株式会社セブン&アイ・ホールディングスとその国内子会社(以下「当社グループ」といいます。)は、コンビニエンスストア、スーパーストア、百貨店、専門店、金融など多彩な業態およびeコマースを通じて、お客さまに新たな価値やサービスを提供しています。
これらの提供に際して、お客さまの情報をはじめグループが保有する情報資産を、不正アクセスやサイバー攻撃などのさまざまな脅威から保護し、グループ全体の情報セキュリティを確保することが、経営上の最重要課題であると認識しています。
当社グループは、情報資産を積極的に活用し、デジタル戦略を通じて存在価値のある企業グループへと発展していくために、役職員および業務に携わる全ての関係者が情報資産を適切に取扱い、正しく利用するために情報セキュリティの基本方針を定めております。
私たちは、この基本方針に基づいて、情報セキュリティ管理体制を確立し、全ての役職員に対する教育・訓練を通してその浸透を図るとともに、社会的要請やサイバーセキュリティなどによる環境変化に応じたマネジメントシステムを構築し、継続的な改善に取り組んでまいります。
令和5年4月1日改訂
株式会社セブン&アイ・ホールディングス
代表取締役社長 井阪 隆一
- 1情報セキュリティ体制
当社グループは、当社の代表取締役の直轄組織としてグループセキュリティ統括室を設置し、グループ各社に対して統制環境の構築支援および統制状況の評価を行い、情報管理委員会のもと、グループ全体における情報セキュリティの強化と徹底に努めています。また、グループ各社においても、情報セキュリティに関する企画、推進、管理を統括するため、情報管理統括責任者を任命し、グループ各社の情報管理委員会のもと、秘密情報・個人情報などの重要情報の安全性を確保します。
- 2情報セキュリティの取り組み
- 1コンプライアンス
当社グループは、情報セキュリティに関して当社グループに適用される国内外の法令、規制および契約上の義務を遵守し、その他の情報セキュリティに関連する規格、ガイドラインなどについても準拠に努めます。
また、情報セキュリティ対策を適切に実施するために情報セキュリティ関連規程を整備します。
- 2情報セキュリティ管理体制
当社グループは、情報セキュリティ対策に必要な資源を確保し、情報セキュリティ管理体制の維持、向上を図ります。
- 3情報資産の管理と保護
当社グループは、情報資産のリスクアセスメントを実施の上、適正な情報セキュリティ管理を行います。また、当社グループの役職員は、いかなる理由があっても、業務上の目的以外に、当社グループの情報資産を利用しません。
- 4人的管理
当社グループは、情報セキュリティに対する責任と義務、罰則の周知徹底と意識向上のため、役職員に対する教育・訓練を定期的に行います。
- 5物理的アクセス管理
当社グループは、故意または過失により生ずる情報の漏えい、盗難、改ざんおよび破壊などの脅威から情報資産を保護するため、当該情報資産の重要度に応じて、施錠、監視および入退室制限などの物理的なアクセス管理を行います。
- 6技術的管理
当社グループは、情報システムへのアクセス制御、情報システムの開発・運用管理などの情報システムの脆弱性に起因する情報の漏えい、改ざん、紛失、滅失および毀損への防御・検知・分析などの技術的な対策を行います。
- 7ビジネスパートナー、委託先などのサプライチェーン全体の情報セキュリティの確保
当社グループは、ビジネスパートナー、委託先などのサプライチェーン全体の情報セキュリティ対策状況の把握に努めるとともに、適切な情報セキュリティ管理を求めます。
- 8情報セキュリティ事件・事故の対応
当社グループは、情報セキュリティ事件・事故の発生に備え、当社グループ内外の関係者と連携し、効果的な対策を迅速に行うための体制と手順を確立します。また、情報セキュリティの事件・事故またはそれに繋がるおそれのある事象が発生した場合は、迅速かつ適切に対応し、被害の最小化と再発防止に取り組みます。
- 9事業継続における情報セキュリティの確保
当社グループは、災害や事故などの発生に備え、事業継続計画を策定し、情報セキュリティの確保に努めます。
- 10情報セキュリティ関連情報の入手と提供および有効活用
当社グループは、情報セキュリティに関する情報共有活動へ参加し、積極的な情報入手と提供を行います。また、入手した情報を有効活用するための環境を整えます。
- 11点検・監査
当社グループは、定期的および必要に応じて点検および監査を実施し、情報セキュリティ関連規程が遵守されていること、情報セキュリティを確保するための対策が妥当かつ有効であることを検証し、問題があった場合には是正を行います。
- 12継続的改善
当社グループは、情報セキュリティに係わる管理体制およびセキュリティ対策の維持向上を図るべく、継続的な改善に取り組みます。
- 3サイバーセキュリティ対策の強化について
当社グループは、日々高度化・巧妙化するサイバー攻撃を経営における重大なリスクとして位置付け、ネットワークへの不正侵入防御や適切なアクセス制御などの多層的な防御網の構築、および脅威に対応できる体制の整備など、サイバーセキュリティ対策の強化に努めます。
- 1専門組織の設置
サイバーセキュリティを担う専門組織を設置し、情報システムおよびその運用のセキュリティレビューを行うとともに、第三者機関による脆弱性診断や不正アクセスの監視、脆弱性への対応など、セキュリティ事故を防ぐためのサイバーセキュリティ対策の向上に努めます。
- 2教育・訓練
サイバー攻撃などが発生した際に、迅速な対応を行い、被害を最小化するために、平時よりサイバーセキュリティ事件・事故を想定した教育・訓練を行い、事件・事故に対する対応体制が有効に機能するよう専門組織および役職員の対応能力向上に努めます。
- 3外部との連携
サイバー攻撃などに迅速に対応できるようJPCERT/CC、日本CSIRT協議会などの外部組織と連携してサイバーセキュリティに関する攻撃情報や対策動向などの共有を行います。
以 上