情報セキュリティポリシー

ビックカメラグループは、お客様情報、お取引先様情報を含む各種の情報資産を適切に管理することは極めて重要なことと認識しており、情報セキュリティに関する法令、国が定める指針その他の規範を遵守し、以下のビックカメラグループ情報セキュリティポリシーを定め確実な履行に努めています。

1．情報セキュリティ管理体制の構築

ビックカメラグループは、保有する情報資産および適切な管理を確実に履行するためセキュリティ統括責任者（CISO）を任命するとともに、リスク管理委員会の下部組織としてセキュリティ委員会を設置し、情報セキュリティ管理体制を確立します。

2．情報セキュリティ対策の実施

ビックカメラグループは、保有する情報資産を特定し、漏えい・減失・き損・改ざんなど各種の脅威から情報資産を保護するため、情報セキュリティ管理体制に関する計画の策定、実施、点検および見直しを実施するとともに、情報セキュリティ管理体制に関する実施状況について必要な開示をします。

3．教育体制

ビックカメラグループは、本ポリシーに基づき社内規定を整備し、情報セキュリティ管理体制を明確化し、ビックカメラグループに属するすべての役員および従業員のセキュリティ意識の向上および当社グループの情報セキュリティ対策の周知徹底のため、すべての役員および従業員を対象とした教育・研修を実施します。また、当社グループの情報資産を取り扱うすべての派遣社員等への本ポリシーの周知徹底をします。

4．業務委託先管理体制

ビックカメラグループは、保有する情報資産の取り扱いを外部委託する場合には、当該業務委託先において、ビックカメラグループの情報セキュリティ管理体制と同等またはそれ以の管理体制が確立していることを確認します。また、業務委託先における情報セキュリティ管理体制が適切に維持されていることを定期的に確認します。

5．内部監査体制の構築

ビックカメラグループは、情報セキュリティ管理体制が有効に機能しているかを、定期的な内部監査の実施により検証し、必要な是正措置を講じます。

6．情報セキュリティに関する事故および障害に対する管理プロセスの整備

ビックカメラグループは、情報セキュリティにかかわる事故および障害（以下、セキュリティインシデント）の発生に備え、迅速な初動対応による被害拡大の防止のための緊急時対応体制を整備するとともに、定期的かつ実践的な訓練を実施します。 また、セキュリティインシデントが発生した場合は、法令、国が定める指針その他の規範に従い必要な報告・開示等を行い、同様の被害が社会全体に広がることを未然防止に努めます。

7．個人情報保護

個人情報の取り扱いについては、本ポリシーに加え、「ビックカメラ個人情報保護方針」もしくはそれに準拠したビックカメラグループ各社の個人情報保護方針を適用するものとします。

8．法令、国が定める指針その他の規範の遵守と見直し

ビックカメラグループは、情報セキュリティに関する法令、国が定める指針その他の規範を遵守するとともに、本ポリシーおよび情報セキュリティ管理体制を継続的に見直し、改善に努めていきます。

株式会社ビックカメラ
代表取締役社長　秋保 徹

2016.09.16　制定
2020.09.01　改定
2022.09.01　改定
2025.08.01　改定

管理体制

当社グループは、「リスク管理規程」に基づき、代表取締役の監督のもと、総務法務部門を管掌する取締役を委員長とするリスク管理委員会を設置しています。リスク管理委員会は、グループ全体のリスクを統合的に管理し、情報セキュリティを含む重要リスクのモニタリング、管理方針の決定および改善指示を行い、四半期ごとに取締役会へ報告しています。また、リスク管理委員会の下部組織として「セキュリティ委員会」を設置し、情報漏えい、サイバー攻撃、システム障害などのリスクに対する専門的・実務的な審議と対策立案を行っています。セキュリティ委員会は、情報システム部門、内部統制部門、総務法務部門などで構成され、インシデント対応、情報資産の保護、セキュリティ教育などを統括し、結果をリスク管理委員会に報告することで、経営層による一元的な管理と迅速な意思決定を実現しています。この体制により、当社は情報セキュリティに関する経営リスクをグループ横断的に把握し、事業継続性と顧客・社会からの信頼維持を両立する仕組みを構築しています。

（2025年9月1日現在）

管理プロセス

当社グループは「情報セキュリティインシデント対応規則」に基づき、インシデント発生時の迅速な報告・判断・対応を行う体制を構築しています。全社員は、インシデントを確認した場合、速やかに上長を通じて事務局へ報告する義務を負い、重要度（重大・やや重大・軽微）に応じた初動対応を実施します。また、被害が顧客・取引先・行政等に及ぶおそれがある場合には、必要に応じて外部への通知・公表を行い、取締役会へ報告するプロセスを整備しています。

情報セキュリティ教育

セキュリティ統括責任者の指示のもと、全従業員を対象に定期的な情報セキュリティ教育を実施しています。特に、標的型攻撃メールへの対応訓練などの実践的なプログラムを年複数回行い、初動対応力の強化を図っています。あわせて、情報資産の取り扱いに関する社内規程やポリシーの周知・遵守徹底を通じて、セキュリティ意識の向上を継続的に推進しています。