ガバナンス
情報セキュリティ・個人情報保護
良品計画は、情報セキュリティに関するリスクは経営上の重要な課題であると認識し、情報セキュリティ※1ポリシーを定め、「情報」を適切に保護し、情報資産の安全な管理に努めます。
※1 情報セキュリティの定義
(1)「情報セキュリティ」とは、良品計画が取り扱う情報資産を「機密性」「完全性」「可用性」に関する脅威から保護することをいい、サイバーセキュリティを含みます。
(2)「サイバーセキュリティ」とは、情報の漏えい、滅失または毀損の防止など、当該情報の安全管理のために必要な措置、および情報システムや情報通信ネットワークの安全性・信頼性の確保のために必要な措置を講じ、その状態が適切に維持管理されていることをいいます。
目的
良品計画では、お客様をはじめとする関係者の皆様からお預かりしている情報資産の保護、グローバルなコーポレートブランドの維持向上、法規制を遵守するため、抜本的かつ高度な対策を講じることにより、お客様をはじめ社会からの信頼を常に得られるよう、情報セキュリティポリシーを策定しています。
「情報セキュリティポリシー」および「プライバシーポリシー」を遵守し、さまざまな脅威から情報資産を保護し、かつ適正に取り扱うことにより、情報セキュリティの維持・向上に努めます。
基本方針
1.情報セキュリティマネジメントシステムの構築
情報資産を洗い出し、各資産に発生し得るリスクを分析し、不正アクセス対策、ウイルス対策、漏洩対策などの適切な管理策を講じるための情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持改善に努めます。
2.情報資産の保護
良品計画は、情報資産の機密性、完全性及び可用性を確実に保護するために、組織的、技術的に適切な対策を講じます。
3.法令等の遵守
良品計画は、情報セキュリティや個人情報保護に関する法令、規則等を遵守します。
4.教育、研修の実施
良品計画は、全役員および従業員が、情報資産の重要性を十分に認識するように、必要な教育、研修を実施します。
適用範囲
良品計画グループの全企業および全拠点
良品計画グループの全役員および全従業員
良品計画グループが利用および所有する全情報資産
管理体制
良品計画は、基本方針に基づき、管理部門全般管掌執行役員を委員長とするコンプライアンス・リスク管理委員会がグループ全体を統括します。当該委員会には、ITセキュリティ事務局と個人情報保護事務局を設置し、情報セキュリティの状況を正確に把握し、その対策を議論・推進しています。各グループ企業・部門には情報セキュリティに関する責任者を任命し、グループ全体における情報管理体制の強化と徹底に努めています。
個人情報保護事務局は、個人情報管理に関する規程・ポリシーの策定、全体プロセスの管理を行います。ITセキュリティ事務局は、規程・ポリシーに準拠したITインフラ環境構築や整備、運用維持を実施し、継続的な改善に努めています。
また、年に4回開催されるコンプライアンス・リスク管理委員会にて活動内容を報告し、審議された内容については年2回以上、取締役会へ報告されます。
取締役会は、審議された当社グループの各事業における情報セキュリティに関する事案やリスク評価及び低減策の十分性を確認し、進捗について監督しています。
情報セキュリティマネジメント体制図
個人情報保護について
良品計画は、全事業活動において取り扱う個人情報について、「プライバシーポリシー」に基づき個人情報保護活動を行い、必要な保護と適切な安全対策を講じます。
個人情報保護について理解し実践する能力のある「個人情報保護管理者」を組織内部に属する者の中から指名し、個人情報保護マネジメントシステムの実施、運用に関する責任及び権限を他の責任にかかわりなく与え、個人情報を管理します。
情報セキュリティの強化
ISO27001認証※1の取得
良品計画は2025年07月に「まちの保健室」の事業※1を対象に、ISMS認証※2(ISO/IEC 27001:2022(JIS Q 27001:2023)取得しました。ISMS認証の基準に従い、定期的にかつ必要に応じて情報セキュリティの監査を行い、違反する行為があれば対処して情報を適切に管理します。
登録番号:IS 821908
組織名称:株式会社良品計画
登録範囲:健康相談、漢方販売、健康に関するイベントの計画及び運営並びにまちの保健室事業の運営
初回認証登録日:2025年7月7日
※1 無印良品 酒田内「まちの保健室」を除く
※2 ISMS認証(ISO/IEC27001: 2022)。情報セキュリティマネジメントシステムに対する第三者適合性評価制度。
情報セキュリティ全体の向上に貢献するとともに、国際的にも信頼を得られる情報セキュリティレベルの達成を目的とした制度。
CSIRTの取り組み
良品計画グループは、情報セキュリティマネジメントシステム(ISMS)に準拠した体制構築に取り組んでいます。情報セキュリティ問題への対処を行う機能として、(MUJI-CSIRT)を設置し、「日本シーサート協議会(一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会)」に正式加盟しています。
MUJI-CSIRTでは、情報セキュリティ管理策の導入や関連する情報収集、分析、リスク評価など情報セキュリティに関わる一連の活動を行っています。
これらの活動により、当社グループにおける情報セキュリティマネジメントシステムを確立しております。
インシデント発生時の対応
インシデントが発生した際には、CSIRT(※)を中心として、適切な手順に従って迅速に対応し、被害を最小限にとどめ、再発防止に努めています。併せて発生した事象を振り返り、情報セキュリティにおける当社の問題点を特定し、改善を進めるなど、継続的な再発防止に努めています。
※IT部門の担当役員および情報セキュリティ事務局を中心としたインシデントレスポンスを行う横断的な組織
情報セキュリティに関する教育について
良品計画は、情報セキュリティ管理において、所属する全員の深い理解と参加が欠かせないとの認識の下、すべての役員および従業員に対して、情報セキュリティに関する教育訓練を行い、継続的なセキュリティリテラシーの向上、理解度の確認、意識向上のための施策など、実効性のある以下の取り組みを定期的に実施しています。組織全体のリテラシー向上により、サイバーリスクに強い企業を目指します。
1.eラーニングによる「情報セキュリティに関する講座」を全従業員に対し年2回以上実施
2.全従業員を対象に年2回「標的型メール訓練」を実施
3.長期休暇前など適所的な注意喚起や日々の業務中の啓発活動やフォローアップを実施
情報セキュリティeラーニング
| 実施時期 | 研修テーマ | 受講率 | 受講者数 |
|---|---|---|---|
| 2022年12月 | 情報セキュリティ | 80.5% | 1,528 |
| 2023年3月 | 個人情報保護 | 77.5% | 1,858 |
| 2023年9月 | SNS・ステルスマーケティング | 87.0% | 2,076 |
| 2024年2月 | 個人情報保護 | 41.9%※ | 4,472 |
| 2024年10月 | 個人情報保護 | 74.0% | 16,693 |
| 2025年5月 | 生成AIに関するリスク | 81.0% | 2,155 |
※2024年2月の研修より、研修対象者をパートナー社員、アルバイトを含む全従業員に拡大しました。
今後、パートナー社員、アルバイトへの情報セキュリティ教育を、さらに強化していきます。