重点課題 2商品や店舗を通じた安全・安心の提供

　セブン&アイHLDGS. は、グループが取り扱う情報資産の適切な安全確保を経営並びに事業における重要課題および社会的責任として、役員・全従業員が取り組む義務と位置づけています。また、特にお客様からお預かりする個人情報を厳格に管理し、情報の流出などの事故がないように細心の注意を払っています。

　セブン&アイHLDGS. では、オムニチャネル戦略によりお客様との接点が拡大することが見込まれています。このような状況において、食の安全と同様、情報資産の安全・安心を確保していく取り組みが、オムニチャネル戦略を支える基盤と考えています。
　セブン&アイHLDGS. は、オムニチャネルの取り組みで取得する顧客情報（個人情報）の適正な保護と利用を促進し、事業の安全・安心な運用を推進するため、「情報セキュリティ基本方針」と「個人情報保護基本方針」を定めるとともに、情報セキュリティマネジメントシステムISMS認証（ISO27001）を取得しました。ISMSに関わるPDCAサイクルの実施により、高いレベルでの情報セキュリティ体制の構築をしています。あわせて、オムニチャネルシステムにおける、特にクレジットカード情報および取引先情報を安全に取り扱うことを目的に、グローバルセキュリティ基準であるPCIDSS認定を取得しております。

　また、情報セキュリティを重要なリスクの1つと捉え、情報管理委員会を設置してリスクの分析・評価・対策を検討しており、これをもとにした管理体制の構築を行っています。具体的には、グループの達成すべき情報セキュリティの水準を定め、グループ各社へISMS認証におけるPDCAサイクルによる手法に準拠した展開を実施することで、情報管理・セキュリティの強化に取り組んでいます。

　セブン&アイHLDGS. は、従業員の情報セキュリティやサイバーセキュリティの意識向上を図るために、グループ各社の全役員・従業員を対象に、eラーニングおよび集合研修によるセキュリティ教育を実施しました。2015年度は内部不正、2016年度は標的型サイバー攻撃をテーマにした教育を実施しました。あわせて、朝礼や部署ごとのミーティングの中で利用できる教育ツールを揃え、各部門内の教育も後押ししています。また、入社時および退職時に全従業員が「秘密保持に関する誓約書」に署名し、情報セキュリティに関する意識を高めています。2016年度は、情報セキュリティ違反、その他のサイバーセキュリティ事件は発生していません。
　また、日常業務を通じた従業員教育やミーティングにおいて、問題点があればいち早く各部門の情報管理責任者へ報告・連絡・相談をすることを従業員に周知するとともに、eラーニングと集合研修における教育においても、疑わしき事象はすぐに報告すべきことを教育しており、事象のレベルに応じた経営層までのレポートラインを整備しています。加えて、「重要事実報告ガイドライン」を策定し、グループ全体に影響を与えるような重要事実が発生した場合は、発生したグループ会社の社内において経営層まで報告するレポートラインを構築するとともに、セブン&アイHLDGS. の情報管理部に報告し、セブン&アイHLDGS. の経営層へ報告するレポートラインを構築しています。これら2つのレポートラインを構築することで、情報伝達の確実性を担保し、迅速に対応できる体制づくりに努めています。

　セブン&アイHLDGS. は、外部からのサイバー攻撃への対応として、情報セキュリティ事故に対する迅速かつ適正な対応・収束を組織的に行うことにより、特に技術的な面で影響・被害を最小限にする役割を担う7&i CSIRT(7&iComputer Security Incident Response Team)を設置しています。
　また、発生した情報セキュリティ事故が、7&i CSIRTにおいて重大インシデント（被害の程度が大きい状況など）と判断された場合には、7&i SIRT(7&i Security Incident Response Team)を招集し、緊急対応方法や復旧に向けた標準的な対応方法、公表方法などの対外的な対応を判断し実行する体制を構築しています。