プライバシー・セキュリティ

Zホールディングスグループでは、安心して安全に利用できるサービスをお客さまに提供し続けるため、グループ全社を挙げて中長期的な視点で情報セキュリティに取り組んでいます。

プライバシーに対する取り組み

Zホールディングスはインターネットを通じてお客さまの生活をより便利で豊かにし、さまざまな社会課題を解決していくため、お客さまに関連する情報をはじめ、さまざまなデータを活用します。

・ヤフーでは、個人情報の厳重な管理、情報セキュリティの確保とともに、プライバシーポリシーに基づき、どのようにデータを扱うのかなどの基本的考え方や方針を「プライバシーセンター」としてまとめ、紹介しています。2020年5月には、取り扱うお客様のデータ保護についての助言や、活用方法の監視等を通じて、適切なデータ活用を進めていくことを目的に、「データ・プロテクション・オフィサー(データ保護責任者、DPO)※」を新設しました。
※プライバシーを始めとした、ユーザーの個人情報保護に関する取り組みを行う。社内の事業部門や経営陣との利害関係がなく、独立した客観的な立場からデータ保護について助言・監視、評価を行う

・LINEでは、プライバシーポリシーに基づき、サービスの適切な提供をお約束するとともに、サービスのリリースにあたっては、プライバシーリスク評価やその回避対策を講じるため、Privacy Impact Assessment(プライバシー影響評価)を行っています。
さらに「LINE Transparency Report」にて、お預かりしているデータをどのように取り扱っていたかを定期的にご報告しています。

また、Zホールディングスでは、グループ会社のプライバシーに関する取り組みがお客様や社会から見て適切かどうかを第三者の視点を交えながら議論・判断を行うため、さまざまな分野の有識者からなるアドバイザリーボードを設置しています

情報セキュリティに関する基本的な考え方

当社グループでは、従来から、情報セキュリティ上の脅威に対して、お客さまの情報を漏洩から守ること(機密性)、24時間365日いつでもお客さまにサービスを提供し続けること(可用性)、コンテンツを破壊や改ざんから確実に守ること(完全性)を方針として、最善の取り組みをしてまいりました。
これらの取り組みに加え、高度化するサイバー攻撃を検知し対応するため、米国標準技術研究所(NIST)が定めたサイバーセキュリティ基準に準拠したうえで情報システムを構築し、サービスを提供していきます。
2020年6月、Zホールディングスはこれらの考え方をサイバーセキュリティ基本方針として定め宣言いたしました。

これら基本的な考えに基づき、社内規程において情報の取扱い等、従業員が守るべき遵守事項を定めており、違反行為については懲戒処分の対象となります。また全従業員へ、会社が取り扱う個人情報についての理解・浸透と守るべきルールの認識を目的とし、誓約書の提出を義務付けています。

特別委員会の設置

Zホールディングスは、ZHDグループにおけるデータの取り扱いをセキュリティ観点およびガバナンス観点から外部有識者にて検証・評価する特別委員会「グローバルなデータガバナンスに関する特別委員会」を設置しています。特別委員会では、LINE社のグローバル拠点における日本国内のデータのアクセスに関するデータガバナンスなどの検証・評価を行っていますが、中長期的にはZHDグループでの最適なガバナンス体制の提言も行っていただく予定です。

