• HOME
  • 情報セキュリティ基本方針

情報セキュリティ基本方針Policy on Information Security

情報セキュリティ基本方針

スギ薬局グループ(スギホールディングス株式会社を中心とする企業グループ)は、社会から預かった資産・資源(人・物・金・情報等)を有効に活用し、社会に益を提供し続け、社会に貢献する経営を進めています。これを実現するためにスギ薬局グループでは、お客様の情報をはじめ、スギ薬局グループが保有する情報資産を、不正アクセスやサイバー攻撃などのさまざまな脅威から保護し、グループ全体の情報セキュリティを強化していくことが、経営上の最重要課題であると認識しています。

この考え方のもと、スギ薬局グループは、「情報セキュリティ基本方針」を以下の通り定めました。今後は、本方針及び別掲の「個人情報の取り扱い(プライバシーポリシー)」等を役員・社員が順守し、かつ適正に取り扱うことを通じて、情報セキュリティの維持・向上に努めます。

  1. 目的
    本方針は、情報セキュリティマネジメントシステムを構築・運営するための体制や対策を定めることにより、お客様及びスギ薬局グループの情報資産を、社内外の故意又は偶然によるすべての脅威から保護し、安定した事業活動を継続することを目的とします。
  2. 基本原則
    • (1)スギ薬局グループは、その事業において、個人及び組織から提供を受けた情報を適切に取り扱い、当該個人及び組織の権利・利益を保護します。
    • (2)スギ薬局グループは、その事業において、営業秘密、技術情報、その他の価値ある情報を適切に取り扱い、スギ薬局グループの権利・利益を保護します。
    • (3)スギ薬局グループは、情報セキュリティ対策に関わる研究及び人材育成に努めることで、お客様の情報セキュリティの確保・向上を図り、お客様、ひいては社会全体の信頼に応えます。
  3. 適用範囲
    本方針は、スギ薬局グループの役員・社員に適用します。
  4. 情報セキュリティ体制
    スギ薬局グループは、情報セキュリティを脅かすさまざまな要因を事業遂行上のリスクとして認識し、以下の内容の情報セキュリティ体制を整備します。
    • (1)スギ薬局グループは、情報セキュリティの状況を正確に把握し、その対策を議論するための情報セキュリティ委員会を設置します。情報セキュリティ委員会は、グループ全体の情報セキュリティ対策を速やかに実施できる体制を構築するとともに、サステナビリティ委員会に活動内容を報告します。
    • (2)スギ薬局グループの情報セキュリティのリスクマネジメントについては、サステナビリティ委員会内に設置するリスク委員会がグループ全体を統括するものとします。
    • (3)スギ薬局グループは、グループ全体の情報資産等を保護し、適切な管理を行うために情報セキュリティ責任者を配置し、情報セキュリティ責任者は、情報セキュリティ委員会の委員長を務めるものとします。情報セキュリティ責任者は、スギ薬局グループにおける情報セキュリティ対策の実行に関して責任と権限を持つものとします。
    • (4)スギ薬局グループでは、組織的又は個人的な法令違反行為や不正行為等の抑制と是正を図ることを目的に、内部通報制度を整備しています。当制度は、社内規程に基づいて運用し、通報窓口はスギホールディングス株式会社の法務室及び社外の弁護士事務所に設け、通報者に対して不利益な取り扱いを行わないことを規定しています。
  5. 情報セキュリティ対策
    (1)情報セキュリティ対策の継続的な改善
    スギ薬局グループは、情報セキュリティのリスクに応じた対策の実施計画を策定し、その計画が確実に実施されているかを評価します。また、継続的に改善するためのプロセス(PDCA)を整備します。
    (2)規程の整備・法令順守
    スギ薬局グループは、情報セキュリティ対策を適切に実施するための社内規程を整備し、役員・社員に周知徹底します。情報セキュリティに関連する法令又は社内規程の違反に対しては、厳しく対処します。
    (3)リソースの確保
    ①スギ薬局グループは、情報セキュリティ対策を適切に実施するために必要な経営資源を確保・投入します。
