プライバシー・セキュリティ

Zホールディングスグループでは、安心して安全に利用できるサービスをお客さまに提供し続けるため、グループ全社を挙げて中長期的な視点で情報セキュリティに取り組んでいます。

プライバシーに対する取り組み

Zホールディングスはインターネットを通じてお客さまの生活をより便利で豊かにし、さまざまな社会課題を解決していくため、お客さまに関連する情報をはじめ、さまざまなデータを活用します。ヤフーでは、個人情報の厳重な管理、情報セキュリティの確保とともに、プライバシーポリシーに基づき、どのようにデータを扱うのかなどの基本的考え方や方針を「プライバシーセンター」としてまとめ、紹介しています。2020年5月には、取り扱うお客様のデータ保護についての助言や、活用方法の監視等を通じて、適切なデータ活用を進めていくことを目的に、「データ・プロテクション・オフィサー(データ保護責任者、DPO)※」を新設しました。

また、Yahoo! JAPANのプライバシーに関する取り組みがお客様や社会から見て適切かどうかを第三者の視点を交えながら議論・判断を行うため、さまざまな分野の有識者からなるアドバイザリーボードを設置しています。

  • ※プライバシーを始めとした、ユーザーの個人情報保護に関する取り組みを行う。社内の事業部門や経営陣との利害関係がなく、独立した客観的な立場からデータ保護について助言・監視、評価を行う

情報セキュリティに関する基本的な考え方

当社グループでは、従来から、情報セキュリティ上の脅威に対して、お客さまの情報を漏洩から守ること(機密性)、24時間365日いつでもお客さまにサービスを提供し続けること(可用性)、コンテンツを破壊や改ざんから確実に守ること(完全性)を方針として、最善の取り組みをしてまいりました。
これらの取り組みに加え、高度化するサイバー攻撃を検知し対応するため、米国標準技術研究所(NIST)が定めたサイバーセキュリティ基準に準拠したうえで情報システムを構築し、サービスを提供していきます。
2020年6月、Zホールディングスはこれらの考え方をサイバーセキュリティ基本方針として定め宣言いたしました。

これら基本的な考えに基づき、社内規程において情報の取扱い等、従業員が守るべき遵守事項を定めており、違反行為については懲戒処分の対象となります。また全従業員へ、会社が取り扱う個人情報についての理解・浸透と守るべきルールの認識を目的とし、誓約書の提出を義務付けています。

情報セキュリティマネジメント体制

中長期的な視点に基づき、グループ横断型の情報セキュリティ体制を敷いています。

情報セキュリティマネジメント体制図。ZHDが起点となってグループの情報セキュリティを管理しています。
  • ・GCISO:Group Chief Information Security Officer
  • ・CISO:Chief Information Security Officer
ヤフー株式会社情報セキュリティマネジメント体制図
  • ※ヤフーの体制図詳細
  • ・CEO: CISO(Chief Information Security Officer)を任命します。
  • ・CISO: CEOより権限委譲を受け、当社グループの情報セキュリティに関する指示・判断を行います。
  • ・方針・戦略検討チーム:CISOを補佐し、当社グループの情報セキュリティ戦略や方針を計画、推進します。
  • ・情報セキュリティ統括組織:CISOのリーダーシップのもと情報セキュリティを統括し、セキュリティに関する取り組みを最高経営会議(代表取締役社長、取締役監査等委員等が出席)で定期的に報告しています。
  • ・統括本部情報セキュリティ責任者:各統括本部を担当する執行役員により任命されます。子会社・関連会社の情報セキュリティに関しては、各子会社・関連会社を管轄する統括本部の統括本部情報セキュリティ責任者が主導して管理・指導を行います。
  • ・Yahoo Japan Corp. CSIRT:CSIRT(Computer Security Incident Response Team)です。情報セキュリティ確保に関わるインシデント総合対応拠点として、情報を一元的に管理・運用し、社内各部門や社外組織間の調整、および直接的に対応を実施する各部門の活動を支援します。

第三者認証の取得

ISMS認証

Zホールディングス、ヤフー、Zフィナンシャル、および一部子会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証を取得しています。
Zホールディングスとしての認証に組み込まれているヤフー、Zフィナンシャル、一部子会社は、Zホールディングスの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを管理しています。
なおヤフーのISMS認証取得の歴史は長く、2004年8月に現在の規格の前身である「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」を取得しています。それ以降、国際規格の見直しにも対応し、現在も認証を維持し続けています。

