企業としての義務と責任セキュリティ

ヤフーでは、安心して安全に利用できるサービスをお客さまに提供し続けるため、全社を挙げて中長期的な視点で情報セキュリティに取り組んでいます。

ユーザー情報の保護(機密性)

お客さまの情報はすべてに優先して守るべきものだと考えています。お客さまからお預かりした個人情報にアクセスする権限を持つ担当者を必要最小限に絞るといったシステム的対策や、特に高い機密性が求められる個人情報は隔離・監視されたセキュリティエリア以外ではアクセスできないという物理的対策を組み合わせ、実効性の高い運用を行っています。
また、お客さまの情報の照会・変更・削除等はお客さま自身がシステムから行うようにしており、お問い合わせに回答するためにやむを得ない場合等を除き、役員、従業員等が氏名、住所など直接特定の個人を識別できる個人情報を参照できないようにしています。

関連する社会課題解決キーワード

サービスを止めない・データを壊さない(可用性、完全性)

24時間365日いつでもお客さまにサービスを提供し続け、またお預かりした情報やコンテンツの破壊や改ざんから確実に守るべきと考えています。特にお客さまや社会にとって重要性の高いサービスについては、不測の事態でも不断でサービス提供できる対策をとることを方針としています。

情報セキュリティ体制

組織横断型の情報セキュリティ体制を敷いています。CEOはCISO(Chief Information Security Officer)を任命のうえ、ヤフーおよびヤフーグループの情報セキュリティに関する権限と責任を委譲し、CISOが情報セキュリティに注力して指示や判断ができる体制にしています。
CISOは配下に、「情報セキュリティ統括組織」を置き、CISOのリーダーシップのもと、ISMS(Information Security Management System)やサイバー攻撃対策を統括しています。
カンパニー情報セキュリティ責任者は、各カンパニー・統括組織の執行役員に任命され所属するカンパニー・統括組織の情報セキュリティを統括します。
ヤフーの子会社・関連会社は、カンパニーまたは統括組織の管轄下に置かれますが、情報セキュリティに関しても、管轄するカンパニーまたは統括組織のカンパニー情報セキュリティ責任者が主導して管理・指導を行います。
ヤフー版CSIRT(Computer Security Incident Response Team)である「YIRD」は、情報セキュリティに関わる脆弱性を一元的に管理し対応を指揮するとともに、各カンパニー・統括組織や子会社・グループ会社の対応活動を支援しています。また、CISO所轄で「CISO-Board」が置かれ、CISOを補佐し、全社のセキュリティ戦略や方針を計画、推進する役割を担っています。

関連する社会課題解決キーワード

サイバー攻撃に対する多層防御

外部(主にインターネット)からのサイバー攻撃に対しては、複数の対策を重ねる「多層防御」を方針としています。また、攻撃手法は日々刻々と変化・進化しているため、頻繁に社内外の専門家と協議や情報交換を重ねて柔軟に対策に反映することにしています。

関連する社会課題解決キーワード

情報セキュリティルールの策定と周知徹底

ヤフーおよびヤフーグループは、情報セキュリティルールを定め、役員、従業員に周知し徹底しています。
情報セキュリティルールは取り扱う情報の法的要求事項、価値、重要性などで「情報区分」に分類し、「情報区分」ごとに情報の取り扱い、システム構築、情報を取り扱う居室の仕様などを定めています。
役員、従業員には、四半期に1度の教育や自己点検を通じて、情報セキュリティルールを認識させています。順守状況は内部監査や第三者機関の監査などにより把握され、情報セキュリティルールと乖離(かいり)する状況については、情報セキュリティリスクとして情報セキュリティ統括組織のもとで管理され、是正処置が完了するまで見届けられます。

関連する社会課題解決キーワード

ISMS(Information Security Management System)認証の取得

ヤフーおよび一部子会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証をグループとして取得しています。
グループとして認証に組み込まれている子会社は、ヤフーの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを運用しています。
なおヤフーのISMS認証取得の歴史は長く、2004年8月に現在の規格の前身である「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」を取得しています。それ以降、国際規格の見直しにも対応し、現在も認証を維持し続けています。

関連する社会課題解決キーワード

ISO15408認証の取得

2007年11月26日、ヤフーはデータベースの情報漏えいを監視するシステム「iTres(アイトレス)」を開発し、「ISO15408」の認証を取得しました。「iTres」は、あらかじめ設定したポリシーに基づいて企業のデータベースへのアクセスを監視することにより、情報漏えいを防止しデータベースを守るシステムです。データベースへのアクセス監視を行うシステム分野で公開されている認証製品としては、国内初です。ヤフーでも個人情報などの膨大なデータベースの管理運用に「iTres」を導入して、監視精度を高めています。

ヤフーが取得したISO15408の認証書の画像ヤフーが取得したISO15408の認証書の画像

関連する社会課題解決キーワード

PCI DSS認定の取得

2008年11月、ヤフーはインターネット上の決済サービス「Yahoo!ウォレット」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。オンライン決済サービスとして日本最大級である「Yahoo!ウォレット」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。

また、クレジットカードの国際ブランドであるVISA、およびMasterCardからクレジットカードのカード発行業務(イシュイング)と加盟店管理業務(アクワイアリング)におけるライセンスを取得し、2012年3月より自社におけるほぼすべてのクレジットカード決済において加盟店管理業務を行っています。当業務では、2012年2月に「PCI DSS」の認定を取得し、以後毎年認定の取得を継続しています。