情報セキュリティマネジメント体制

中長期的な視点に基づき、グループ横断型の情報セキュリティ体制を敷いています。

情報セキュリティマネジメント体制図。ZHDが起点となってグループの情報セキュリティを管理しています。
  • ・GCTSO:Group Chief Trust & Safety Officer
  • ・CISO:Chief Information Security Officer
ヤフー株式会社情報セキュリティマネジメント体制図
  • ※ヤフーの体制図詳細
  • ・CEO: CISO(Chief Information Security Officer)を任命します。
  • ・CISO: CEOより権限委譲を受け、当社グループの情報セキュリティに関する指示・判断を行います。
  • ・方針・戦略検討チーム:CISOを補佐し、当社グループの情報セキュリティ戦略や方針を計画、推進します。
  • ・情報セキュリティ統括組織:CISOのリーダーシップのもと情報セキュリティを統括し、セキュリティに関する取り組みを最高経営会議(代表取締役社長、取締役監査等委員等が出席)で定期的に報告しています。
  • ・統括本部情報セキュリティ責任者:各統括本部を担当する執行役員により任命されます。子会社・関連会社の情報セキュリティに関しては、各子会社・関連会社を管轄する統括本部の統括本部情報セキュリティ責任者が主導して管理・指導を行います。
  • ・Yahoo Japan Corp. CSIRT:CSIRT(Computer Security Incident Response Team)です。情報セキュリティ確保に関わるインシデント総合対応拠点として、情報を一元的に管理・運用し、社内各部門や社外組織間の調整、および直接的に対応を実施する各部門の活動を支援します。
LINE株式会社情報セキュリティマネジメント体制図
  • ※LINEの体制図詳細
  • ・CEO: CISO(最高情報セキュリティ責任者)を任命します。
  • ・CISO: CEOより権限委譲を受け、LINEグループのセキュリティ方針を評価・決定、施策のモニタリングを行うとともに、インシデントの予防と発生時の対応を行います。
  • ・セキュリティ統括組織:LINE株式会社をはじめ、各グループ会社を横断する組織であり、 CISOのリーダーシップのもと経営で決定したプライバシー・セキュリティ方針や施策を迅速に実施していくための実働部隊です。
  • ・機能別セキュリティ統括チーム:ITセキュリティや情報セキュリティ、また政策や法務など、さまざまな部門における有資格者や、セキュリティやプライバシーの問題に長年携わってきたエキスパートスタッフなどによって構成されています。
  • ・Bug Bounty Program(脆弱性報奨金制度):コミュニケーションアプリ「LINE」及びWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することを目的とし、本制度を運営しています。

第三者認証の取得

ISMS認証

Zホールディングス、ヤフー、Zフィナンシャル、LINEおよび一部子会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証を取得しています。
Zホールディングスとしての認証に組み込まれているヤフー、Zフィナンシャル、一部子会社は、Zホールディングスの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを管理しています。
なおヤフーのISMS認証取得の歴史は長く、2004年8月に現在の規格の前身である「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」を取得しています。それ以降、国際規格の見直しにも対応し、現在も認証を維持し続けています。

PCI DSS認定の取得

ヤフーはインターネット上の決済サービスとして、2008年11月「Yahoo!ウォレット」、2009年11月「Yahoo!ショッピング」「ヤフオク!」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。「Yahoo!ウォレット」「Yahoo!ショッピング」「ヤフオク!」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。
また、クレジットカードの国際ブランドであるVISA、およびMasterCardからクレジットカードのカード発行業務(イシュイング)と加盟店管理業務(アクワイアリング)におけるライセンスを取得し、2012年3月より自社におけるほぼすべてのクレジットカード決済において加盟店管理業務を行っています。当業務では、2012年2月に「PCI DSS」の認定を取得し、以後毎年認定の取得を継続しています。

ヤフーが取得したPCI DSSの認定書の画像
SOC2、SOC3(SysTrust)認証

LINEおよび一部子会社では、個人情報関連サービスに関する内部統制の国際認証SOC(Service Organization Control)2、3(及びSysTrust)を世界で初めて同時に取得しています。SOC2、SOC3認証は、顧客情報が第三者による不正アクセスから安全に保護されていることを証明するものであり、提供するサービスそのものの安全性だけでなく、運営する組織、管理システム、プロセスなど、総合的な内部統制について、ユーザーにサービスの信頼性を保証するものです。