PCI DSS認定の取得

ヤフーはインターネット上の決済サービスとして、2008年11月「Yahoo!ウォレット」、2009年11月「Yahoo!ショッピング」「ヤフオク!」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。「Yahoo!ウォレット」「Yahoo!ショッピング」「ヤフオク!」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。
また、クレジットカードの国際ブランドであるVISA、およびMasterCardからクレジットカードのカード発行業務(イシュイング)と加盟店管理業務(アクワイアリング)におけるライセンスを取得し、2012年3月より自社におけるほぼすべてのクレジットカード決済において加盟店管理業務を行っています。当業務では、2012年2月に「PCI DSS」の認定を取得し、以後毎年認定の取得を継続しています。

ヤフーが取得したPCI DSSの認定書の画像

情報セキュリティを担保するための取り組み

安全なサービスを提供するための取り組み

ヤフーでは、堅牢なサービスを提供するための取り組みの一環として、社内専任組織と第三者機関による脆弱性診断の実施等、アプリケーションへの脆弱性対応を実施しています。アプリケーションに脆弱性を持たせないことを目的に、エンジニアを対象とするセキュアプログラミング研修を実施しています。本研修はエンジニアの力量を強化し、サイバーセキュリティの国際基準に準拠する上でも重要な研修として、2019年度より全対象エンジニアに受講を必須化しています。また、トラブル発生時の対応力を養うことを目的に、サイバー攻撃を想定したインシデント対応訓練(Zホールディングスサイバー訓練)を年5回実施しています。

安全なサービスを提供するための取り組みに関する図

情報セキュリティに関する新たな脅威に対応するため、常に外部の最新情報を入手し連携すべく、以下の団体に加盟し、継続的な技術動向の把握に取り組んでいます。

社外との情報共有体制

日本シーサート協議会(外部リンク)
FIRST(外部リンク)
他組織シーサートとの緊密な協調体制を敷き、社会的かつシーサート間に共通する 課題の解決などを目指しています。
日本サイバー犯罪対策センター(外部リンク)サイバー犯罪の情報を共有することにより、サイバー空間の脅威の大本を特定、軽減及び無効化し、以後の事案発生の防止に資するための活動を行っています。
JPCERTコーディネーションセンター(外部リンク)インシデント対応時の組織間連携などを、技術的な立場から行っています。

ユーザー保護のための取り組み

お客さまのYahoo! JAPAN ID・パスワードが第三者に知られてしまった場合に備えて、不正ログインを防止する、または被害を軽減するための対策を行っています。また、日本のインターネット利用者に対して安全なID管理についての啓発を行うとともに、一定の不正利用を想定した事前対策を講じています。

啓発お客さまご自身でできるYahoo! JAPAN IDの不正利用防止対策について、情報を提供しています。
Yahoo!セキュリティセンター
ツールの提供・ログイン履歴・ログインアラート:Yahoo! JAPAN IDが不正利用された場合に、お客さま自身で気づくことができます。
・ワンタイムパスワード:Yahoo! JAPAN ID・パスワードが第三者に知られてしまった場合に不正ログインを防止できます。
不正ログイン検知・措置悪意を持った第三者によるものと思われるログインの分析、遮断、再認証 ・社内専門部署による検証やモニタリング

データ保護のための取り組み

データの重要度に応じた複数の区分に分類し、それぞれの区分に合わせたデータ保護の対策をとっています。

データ保護のための取り組みを、データの重要度に応じて複数の区分で分類、対策している。システム的対策、物理的対策、人的対策をもった、保護への取り組みを図式化。

情報セキュリティ教育の徹底

ヤフーの全従業者(派遣、業務委託社員を含む)とZホールディングスグループの一部の会社を対象に、業務上必要な情報セキュリティ知識を習得できるeラーニングを2カ月に1度実施しています。インシデント発生時には緊急eラーニングを全従業員に実施し、迅速なセキュリティへの意識浸透を図っています。そのほか、以下のように業務内容や役職に合わせた研修も行っています。

