情報セキュリティの取り組み

情報セキュリティ

ファーストリテイリングは、グローバルでの事業の拡大やサイバー攻撃などの脅威の高まりを背景に、情報セキュリティを経営上の重要課題の一つと位置づけ、グループ全体で取り組みを強化・徹底しています。以下では、ファーストリテイリンググループが定める情報セキュリティに関する取り組みおよび体制に関する詳細を説明しています。

ファーストリテイリングは、お客様・取引先・株主・地域社会などのステークホルダーから信頼される企業であり続けるために、全ての情報資産※の適切な使用および保護を、全役員および従業員が取り組むべき重要課題および社会的責任と位置づけています。また、情報セキュリティの強化を通じた業務の適正性・有効性・効率性の確保および企業価値・社会的信頼の維持向上を目的として、「情報セキュリティ基本規程」を定め、研修や情報セキュリティポータルを通じて周知徹底を行っています。

※ファーストリテイリングの事業活動に必要な情報のうち、開示・漏洩・紛失・毀損によりファーストリテイリングに何らかの損失が生じるリスクがある非公開の情報

「情報セキュリティ基本規程」の概要は以下の通りです。

	内容
1. 総則	全ての情報資産の使用および保護に関し、情報セキュリティを通じて業務の適正性、有効性および効率性を確保すること、本規程が全ての役員および従業員に適用されることなどの基本事項を記載
2. 組織体制	情報セキュリティに関する体制および責任分担を記載
3. 役員および従業員の責務	情報セキュリティ維持・向上に関する基本的な考え方や情報資産の取り扱い・遵守事項を記載
4. 物理的・技術的措置	情報資産を保護するための物理的・技術的な対策および、情報デバイスの取り扱いに関するルールを記載
5. 委託先管理	個人情報または重要機密情報の取り扱いを委託する第三者の選定、契約締結、契約期間内および契約終了の各工程における委託先管理ルールを記載
6. 事故発生時の対応	事故発生時は、CSO(Chief Security Officer)の指示のもと対応するとともに、必要に応じた事故対応体制の構築や、当局への適切な届出を行うなどの対応方針を記載
7. 違反時の対応	役員および従業員が、当該規程や関連する文書に定められた事項に違反した場合の処分を記載

この基本規程は、本部・店舗を問わず全ての役員および従業員に適用され、昨今の情報セキュリティを取り巻く社会情勢の変化、業界標準、法的義務や事業運営上の必要性に鑑み、適宜見直しと改訂を行っています。

情報セキュリティ体制

ファーストリテイリングでは、代表取締役社長により任命されたグループCSO（Chief Security Officer）が、情報セキュリティに関する責任と権限を持つ統括責任者および担当執行役員として、グループ全体の情報セキュリティの確保に努めています。また、CSO直下のグローバル組織として情報セキュリティ室（ISO）を設置し、情報セキュリティ体制の強化・徹底および、情報セキュリティ事故発生時の対応を行っています。

また、ファーストリテイリングでは、取締役会やリスクマネジメント委員会などの経営会議において、課題の共有や実行方針に関する討議を定期的に行うことで、情報セキュリティ体制の実効性を高めています。取締役会は、ITおよび情報セキュリティの経験を持つ取締役を有しており、情報セキュリティに関するリスクや対策について議論を行い、方針の決定および必要な指示を行います。取締役会直下の組織であり、取締役（社外取締役含む）や関連部署の役員などで構成されるリスクマネジメント委員会は、リスクの特定と情報セキュリティ活動の実施状況の報告を受けるとともに、今後の取り組みの方向性や具体的な施策立案と実行について、助言・指示を行います。
さらに、グループ全体における情報セキュリティの強化・徹底を目的として、各国・各地域に専任人材を配置するとともに、各部署のセキュリティ維持・向上の責任を果たすため、各部署に情報セキュリティ推進者を配置し、情報セキュリティ室との協力体制の下、情報セキュリティの実務推進に努めています。

情報セキュリティ体制

• 事故発生時の迅速な対応
ファーストリテイリングは、情報セキュリティに関わる事故発生の予防に取り組むとともに、万一、事故が発生した場合には、CSOの統括の下、ISOが主導し、迅速な対応を行います。ISOは、関係部署（事故発生元部署、IT、法務、広報、カスタマーサービス、営業など）と連携し、事故の早期収束、事業の継続、信頼の回復に努めるとともに、再発防止策の策定・実行に速やかに取り組みます。特に、重大な事象が発生した場合は、ただちに代表取締役社長を含む経営に報告し、会社としての意思決定を行ったうえで、必要な対応を迅速に実行します。

サイバーセキュリティ対策の強化

ファーストリテイリングは、企画・生産・物流・販売を迅速かつ効率的に推進する「情報製造小売業」の実現に向け、最新のデジタル技術・情報技術を活用しています。サイバー攻撃が巧妙化・高度化するなか、ファーストリテイリングは、サイバーセキュリティ対策の強化を重要施策として位置付け、CSOの統括の下、これらの技術への脅威に対して平時における予防的な対策に加え、サイバー攻撃に対する監視および検知を24時間365日体制で実施しています。また、業務システムの企画・設計段階でのセキュリティレビューや第三者による脆弱性診断に加え、運用開始後の不正アクセス監視や脆弱性対応を行うことで、サイバーセキュリティ対策の継続的な強化を図っています。さらに、FIRST（Forum of Incident Response and Security Teams）に加盟し、最新の動向や対策の共有・情報収集に努めています。

情報セキュリティ研修の実施

ファーストリテイリングは、企業機密・個人情報などの情報資産の適切な取り扱いを徹底する企業風土を醸成するために、従業員への教育を強化しています。

• 従業員への教育
役員および従業員を対象に、情報セキュリティに関する教育を年1回、Eラーニングで実施しています。加えて、情報セキュリティ意識向上を目的としたフィッシングメール対策訓練を定期的に実施しています。その他、全社会議や各部署の部会などでの情報セキュリティ研修や、新入社員、店舗入社社員、中途入社社員、新任店長、新任管理職社員、本部異動社員などを対象とした情報セキュリティ研修を実施しています。

• 情報セキュリティポータルの運用
役員および従業員を対象に、多言語で情報セキュリティポータルを運用し、各種規程やマニュアル、重要事項に関するアナウンス、事故報告および対処方法などを随時確認できるようにしています。また、ファーストリテイリングにおいて最低限遵守すべきセキュリティ対策事項をまとめた「情報セキュリティハンドブック」を作成し、情報セキュリティポータル上に掲載するとともに、周知徹底を図っています。

サプライチェーンでの取り組み

ファーストリテイリングでは、社内だけでなく、サプライチェーン全体を対象とした情報セキュリティ対策の強化に努めています。工場などの取引先については、取引開始前に情報セキュリティ体制および事故発生時の復旧体制を確認し、取引開始後も定期監査を含むセキュリティ評価を実施することで、取引先に起因する情報漏えいや業務停止リスクの低減に取り組んでいます。

ページトップへ