情報セキュリティを担保するための取り組み

安全なサービスを提供するための取り組み

ヤフー、LINEでは、堅牢なサービスを提供するための取り組みの一環として、社内専任組織と第三者機関による脆弱性診断の実施等、アプリケーションへの脆弱性対応を実施しています。アプリケーションに脆弱性を持たせないことを目的に、エンジニアを対象とするセキュアプログラミング研修を実施しています。本研修はエンジニアの力量を強化し、サイバーセキュリティの国際基準に準拠する上でも重要な研修として、全対象エンジニアに受講を必須化しています。また、トラブル発生時の対応力を養うことを目的に、サイバー攻撃を想定したインシデント対応訓練(Zホールディングスサイバー訓練)を年5回実施しています。

LINEでは、コミュニケーションアプリ「LINE」及びWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することを目的とし、Bug Bounty Programを運営しています。

安全なサービスを提供するための取り組みに関する図

社外との情報共有体制

情報セキュリティに関する新たな脅威に対応するため、常に外部の最新情報を入手し連携すべく、以下の団体に加盟し、継続的な技術動向の把握に取り組んでいます。

日本シーサート協議会(外部リンク)
FIRST(外部リンク)
他組織シーサートとの緊密な協調体制を敷き、社会的かつシーサート間に共通する 課題の解決などを目指しています。
日本サイバー犯罪対策センター(外部リンク)サイバー犯罪の情報を共有することにより、サイバー空間の脅威の大本を特定、軽減及び無効化し、以後の事案発生の防止に資するための活動を行っています。
JPCERTコーディネーションセンター(外部リンク)インシデント対応時の組織間連携などを、技術的な立場から行っています。

データ保護のための取り組み

データの重要度に応じた複数の区分に分類し、それぞれの区分に合わせたデータ保護の対策をとっています。

データ保護のための取り組みを、データの重要度に応じて複数の区分で分類、対策している。システム的対策、物理的対策、人的対策をもった、保護への取り組みを図式化。

情報セキュリティ教育の徹底

Zホールディングスグループでは、グループ会社において業務上必要な情報セキュリティ知識を習得できるeラーニング等の教育を実施しています。

ヤフーにおいては、派遣・業務委託社員を含む全従業員を対象にeラーニングを2カ月に1度実施しています。
あわせてインシデント発生時には緊急eラーニングを全従業員に実施し、迅速なセキュリティへの意識浸透を図っています。
そのほか、以下のように業務内容や役職に合わせた研修や訓練を行っています。

入社時研修新卒・中途採用(派遣、業務委託社員を含む)の全新入社員を対象に、一般的な情報セキュリティ知識と対策、社内の情報管理ルールを学ぶeラーニングを実施しています。
新任管理職研修管理職就任時に必要な情報セキュリティ関連知識を習得するためのeラーニングを実施しています。
技術者向け研修プログラミング業務を行う全エンジニアを対象に、セキュアプログラミング研修を実施しています。さらに合格者には技術の新しい知見を補完するアップデート研修を 毎年継続して実施しています。
役員・役職者向研修各グループ会社のCEOをはじめとした役員向けにインシデント発生時の メディア対応を想定した模擬訓練を各社で年1回実施しています。 また、経済安全保障の観点から、最新の情報セキュリティの脅威や 対策を学ぶセミナーなども実施しています。
標的型攻撃メール対応訓練各グループ会社の従業員に標的型攻撃メールを模した訓練メールを送付し、 インシデント対応力の向上を図る訓練を各社で年1回以上実施しています。
インシデント対応訓練各グループ会社のサービスに従事する社員を主な対象とし、万が一情報セキュリティインシデントが発生した場合の対処方法を学ぶ仮想訓練を各社で年1回実施しています。

