企業としての義務と責任セキュリティ・プライバシー

ヤフーでは、安心して安全に利用できるサービスをお客さまに提供し続けるため、全社を挙げて中長期的な視点で情報セキュリティに取り組んでいます。

情報セキュリティに関する基本的な考え方

CEOイニシアティブのもと、ヤフーグループ全体でERMを推進し、最優先事項として、「まず人命。そして情報セキュリティ(もれる・きえる・とまる)」を宣言し、戦略に組み込んでいます。人命尊重に次いで優先すべき情報セキュリティについては、お客さまの情報を漏洩から守ること(機密性)、24時間365日いつでもお客さまにサービスを提供し続けること(可用性)、コンテンツを破壊や改ざんから確実に守ること(完全性)を方針としています。

情報セキュリティマネジメント体制

中長期的な視点に基づき、組織横断型の情報セキュリティ体制を敷いています。

情報セキュリティマネジメント体制図

セキュリティを担保するための取り組み

安全なサービスを提供するための取り組み

堅牢なサービスを提供するための取り組みの一環として、社内専任組織と第三者機関による脆弱性診断の実施等、アプリケーションへの脆弱性対応を実施しています。アプリケーションに脆弱性を持たせないことを目的に、エンジニアを対象とするセキュアコーディング研修を実施しています。トラブル発生時の対応力を養うことを目的に、サイバー攻撃を想定したインシデント対応訓練(YJ-Hardening)を実施しています。

安全なサービスを提供するための取り組みに関する図

セキュリティに関する新たな脅威に対応するため、常に外部の最新情報を入手し連携すべく、以下の団体に加盟し、継続的な技術動向の把握に取り組んでいます。

社外との情報共有体制

日本シーサート協議会(外部リンク)
FIRST(外部リンク)
セキュリティに関する新たな脅威に対応するため、継続的な技術動向の把握に取り組んでいます。
日本サイバー犯罪対策センター
(外部リンク)
サイバー犯罪の情報収集を行い、適切な対策を取っています。
JPCERTコーディネーションセンター
(外部リンク)
インシデント発生時に、連携して対応します。

ユーザー保護のための取り組み

お客さまのYahoo! JAPAN ID・パスワードが第三者に知られてしまった場合に備えて、不正ログインを防止する、または被害を軽減するための対策を行っています。また、日本のインターネット利用者に対して安全なID管理についての啓発を行うとともに、一定の不正利用を想定した事前対策を講じています。

啓発 お客さまご自身でできるYahoo! JAPAN IDの不正利用防止対策について、情報を提供しています。
Yahoo!セキュリティセンター
ツールの提供
  • ・ログイン履歴・ログインアラート:Yahoo! JAPAN IDが不正利用された場合に、お客さま自身で気づくことができます。
  • ・ワンタイムパスワード:Yahoo! JAPAN ID・パスワードが第三者に知られてしまった場合に不正ログインを防止できます。
不正ログイン検知・措置
  • ・悪意を持った第三者によるものと思われるログインの分析、遮断、再認証
  • ・社内専門部署による検証やモニタリング

データ保護のための取り組み

データの重要度に応じた複数の区分に分類し、それぞれの区分に合わせたデータ保護の対策をとっています。

データ保護のための取り組みを、データの重要度に応じて複数の区分で分類、対策している。システム的対策、物理的対策、人的対策をもった、保護への取り組みを図式化。

第三者認証の取得

ISMS(Information Security Management System)認証の取得

ヤフーおよび一部子会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証をグループとして取得しています。
グループとして認証に組み込まれている子会社は、ヤフーの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを運用しています。
なおヤフーのISMS認証取得の歴史は長く、2004年8月に現在の規格の前身である「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」を取得しています。それ以降、国際規格の見直しにも対応し、現在も認証を維持し続けています。

関連する社会課題解決キーワード

PCI DSS認定の取得

2008年11月、ヤフーはインターネット上の決済サービス「Yahoo!ウォレット」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。オンライン決済サービスとして日本最大級である「Yahoo!ウォレット」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。

