ガバナンス

情報セキュリティ・個人情報保護

良品計画は、情報セキュリティに関するリスクは経営上の重要な課題であると認識し、情報セキュリティ※1ポリシーを定め、「情報」を適切に保護し、情報資産の安全な管理に努めます。

※1 情報セキュリティの定義
(1)「情報セキュリティ」とは、良品計画が取り扱う情報資産を「機密性」「完全性」「可用性」に関する脅威から保護することをいい、サイバーセキュリティを含みます。
(2)「サイバーセキュリティ」とは、情報の漏えい、滅失または毀損の防止など、当該情報の安全管理のために必要な措置、および情報システムや情報通信ネットワークの安全性・信頼性の確保のために必要な措置を講じ、その状態が適切に維持管理されていることをいいます。

目的

良品計画では、お客様をはじめとする関係者の皆様からお預かりしている情報資産の保護、グローバルなコーポレートブランドの維持向上、法規制を遵守するため、抜本的かつ高度な対策を講じることにより、お客様をはじめ社会からの信頼を常に得られるよう、情報セキュリティポリシーを策定しています。
「情報セキュリティポリシー」および「プライバシーポリシー※2」を遵守し、さまざまな脅威から情報資産を保護し、かつ適正に取り扱うことにより、情報セキュリティの維持・向上に努めます。

※2「プライバシーポリシー」は、個人情報保護マネジメントシステム(PMS:Personal information protection Management Systems)」に則り、別途定めています。

基本方針

1.情報セキュリティマネジメントシステムの構築

情報資産を洗い出し、各資産に発生し得るリスクを分析し、不正アクセス対策、ウイルス対策、漏洩対策などの適切な管理策を講じるための情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持改善に努めます。

2.情報資産の保護

良品計画は、情報資産の機密性、完全性及び可用性を確実に保護するために、組織的、技術的に適切な対策を講じます。

3.法令等の遵守

良品計画は、情報セキュリティや個人情報保護に関する法令、規則等を遵守します。

4.教育、研修の実施

良品計画は、全役員および従業員が、情報資産の重要性を十分に認識するように、必要な教育、研修を実施します。

適用範囲

良品計画グループの全企業および全拠点
良品計画グループの全役員および全従業員
良品計画グループが利用および所有する全情報資産

管理体制

良品計画は、基本方針に基づき、管理部門全般管掌執行役員を委員長とするコンプライアンス・リスク管理委員会がグループ全体を統括します。当該委員会には、ITセキュリティ事務局と個人情報保護事務局を設置し、情報セキュリティの状況を正確に把握し、その対策を議論・推進しています。各グループ企業・部門には情報セキュリティに関する責任者を任命し、グループ全体における情報管理体制の強化と徹底に努めています。
個人情報保護事務局は、個人情報管理に関する規程・ポリシーの策定、全体プロセスの管理を行います。ITセキュリティ事務局は、規程・ポリシーに準拠したITインフラ環境構築や整備、運用維持を実施し、継続的な改善に努めています。
また、年に4回開催されるコンプライアンス・リスク管理委員会にて活動内容を報告し、審議された内容については年2回以上、取締役会へ報告されます。

情報セキュリティマネジメント体制図

情報セキュリティマネジメント体制図

個人情報保護について

良品計画は、全事業活動において取り扱う個人情報について、「プライバシーポリシー」に基づき個人情報保護活動を行い、必要な保護と適切な安全対策を講じます。
個人情報保護について理解し実践する能力のある「個人情報保護管理者」を組織内部に属する者の中から指名し、個人情報保護マネジメントシステムの実施、運用に関する責任及び権限を他の責任にかかわりなく与え、個人情報を管理します。

情報セキュリティ水準向上に向けた取り組み

当社グループ全体での情報セキュリティを主としたリスクマネジメント体制を確立するため、2023年8月期には情報セキュリティマネジメントシステム(ISMS)に準拠した体制構築に取り組み、情報セキュリティインシデント対応チーム(MUJI-CSIRT)を発足させました。発生したサイバーセキュリティインシデントに関する収束対応や、セキュリティの改善を実施するなど、リスクを最小限にとどめるための組織です。各部より推進者が選出され、部門を横断した迅速で効率的な対応を実現します。2023年8月には、「日本シーサート協議会(一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会)」に正式加盟しました。

情報セキュリティに関する教育について

良品計画は、情報セキュリティ管理において、所属する全員の深い理解と参加が欠かせないとの認識の下、すべての役員および従業員に対して、情報セキュリティに関する教育訓練を行い、継続的なセキュリティリテラシーの向上、理解度の確認、意識向上のための施策など、実効性のある以下の取り組みを定期的に実施しています。組織全体のリテラシー向上により、サイバーリスクに強い企業を目指します。

1.eラーニングによる「情報セキュリティに関する講座」を全従業員に対し年2回以上実施

2.全従業員を対象に年2回「標的型メール訓練」を実施

3.長期休暇前など適所的な注意喚起や日々の業務中の啓発活動やフォローアップを実施

情報セキュリティに関する教育について