ユーザー保護のための取り組み

ZHD-CSIRTではZホールディングスグループ各社の情報セキュリティに関わるインシデント対応の一環としてフィッシング対応を行っています。フィッシングの早期検知、関係各社、機関との連携による不正なウェブサイトの無効化を継続的に実施しています。
ヤフー、LINEでは、お客さまのID・パスワードが第三者に知られてしまった場合に備えて、不正ログインを防止する、または被害を軽減するための対策を行っています。また、日本のインターネット利用者に対して安全なID管理についての啓発を行うとともに、一定の不正利用を想定した事前対策を講じています。

不正ログインの防止・被害の軽減・生体認証によるログイン(ヤフー)
これまで入力していたパスワードや、SMSなどに送信される確認コードの代わりに、お使いのスマートフォンに搭載されている指紋・顔認証などを利用することで、Yahoo! JAPANをログインして利用していただけます。
生体認証によるログイン(Android)
生体認証によるログイン(iOS)

・パスワードレスなログイン(ヤフー)
ヤフーでは、ID登録時にパスワードを設定しないようにしたり、IDに登録されているパスワードを無効にしたりして、パスワードを無くす(パスワードレス)取り組みを進めています。パスワードを使ってログインできないようにすることで、第三者が他のサイトなどから入手したアカウントとパスワードの組み合わせのリストを使って不正アクセスを試みる、いわゆる「リスト型攻撃」による不正ログインのリスクを解消します。
ヤフーでは、パスワードのほかにも、IDに登録されている携帯電話番号に送られる確認コードを使ったログイン方法の設定が可能です。
パスワード無効設定

・ワンタイムパスワード(ヤフー)
パスワードの他に別の認証機能をプラスしてログインを強固にします。
ワンタイムパスワード

・シークレットID(ヤフー)
IDを変えず、ログインだけに使う文字列を設定できます。
シークレットID

・ログインアラート(ヤフー)
不審なログインを通知し、IDの悪用をすばやく防ぎます。
ログインアラート

・ログインテーマ(ヤフー)
カスタマイズすることでフィッシングサイトへのログインを未然に防ぎます。
ログインテーマ

・ログイン履歴(ヤフー)
アカウントが不正利用された場合に、お客さま自身で気づくことができます。
ログイン履歴

・生体認証によるログイン(LINE)
生体情報を使ってLINEにログインする方法|LINEみんなの使い方ガイド

・QRコードログイン(LINE)
ヘルプセンター | LINE

・ログイン通知(LINE)
【セキュリティ強化】PC版LINE及びLINE ウェブストアにログインすると、LINEに通知が届くようになりました : LINE公式ブログ

・LINEアカウント引き継ぎ時の二段階認証(LINE)
LINE、「LINE」アカウントの引き継ぎ方法を本日より変更 | ニュース | LINE株式会社

・PC(パソコン)版LINE初回ログイン時の二段階認証(LINE)
PC版LINEのセキュリティ強化のため「認証番号」の入力が必要になりました : LINE公式ブログ

・PC(パソコン)版LINEのログイン許可設定(LINE)
乗っ取り被害に遭わないために LINEみんなの使い方ガイド(「ログイン許可」設定)
ヘルプセンター | LINE

・ログイン中の端末確認(LINE)
乗っ取り被害に遭わないために LINEみんなの使い方ガイド(「ログイン中の端末」設定)

不正ログイン検知・措置悪意を持った第三者によるものと思われるログインの分析、遮断、再認証 ・社内専門部署による検証やモニタリング
啓発お客さまご自身でできる アカウントの不正利用防止対策について、情報を提供しています。
Yahoo!セキュリティセンター(ヤフー)
乗っ取り被害に遭わないために LINEみんなの使い方ガイド(LINE)
LINE セーフティセンター(LINE)

迷惑メールへの対策を強化(ヤフー)

「Yahoo!メール」をご利用いただいているお客さまを対象に、迷惑メールの自動振り分けや、なりすましメールの受信拒否などのさまざまな対策ツールを提供しています。また、こうしたツールの使い方や設定方法などを詳しく紹介するページを用意し、お客さまの迷惑メール対策をサポートしています。