しました。システム障害発生時の迅速な対応、再発防止体制などの高品質なサービス内容が評価されました。
    • (3) プライバシーマーク(JIS Q 15001)の認定
      個人情報を取り扱うグループ会社の(株)エムアンドシーシステム、(株)エポスカード、(株)エイムクリエイツ、(株)ムービング、(株)エムアールアイ債権回収、(株)マルイホームサービスは、個人情報保護に関する整備水準について、JIS規格に適合しています。これにより、JIPDEC(一般財団法人日本情報経済社会推進協会)に認定され、プライバシーマークの使用を許可されています。

2018年6月25日制定

PAGETOP