また、クレジットカードの国際ブランドであるVISA、およびMasterCardからクレジットカードのカード発行業務(イシュイング)と加盟店管理業務(アクワイアリング)におけるライセンスを取得し、2012年3月より自社におけるほぼすべてのクレジットカード決済において加盟店管理業務を行っています。当業務では、2012年2月に「PCI DSS」の認定を取得し、以後毎年認定の取得を継続しています。

ヤフーが取得したPCI DSSの認定書の画像ヤフーが取得したPCI DSSの認定書の画像

関連する社会課題解決キーワード

ログイン強化への取り組み

ログインアラート

お客さまのYahoo! JAPAN IDでログインがあったことをメールでお知らせするサービスを提供しています。IDが不正利用された可能性をいち早く察知し、身に覚えのないログインの場合は、一時的にロックをかけることができるため、不正利用の拡大防止につながります。

ログイン履歴

Yahoo! JAPANのサイトでは、Yahoo! JAPAN IDごとにログインした日時やサービス名などを確認できます。Yahoo! JAPANへのログインに成功した過去30件分の履歴を確認することで、第三者による不正操作がなかったかなどをお客さまご自身で確認できます。

ログインテーマ

Yahoo! JAPAN IDのログイン画面で、ログインテーマ機能を提供しています。ログインテーマとは、お客さまがYahoo! JAPANにログインする際に、正規のサイトかどうかを判断する目印となる画像のことです。「ログインテーマ」を利用することにより、偽のログイン画面に気づく可能性を高め、お客さまがフィッシングの危険を回避することに役立てられています。

ワンタイムパスワード

ワンタイムパスワードは、IDを不正利用から強力に守るセキュリティ機能です。万が一、他人にパスワードを知られてしまっても、ワンタイムパスワードの認証が加わることで、不正利用の危険を回避でき、自己防衛できます。

シークレットID

シークレットIDは、Yahoo! JAPAN IDやニックネームとは異なる、ログインにのみ使用する秘密のログイン専用IDです。一般的にIDは他人も知り得る情報であることが多いため、悪意のある人にIDを知られると、不正に利用されてしまう可能性があります。パスワードだけでなくIDも、自分だけが知る秘密の文字列にすることで、他人にIDを知られる危険を回避できます。

パスワードレスなログイン

パスワードを設定しないID登録やパスワードを無効にすることで、スマートフォンなどのSMS(ショートメッセージサービス)を使ってログインできます。
パスワードを使ってログインできないため、第三者が他のサイトなどから入手したアカウントとパスワードの組み合わせのリストを使って不正アクセスを試みる、いわゆる「リスト型攻撃」による不正ログインのリスクを解消します。

不正ログイン検知・措置

悪意を持った第三者と思われるログインの分析、遮断や再認証など、社内専門部署による検証やモニタリングなど、様々な対策に取り組んでいます。

情報セキュリティ啓発

お客さまのYahoo! JAPAN IDが不正利用されないために、ご自身でできる対策について情報提供を行っています。

関連する社会課題解決キーワード

迷惑メールへの対策を強化

「Yahoo!メール」をご利用いただいているお客さまを対象に、迷惑メールの自動振り分けや、なりすましメールの受信拒否などのさまざまな対策ツールを提供しています。また、こうしたツールの使い方や設定方法などを詳しく紹介するページを用意し、お客さまの迷惑メール対策をサポートしています。

関連する社会課題解決キーワード

プライバシーに対する取り組み

ヤフーはインターネットを通じてお客さまの生活をより便利で豊かにし、さまざまな社会課題を解決していくため、お客さまに関連する情報をはじめ、さまざまなデータを活用します。個人情報の厳重な管理、情報セキュリティの確保とともに、どのようなプライバシーポリシーに基づき、どのようにデータを扱うのかなどの基本的考え方や方針を「プライバシーセンター」としてまとめ、紹介しています。

関連する社会課題解決キーワード