重点課題 2商品や店舗を通じた安全・安心の提供

情報セキュリティおよび個人情報保護

 セブン&アイHLDGS.およびグループ各社は、 お客さまの情報をはじめグループが保有する情報資産を、不正アクセスやサイバー攻撃などのさまざまな脅威から保護し、グループ全体の情報セキュリティを確保することが、経営上並びに事業上における重要課題であると認識しています。

 セブン&アイグループは、役員・全従業員および業務に携わる全ての関係者が情報資産を適切に取扱い、正しく利用するために、情報セキュリティ管理体制や個人情報保護体制を構築し、全ての役員・全従業員に対する教育・訓練を通してその浸透を図ります。また、社会的要請やコンプライアンス、サイバーセキュリティなどによる環境変化に応じたマネジメントシステムを確立し、個人情報などの情報資産の適切な管理・保護に努め、継続的な改善に取り組んでいます。

情報セキュリティ管理体制の構築

 従来システム部門内にあったセキュリティ部門を業務執行から独立させ、セブン&アイHLDGS.代表取締役直轄組織として新たにグループ全体のセキュリティを統括する部門として「セキュリティ統括室」を設置し、グループの共通指針となる「情報セキュリティ、個人情報保護の基本方針、および付帯する規程やガイドライン等」の再整備を行うとともに、グループ各社に対してISMS(情報セキュリティマネジメントシステム)の構築支援や教育などによるセキュリティ人材の育成、モニタリング機能の強化などセキュリティ全般の強化を行っています。

 また、セブン&アイHLDGS.が運営するグループ情報管理委員会のもと、グループ会社の情報管理員会と連携し、役員・全従業員のセキュリティに対する意識の向上、並びに配下の専門部会を通じたさらなるセキュリティの徹底を図り、グループ全体での安全・安心の確保を推進しています。

 なお、グループ各社の情報管理委員会は、情報管理統括責任者を任命し、情報セキュリティに関する企画、推進、管理を統括、個人情報などの重要情報をコンプライアンスとセキュリティの両面において安全性を確保しています。

 現在、グループ各社においてはISMSによる内部統制の構築が進められ、お客様の情報を取り扱う主要拠点については、国際基準であるISO27001の認証を取得し、外部審査による一層のセキュリティ強化に努めています。 本体制の下、「重要事実報告ガイドライン」など、グループ間のレポートラインを整備し、万が一情報セキュリティに係るインシデントや疑わしき事象が発生した際は、情報伝達の確実性を担保し、迅速な対応に努めています。

16.jpg

情報セキュリティ管理体制

役員・全従業員へのセキュリティ教育

 セブン&アイHLDGS.は、日常業務の中で個人情報や秘密情報を適切に取り扱うためには、役員・全従業員一人ひとりが重要性を理解し、情報セキュリティに対する「意識」を高め、そのうえで、正しい判断や行動をするための「知識」を持つことが必要であると考えています。

 セブン&アイHLDGS.では、情報セキュリティやサイバーセキュリティの脅威に適切に対応するため、取締役向け、管理職向け、一般職向けの3つの階層に分けて、それぞれの職責に応じたセキュリティ教育をeラーニングを通じて、年複数回実施しています。また、これらの教材はグループ各社にも展開し、セブン&アイグループの役員・全従業員が同じ知識レベルを確保できるように取り組んでいます。

 なお、教育ポータルサイトを開設し、情報セキュリティや個人情報保護などのマニュアル、ミーティング等で引用できる資料、セキュリティビデオの貸し出しなどを掲載し、役員・全従業員自らが考え、行動できるよう啓発に努めています。

●標的型攻撃メール訓練

 セ標的型攻撃メールによるサイバー攻撃の脅威は日増しに拡大をしています。万が一、役員・全従業員が攻撃を受けた場合、適切に対応できるようにするためには日常の訓練が欠かせません。セブン&アイHLDGS.では、複数パターンの模擬メールを役員・全従業員に送付して、不審メールとはどういうものか、受信した際にどのように対応すべきかなどについて、実体験を通して対応力の強化を図っています。

サイバーセキュリティ対策の強化について

 セブン&アイHLDGS.は、 日々高度化・巧妙化するサイバー攻撃を経営における重大なリスクとして位置付け、ネットワークへの不正侵入防御や適切なアクセス制御などの多層的な防御網の構築、および脅威に対応できる体制の整備、人材の教育や訓練、外部専門機関との連携などを通じて、サイバーセキュリティ対策の強化に努めています。

1)専門組織の設置 サイバーセキュリティを担う専門組織として7&i CSIRT(7&iComputer Security Incident Response Team)を設置し、情報システムおよびその運用のセキュリティレビューを行うとともに、第三者機関による脆弱性診断や不正アクセスの監視、脆弱性への対応など、セキュリティ事故を防ぐためのサイバーセキュリティ対策を推進しています。

2)教育・訓練 サイバー攻撃などが発生した際に、迅速かつ適切な対応を行い、被害を最小化するために、サイバーセキュリティ事件・事故を想定した教育・訓練を年に1度以上実施し、事件・事故に対する対応体制や対応策が有効に機能するよう専門組織および役員・全従業員の対応力の向上を行っています。

3)外部との連携 サイバー攻撃などに迅速に対応できるようJPCERT/CC、日本CSIRT協議会などの外部組織と連携してサイバーセキュリティに関する攻撃情報や対策動向などの共有を実施しいます。

重点課題2の取り組み