入社時研修新卒・中途採用(派遣、業務委託社員を含む)の全新入社員を対象に、一般的な情報セキュリティ知識と対策、社内の情報管理ルールを学ぶeラーニングを実施しています。
新任管理職研修管理職就任時に必要な情報セキュリティ関連知識を習得するためのeラーニングを実施しています。
技術者向け研修プログラミング業務を行う全エンジニアを対象に、セキュアプログラミング研修を実施しています。
役員・役職者向研修外部の有識者を招き、最新の情報セキュリティの脅威や対策を学ぶ少人数セミナーを年2回の割合で実施しています。
訓練サービスに従事する社員を主な対象とし、万が一情報セキュリティインシデントが発生した場合の対処方法を学ぶ仮想訓練を毎月実施しています。

ログイン強化への取り組み

パスワードレスなログイン

ヤフーでは、ID登録時にパスワードを設定しないようにしたり、IDに登録されているパスワードを無効にしたりして、パスワードを無くす(パスワードレス)取り組みを進めています。
パスワードを使ってログインできないようにすることで、第三者が他のサイトなどから入手したアカウントとパスワードの組み合わせのリストを使って不正アクセスを試みる、いわゆる「リスト型攻撃」による不正ログインのリスクを解消します。
ヤフーでは、パスワードのほかにも、IDに登録されている携帯電話番号に送られる確認コードを使ったログイン方法の設定が可能です。

FIDO2

これまで入力していたパスワードや、SMSなどに送信される確認コードの代わりに、お使いのスマートフォンに搭載されている指紋・顔認証などを利用することで、Yahoo! JAPANをログインして利用していただけます。この認証方式により、セキュリティを高めながら、利便性の高い簡単なログインの提供を実現します。なお、現在はAndroid 7.0以上かつGoogle Chrome バージョン70以上でのみ利用可能です。

不正ログイン検知・措置

悪意を持った第三者と思われるログインの分析、遮断や再認証など、社内専門部署による検証やモニタリングなど、様々な対策に取り組んでいます。

情報セキュリティ啓発

お客さまのYahoo! JAPAN IDが不正利用されないために、ご自身でできる対策について情報提供を行っています。

ログインアラート

お客さまのYahoo! JAPAN IDでログインがあったことをメールでお知らせするサービスを提供しています。IDが不正利用された可能性をいち早く察知し、身に覚えのないログインの場合は、一時的にロックをかけることができるため、不正利用の拡大防止につながります。

ログイン履歴

Yahoo! JAPANのサイトでは、Yahoo! JAPAN IDごとにログインした日時やサービス名などを確認できます。Yahoo! JAPANへのログインに成功した過去30件分の履歴を確認することで、第三者による不正操作がなかったかなどをお客さまご自身で確認できます。

ログインテーマ

Yahoo! JAPAN IDのログイン画面で、ログインテーマ機能を提供しています。ログインテーマとは、お客さまがYahoo! JAPANにログインする際に、正規のサイトかどうかを判断する目印となる画像のことです。「ログインテーマ」を利用することにより、偽のログイン画面に気づく可能性を高め、お客さまがフィッシングの危険を回避することに役立てられています。

ワンタイムパスワード

ワンタイムパスワードは、IDを不正利用から強力に守るセキュリティ機能です。万が一、他人にパスワードを知られてしまっても、ワンタイムパスワードの認証が加わることで、不正利用の危険を回避でき、自己防衛できます。

シークレットID

シークレットIDは、Yahoo! JAPAN IDやニックネームとは異なる、ログインにのみ使用する秘密のログイン専用IDです。一般的にIDは他人も知り得る情報であることが多いため、悪意のある人にIDを知られると、不正に利用されてしまう可能性があります。パスワードだけでなくIDも、自分だけが知る秘密の文字列にすることで、他人にIDを知られる危険を回避できます。

長期間利用がないIDの利用停止措置

長期間ご利用がないIDは不正アクセスを受けても気づきにくく、不正に利用される危険性が高くなります。IDを不正に利用した犯罪を防ぎお客様の情報を守るため、一部を除き4年以上ご利用実績がないIDを対象にYahoo! JAPAN利用規約にもとづき、IDを利用できない状態にする利用停止措置を行っています。

迷惑メールへの対策を強化

「Yahoo!メール」をご利用いただいているお客さまを対象に、迷惑メールの自動振り分けや、なりすましメールの受信拒否などのさまざまな対策ツールを提供しています。また、こうしたツールの使い方や設定方法などを詳しく紹介するページを用意し、お客さまの迷惑メール対策をサポートしています。