    ②スギ薬局グループは、情報セキュリティ対策を実施する上で必要な人材の育成・確保を計画的、継続的に行います。
    ③スギ薬局グループは、役員・社員に対し、情報セキュリティに関する啓発と教育を行い、その重要性を認識させ、行動させます。
    ④スギ薬局グループは、外部の情報共有活動に積極的に参加し、情報セキュリティ対策に反映します。
    (4)お取引先様等との情報セキュリティ確保の共有
    スギ薬局グループは、お取引先様、及び関係企業や外部委託先などのビジネスパートナー様に対して、スギ薬局グループの情報セキュリティに関する方針等を周知するとともに、適切な情報セキュリティの確保を求めます。
    (5)情報開示
    スギ薬局グループは、ステークホルダーからの信頼性を高めるために、情報セキュリティへの取り組みに関する情報を適切に開示します。
    (6)外部監査等の体制の整備
    スギ薬局グループは、業務の遂行において情報セキュリティに関する諸法令、行政機関・業界団体の規範、社内規程・ルールなどが順守され、有効に機能していることを検証するため、定期的かつ必要に応じて情報セキュリティの外部監査等を行い、違反する行為があれば厳しく対処して情報を適切に管理します。
    (7)情報セキュリティ対策を反映したシステムの実現
    スギ薬局グループは、情報資産に対する不正アクセス・破壊・情報漏えい・改ざんなどの事故を未然に防止するため、情報セキュリティ対策を反映したシステムを実現します。
    (8)サイバーセキュリティ対策の強化
    スギ薬局グループは、サイバーセキュリティ対策の強化を重要施策として位置付け、これらの技術への脅威に対して防御策を講じます。最新のデジタル技術及び情報技術を活用し、業務システムのセキュリティレビュー、設計・開発工程におけるセキュリティレビュー、第三者機関による脆弱性診断、運用開始後の不正アクセスの監視、脆弱性への対応など、サイバーセキュリティ対策の向上に努めます。
    (9)情報セキュリティリテラシーの向上
    スギ薬局グループは、役員・社員に対して、情報セキュリティリテラシーの向上を図り、グループ全体の情報資産の適切な管理を実行するための教育・訓練を継続的に実施します。
  6. お客様の個人情報保護
    スギ薬局グループは、全事業活動において取り扱う個人情報について、「個人情報の取り扱いについて(プライバシーポリシー)」に基づいた個人情報保護活動を行い、必要な保護と適切な安全対策を講じます。
  7. 情報セキュリティインシデントの対応
    スギ薬局グループは、情報セキュリティリスクの顕在化(以下、「情報セキュリティインシデント」という)に備え、以下の内容の体制・対応方針を整備します。
    • (1)スギ薬局グループは、情報セキュリティインシデントに対する報告体制や初動対応マニュアルを装備し、関係者に周知徹底させ、定期的かつ実践的な訓練を行います。
    • (2)スギ薬局グループでは、重大な情報セキュリティインシデントが発生した場合、認知した部署の所属長は情報セキュリティ責任者へ速やかに報告します。情報セキュリティ責任者は、スギホールディングス株式会社の代表取締役社長に適宜報告します。
    • (3)スギホールディングス株式会社の代表取締役社長が緊急事態の報告を受けた場合、必要に応じて、速やかに対策本部を設置します。当対策本部は、適切な対応によって問題の早期解決を図るとともに、原因究明に努め、再発防止策を立案・実行します。
    • (4)情報セキュリティインシデントの発生に際しては、官公庁への届け出や関係者への通知を状況に応じて適切に行います。
  8. 本方針の改廃
    本方針の改廃については、スギホールディングス株式会社の取締役会で決定します。
    ただし、組織名の変更などの軽微な改定は、情報セキュリティ責任者の裁量により行うことができるものとします。
  9. 継続的改善の実施
    スギ薬局グループは、以上の取り組みを定期的に評価し、見直すことで、社内外の情報セキュリティの最新動向やIT技術の変化に応じて情報セキュリティマネジメントを継続的に改善します。

以上

改定日2021年6月1日
スギホールディングス株式会社
情報セキュリティ委員会
委員長 森永 和也