情報セキュリティ Sustainability

基本的な考え方

企業が持つ情報資産は、常にセキュリティリスクに晒されており、万一の事故発生時には多くのステークホルダーに影響を及ぼします。情報セキュリティの確保は企業の重要な社会的責任であるという認識のもと、ゴールドウインでは2008年3月に「情報セキュリティ基本方針」を策定し、取り組んでいます。加速する事業のグローバル化やEコマースの拡大など昨今の流れを受け、2021年10月には同方針を改定し、より変化に即した管理が行えるよう推進体制を整備しています。すべての役職員が多様なリスクへの意識を高め、情報セキュリティの維持・向上に取り組み、社会に一層信頼される企業を目指します。

情報セキュリティ基本方針

当社は、事業活動を正常かつ円滑に行う上で、情報セキュリティの確保は重要課題のひとつであると考え、当社の情報資産を保護する指針として、情報セキュリティ基本方針を策定し、実施いたします。

  1. 情報セキュリティ体制の確立
    1. 当社は、情報セキュリティの維持および向上のため、情報セキュリティ活動に必要な資源を確保し、推進体制を確立します。
  2. 情報資産の保護
    1. 当社は、情報資産の機密性、完全性及び可用性を確保するための適切な管理を行い、これらを脅かす全ての脅威から情報資産を保護することに努めます。
  3. 法令等の遵守
    1. 当社は、情報セキュリティに関する法令、規則等を遵守します。
  4. 教育、研修の実施
    1. 当社は、役職員が情報セキュリティの確保に係る責任と義務について十分に認識するように、定期的に教育、研修を実施します。
  5. 継続的な改善
    1. 当社は、情報セキュリティに関する法令、規則等の改訂や技術革新に伴うリスクの変化に対応するため、本情報セキュリティ基本方針および関連する当社諸規程、管理体制の評価と見直しを定期的に行い、情報セキュリティの継続的な改善を図ります。
  6. 事故への対応
    1. 当社は、情報セキュリティに関する事故の発生予防に努めるとともに、万一事故が発生した場合は、事故対応のみならず再発防止策を含む適切な対策を速やかに講じます。

策定:2008年3月17日
改定:2021年10月1日

推進体制・責任者

当社では、2021年10月に発足した情報セキュリティ委員会を主管組織とする情報セキュリティ推進体制を整備しています。情報セキュリティ委員会は、情報システム部門を統括する本部の本部長(管理本部長)が委員長を務め、重要事項は経営会議を通して取締役会から監督・指示を受けています。委員会は原則として1年に2回開催することとし、必要に応じて委員長が随時招集します。

情報セキュリティ委員会と各部門をつなぐ役割として、各部(室・事業グループ)の長が情報資産管理者を担い、情報セキュリティ委員会からの指示を従業員に周知し、施策を実施しています。

体制図

情報セキュリティ教育

情報漏洩などのセキュリティインシデントの原因の多くは人的要因とされ、事故の未然防止には従業員一人ひとりが情報セキュリティへの意識やリテラシーを高めることが欠かせません。2022年度は、情報セキュリティの考え方やインシデント事例とその対策、社内体制・ルールなどについて、Eラーニングまたは集合研修による従業員教育を行なっており、対象従業員(内勤)1,494名全員の従業員が受講しています。また、店舗スタッフは、各店舗に研修資料を送付し、各店長より教育を実施しています。対象244店舗全店で受講が完了しています。

教育内容は適宜カリキュラムを見直し、変化の激しい情報技術の現状を踏まえて内容を更新していきます。

標的型攻撃メール訓練の実施

2022年度は、従業員がサイバー攻撃をより身近なリスクとして捉えられるよう、標的型攻撃メール訓練(2回)を実施しました。

近年、標的型攻撃メールにより特定の企業や組織を狙った重要な情報が盗まれる事案や身代金を要求される事案、ビジネス詐欺メールにより、金銭が搾取される事案が頻発しており、当社においても同種のメールの受信が確認されています。その対策の一環として、情報セキュリティ委員会事務局より、訓練として模擬の標的型攻撃メールを従業員に送付しました。従業員が標的型攻撃メールに実際に触れることにより、「疑わしいメールは開封しない」「怪しいメールを受け取った場合に、メール本文中のURLをクリックしない」「添付ファイルを開封しない」など判断できるようになり、ウイルス感染、情報漏洩等のリスクを低減させる効果が期待されます。2回の訓練において2回とも添付ファイルを開いた従業員は再度Eラーニングを受講するなどの教育を行っています。

情報資産管理の徹底

当社では、新体制のもと全社で情報資産の管理を強化していくため、管理ルールの再整備が重要と考えています。その第一歩として、2021年度より社内で管理する情報資産の実態把握に取り組んでいます。各部門がそれぞれどのような情報を持ち、現在どう管理しているかをヒアリングし、運用状況について分析を進めます。

ゴールドウインの文書取扱規程では「極秘」「秘」「社外秘」の三つの基準が定められており、2021年度はその中で最も厳格な管理を必要とする「極秘」にあたる情報、および個人情報についての調査を行い、2022年度は、グループ会社にも対象を広げて情報資産の棚卸を実施しました。情報資産の洗い出しは、今後、管理ルールの明文化と全社統一、遵守の徹底につなげていきます。

また、情報資産管理の徹底とともに、USBメモリ機器の利用制限強化にも取り組んでいます。利用承認基準を明確化し、すでに承認されている機器についても再審査を実施しました。2023年度以降はUSBメモリ利用可能PCの限定化等、更なるUSB利用制限強化を実施します。

情報セキュリティインシデント問い合わせ窓口

情報セキュリティインシデント発生時には、当該者から迅速な報告を受け、組織として対応していくことが極めて重要です。当社では2021年8月、万一に備えた「情報セキュリティインシデント問い合わせ窓口」を新設し、運用を開始しています。 2022年度の問い合わせ件数は25件でうち21件はスパムメールの問い合わせでした。情報漏洩につながり得るインシデントが認められた場合、自部署の上長への報告に加え、本窓口へ直ちに連絡することを、全従業員に周知徹底しています。

情報セキュリティインシデント例

  • PCなどの情報機器の紛失
  • 迷惑メール、スパムメールの添付ファイル・URLへのアクセス
  • ウイルスファイルのインストール
  • 会社で利用するSNSなどのID乗っ取り
  • 誤った操作による個人情報の流出

今後の課題

情報セキュリティの重要性が高まり続ける中、今後も技術面・運用面・体制面・教育面を合わせてマネジメントの高度化を目指していきます。適切な管理指標を設定し、着実な推進に努めます。

次年度以降は、事業で使用する主要なコンピュータ、ネットワーク等のそれぞれのリスクを評価し、優先度をつけた対策の検討を進めるほか、情報セキュリティのマネジメントを専属で行う人員の確保と、専管組織の立ち上げによるさらなる体制強化に取り組む計画です。

Sustainability Top