情報セキュリティ・ポリシー
情報セキュリティ・ポリシー
株式会社ローソン (以下「当社」という。)は、当社事業の運営にあたって各種の営業秘密及び個人情報などの重要な情報資産を取り扱っています。当該情報資産を社内外の故意または偶然によるすべての脅威から適切に保護し、お客さまへのサービスと事業の運営を継続的、安定的に行うことを目的に、情報セキュリティ・ポリシーを次のとおり制定します。
基本原則
本情報セキュリティ・ポリシー(以下「本ポリシー」という。)は、当社における情報セキュリティ管理の基本方針を定めるものであり、情報セキュリティに関するいかなる施策も本ポリシーに則して行うこととし、情報資産に接する者は、情報セキュリティの重要性を認識して、本ポリシーを遵守しなければならないものとします。なお、本ポリシーの実行に関わる事項は別途社内規程等で定めるものとします。
適用範囲
本ポリシーは、当社が業務で扱うすべての情報資産及び情報資産を保全するための設備、さらにこれらの情報資産に接するすべての者(役員、社員、加盟店及びクルー、派遣社員、業務委託先等)に適用します。情報資産とは、当社が扱う営業秘密、個人情報をはじめとするすべての情報をいい、社内の情報のみならず、お客さまやお取引先さまなど社外から入手した情報も含みます。情報の形態はコンピュータなどによる電磁的記録による情報、紙媒体による文書情報など形式や媒体を問いません。
基本方針
3.1 情報資産の保護
当社は、情報資産それぞれの特性に応じて情報資産の収集、利用及び提供に関して、不正なアクセスやインサイダー取引などの不正利用、漏えい、紛失、破壊及び改ざんなどを防ぐための措置を講じます。
3.2 情報資産の分類と管理
- 当社は、保有する情報資産を情報セキュリティにおける重要性を考慮して、顧客情報、加盟店・家主情報、取引先情報、社内情報の四つに分類します。
- 当社は、情報資産ごとに管理責任者を定め、適切な情報セキュリティ対策を講じます。業務委託先などの第三者における情報セキュリティに関しても必要な対策が実施されるように管理します。
- 当社は、情報資産を業務遂行のみに使用し個人活動に用いません。また、本ポリシー及び関連する社内規程等に従い保護します。
- 当社は、事故が生じた場合は原因を追究し損害を最小限に抑えます。また、未然防止や再発防止のための適切な措置を講じます。
3.3 アクセス権限の管理
当社は、情報資産を業務上正当な必要性を有する者のみがアクセスできるように管理します。また、無許可の不正なアクセスに対する危険性を排除するための措置を講じるとともに、アクセス制限やアクセスログの取得などの適切な管理対策を講じます。
3.4 物理的セキュリティの保護
当社は、情報資産が不正にアクセスされ漏えい、破壊、改ざんなどの危険にさらされないように、オフィス並びにその設備、情報資産を扱う施設や装置、ネットワーク設備等を適切に保護します。
3.5 法令の遵守
当社は、情報資産を取り扱うにあたって、個人情報保護法や不正競争防止法などの適用法令を識別し法的要求事項を遵守します。
3.6 情報セキュリティ事件・事故への対応
当社は、情報セキュリティ事件・事故の防止及び発生に備えた対応手順や体制等の整備に努めるとともに、事業活動継続のための対策との整合を図りつつ、万一、情報セキュリティ事件・事故が発生した場合には、速やかに、かつ、適切に対処し、被害の最小化及び再発防止に取り組みます。
3.7 懲戒
当社は、情報セキュリティを脅かす社内外の不正な行為に対しては、懲戒措置並びに法的対応など毅然たる態度で臨みます。
推進体制
当社は、CRO(最高コンプライアンス・リスクマネジメント責任者)の統括のもと、各本部・各カンパニーに情報セキュリティリスクに係る評価と対応を行う責任者を設置します。また、リスク管理を統括する部署及びシステムのセキュリティを主管する部署の支援のもと、主管委員会を通じて全社横断的な情報セキュリティの整備・運用・管理体制の統括管理を行います。
- 統括責任者:CRO
- 主管委員会:情報セキュリティ委員会
教育
当社は、役員、社員及び加盟店に対して情報セキュリティ対策に関する適切な教育を実施します。
派遣社員、業務委託先などには、契約を通じて教育の徹底を要求します。
継続的改善
当社は、情報セキュリティに関する整備・運用・管理状況について、点検・監査等を通じて定期的及び必要に応じて評価、見直しを行い、継続的な改善を行います。
制定:2004年1月1日(社内規程として)
改定:2024年3月1日