ヤフーが取得したPCI DSSの認定書の画像ヤフーが取得したPCI DSSの認定書の画像

関連する社会課題解決キーワード

ログイン強化への取り組み

ログインアラート

お客さまのYahoo! JAPAN IDでログインがあったことをメールでお知らせするサービスを提供しています。IDが不正利用された可能性をいち早く察知し、身に覚えのないログインの場合は、一時的にロックをかけることができるため、不正利用の拡大防止につながります。

関連リンク

ログイン履歴

Yahoo! JAPANのサイトでは、Yahoo! JAPAN IDごとにログインした日時やサービス名などを確認できます。Yahoo! JAPANへのログインに成功した過去30件分の履歴を確認することで、第三者による不正操作がなかったかなどをお客さまご自身で確認できます。

関連リンク

ログインテーマ

Yahoo! JAPAN IDのログイン画面で、ログインテーマ機能を提供しています。ログインテーマとは、お客さまがYahoo! JAPANにログインする際に、正規のサイトかどうかを判断する目印となる画像のことです。「ログインテーマ」を利用することにより、偽のログイン画面に気づく可能性を高め、お客さまがフィッシングの危険を回避することに役立てられています。

関連リンク

ワンタイムパスワード

ワンタイムパスワードは、IDを不正利用から強力に守るセキュリティ機能です。万が一、他人にパスワードを知られてしまっても、ワンタイムパスワードの認証が加わることで、不正利用の危険を回避でき、自己防衛できます。

関連リンク

シークレットID

シークレットIDは、Yahoo! JAPAN IDやニックネームとは異なる、ログインにのみ使用する秘密のログイン専用IDです。一般的にIDは他人も知り得る情報であることが多いため、悪意のある人にIDを知られると、不正に利用されてしまう可能性があります。パスワードだけでなくIDも、自分だけが知る秘密の文字列にすることで、他人にIDを知られる危険を回避できます。

関連リンク

関連する社会課題解決キーワード

迷惑メールへの対策を強化

「Yahoo!メール」をご利用いただいているお客さまを対象に、迷惑メールの自動振り分けや、なりすましメールの受信拒否などのさまざまな対策ツールを提供しています。また、こうしたツールの使い方や設定方法などを詳しく紹介するページを用意し、お客さまの迷惑メール対策をサポートしています。

関連リンク

関連する社会課題解決キーワード

ヤフオク! 不正防止対策

「ヤフオク!」において、不正を防止するための管理やシステムの強化を行っています。また、利用者への啓発をはじめ、知的財産権保護のための取り組みを権利者団体と協働するなど多方面から推進しています。今後も不正ゼロに向けて、積極的に活動を続けていきます。

ヤフオク護身術

お客さまに安全に「ヤフオク!」をご利用いただくための情報を提供しています。出品や入札、落札、代金の支払い、商品の受け取りなど、それぞれの場面での注意点や確認すべきポイントなどをまとめたページを用意し、不正に入手された商品の売買や、フィッシングサイトへの不用意なアクセスを避けるための注意点なども公開しています。

「ヤフオク!」出品開始前の確認

「ヤフオク!」では、出品開始前の確認として、2006年11月より出品者の本人確認資料の提示による確認方法を導入しました。また、2012年8月からは、携帯電話事業者で本人確認が行われている端末(携帯電話・スマートフォン)を利用する方法(モバイル確認)も導入し、どちらかの確認手続きを行っていただくことで出品が可能となっております。

偽造品撲滅対策

ヤフーは、「ヤフオク!」における偽造品の流通を撲滅することを目的に、ブランド各社との提携を推進しています。これまでに「ルイ・ヴィトン マルティエ」と「コーチ・インク」の2社と偽造品対策に関する覚書を締結し、両者が連携して偽造品の流通防止対策に努めることに合意しています。
また、犯罪捜査に関して警察への協力に努めるとともに、経済産業省など偽造品対策を推進する省庁との情報交換を行っています。
あわせて、偽造品を購入しないよう利用者への啓発活動を継続しています。
今後も、偽造品対策について関係者との連携を推進するとともに、利用者に対する啓発活動を行うことを通じて、インターネットオークションサービスを運営するうえでのグローバル基準の確立を目指します。

知的財産権保護の取り組み

2005年12月に、権利者や権利者団体とともに、関連する省庁をオブザーバーに迎えて「インターネット知的財産権侵害品流通防止協議会(CIPP)」を設立しました。「インターネット知的財産権侵害品流通防止ガイドライン」を策定し、権利者とインターネット事業者が協働して侵害品の流通防止に努めています。2015年度のCIPPの報告書によると、対策が進んでいるネットオークションにおける侵害品の出品率は、著作権侵害品が0.25%(4,762件中)、商標権侵害品が1.83%(2,292件中)と極めて低い水準で維持されています。
ネットオークション全体の出品数が増加している一方、知的財産権侵害品の出品率が極めて低い水準にあることは、インターネット事業者が権利者とともに取り組んできた諸対策の成果といえます。

「不正利用検知モデル」を導入

オークションの不正利用対策のために、「不正利用検知モデル」を運用しています。データマイニング技術を応用し、不正利用者の行動パターンをモデル化したデータ解析を行うことで、パトロールの効率を高めています。

未着トラブルお見舞い制度の設置

利用規約などのルールを守って利用したにもかかわらず、詐欺などの被害にあってしまった「ヤフオク!」のお客さまに対して、ヤフーでは独自のお見舞い制度を整備・運用しています。

関連リンク

関連する社会課題解決キーワード

PAGETOPPAGETOP

一覧を見る