企業としての義務と責任セキュリティ・プライバシー

ヤフーでは、安心して安全に利用できるサービスをお客さまに提供し続けるため、全社を挙げて中長期的な視点で情報セキュリティに取り組んでいます。

ユーザー情報の保護(機密性)

お客さまの情報はすべてに優先して守るべきものだと考えています。お客さまからお預かりした個人情報にアクセスする権限を持つ担当者を必要最小限に絞るといったシステム的対策や、特に高い機密性が求められる個人情報は隔離・監視されたセキュリティエリア以外ではアクセスできないという物理的対策を組み合わせ、実効性の高い運用を行っています。
また、お客さまの情報の照会・変更・削除等はお客さま自身がシステムから行うようにしており、お問い合わせに回答するためにやむを得ない場合等を除き、役員、従業員等が氏名、住所など直接特定の個人を識別できる個人情報を参照できないようにしています。

関連する社会課題解決キーワード

サービスを止めない・データを壊さない(可用性、完全性)

24時間365日いつでもお客さまにサービスを提供し続け、またお預かりした情報やコンテンツの破壊や改ざんから確実に守るべきと考えています。特にお客さまや社会にとって重要性の高いサービスについては、不測の事態でも不断でサービス提供できる対策をとることを方針としています。

情報セキュリティ体制

組織横断型の情報セキュリティ体制を敷いています。CEOはCISO(Chief Information Security Officer)を任命のうえ、ヤフー及びその子会社・関連会社の情報セキュリティに関する権限と責任を委譲し、CISOが情報セキュリティに注力して指示や判断ができる体制にしています。
また、CEO所轄で「Security-Board」が置かれ、CISOを補佐し、全社のセキュリティ戦略や方針を計画、推進する役割を担っています。
CISOは配下に、「情報セキュリティ統括組織」を置き、CISOのリーダーシップのもと、ISMS(Information Security Management System)やサイバー攻撃対策を統括しており、セキュリティに関する取り組みを最高経営会議(代表取締役社長、取締役監査等委員が出席)で定期的に報告しています。
統括本部情報セキュリティ責任者は、各統括組織の執行役員に任命され所属する統括組織の情報セキュリティを統括します。
ヤフーの子会社・関連会社は、統括組織の管轄下に置かれますが、情報セキュリティに関しても、管轄する統括組織の統括本部情報セキュリティ責任者が主導して管理・指導を行います。
ヤフーの社内CSIRT(Computer Security Incident Response Team)であるYahoo! JAPAN CSIRT(YJ-CSIRT)は、情報セキュリティに関わる脆弱性を一元的に管理し対応を指揮するとともに、各カンパニー・統括組織や子会社・関連会社の対応活動を支援しています。

関連する社会課題解決キーワード

情報セキュリティルールの策定と周知徹底

ヤフー及びそのグループ企業は、情報セキュリティルールを定め、役員、従業員に周知し徹底しています。
情報セキュリティルールは取り扱う情報の法的要求事項、価値、重要性などで「情報区分」に分類し、「情報区分」ごとに情報の取り扱い、システム構築、情報を取り扱う居室の仕様などを定めています。
役員、従業員には、四半期に1度の教育や自己点検を通じて、情報セキュリティルールを認識させています。順守状況は内部監査や第三者機関の監査などにより把握され、情報セキュリティルールと乖離(かいり)する状況については、情報セキュリティリスクとして情報セキュリティ統括組織のもとで管理され、是正処置が完了するまで見届けられます。

関連する社会課題解決キーワード

ISMS(Information Security Management System)認証の取得

ヤフーおよび一部子会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証をグループとして取得しています。
グループとして認証に組み込まれている子会社は、ヤフーの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを運用しています。
なおヤフーのISMS認証取得の歴史は長く、2004年8月に現在の規格の前身である「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」を取得しています。それ以降、国際規格の見直しにも対応し、現在も認証を維持し続けています。

関連する社会課題解決キーワード

PCI DSS認定の取得

2008年11月、ヤフーはインターネット上の決済サービス「Yahoo!ウォレット」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。オンライン決済サービスとして日本最大級である「Yahoo!ウォレット」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。

また、クレジットカードの国際ブランドであるVISA、およびMasterCardからクレジットカードのカード発行業務(イシュイング)と加盟店管理業務(アクワイアリング)におけるライセンスを取得し、2012年3月より自社におけるほぼすべてのクレジットカード決済において加盟店管理業務を行っています。当業務では、2012年2月に「PCI DSS」の認定を取得し、以後毎年認定の取得を継続しています。

ヤフーが取得したPCI DSSの認定書の画像ヤフーが取得したPCI DSSの認定書の画像

関連する社会課題解決キーワード

安全なサービスを提供するための取り組み

堅牢なサービスを提供するための取り組みの一環として、社内専任組織と第三者機関による脆弱性診断の実施等、アプリケーションへの脆弱性対応を実施しています。アプリケーションに脆弱性を作りこまないことを目的に、エンジニアを対象にしたセキュアコーディング研修を実施しています。トラブル発生時の対応力を養うことを目的に、サイバー攻撃を想定したインシデント対応訓練(YJ-Hardening)を実施しています。

また、セキュリティに関する新たな脅威に対応するため、常に外部の最新の情報の入手および連携のため以下の団体に加盟し、継続的な技術動向の把握に取り組んでいます。

外部専門組織との連携:日本サイバー犯罪対策センターを始めとする社外の専門組織と連携してサイバー犯罪の情報収集を行い、適切な対策を取っています。

インシデント発生時は、JPCERTコーディネーションセンター等の外部機関と連携して対応します。

関連する社会課題解決キーワード

ログイン強化への取り組み

ログインアラート

お客さまのYahoo! JAPAN IDでログインがあったことをメールでお知らせするサービスを提供しています。IDが不正利用された可能性をいち早く察知し、身に覚えのないログインの場合は、一時的にロックをかけることができるため、不正利用の拡大防止につながります。

ログイン履歴

Yahoo! JAPANのサイトでは、Yahoo! JAPAN IDごとにログインした日時やサービス名などを確認できます。Yahoo! JAPANへのログインに成功した過去30件分の履歴を確認することで、第三者による不正操作がなかったかなどをお客さまご自身で確認できます。

ログインテーマ

Yahoo! JAPAN IDのログイン画面で、ログインテーマ機能を提供しています。ログインテーマとは、お客さまがYahoo! JAPANにログインする際に、正規のサイトかどうかを判断する目印となる画像のことです。「ログインテーマ」を利用することにより、偽のログイン画面に気づく可能性を高め、お客さまがフィッシングの危険を回避することに役立てられています。

ワンタイムパスワード

ワンタイムパスワードは、IDを不正利用から強力に守るセキュリティ機能です。万が一、他人にパスワードを知られてしまっても、ワンタイムパスワードの認証が加わることで、不正利用の危険を回避でき、自己防衛できます。

シークレットID

シークレットIDは、Yahoo! JAPAN IDやニックネームとは異なる、ログインにのみ使用する秘密のログイン専用IDです。一般的にIDは他人も知り得る情報であることが多いため、悪意のある人にIDを知られると、不正に利用されてしまう可能性があります。パスワードだけでなくIDも、自分だけが知る秘密の文字列にすることで、他人にIDを知られる危険を回避できます。

パスワードレスなログイン

パスワードを設定しないID登録やパスワードを無効にすることで、スマートフォンなどのSMS(ショートメッセージサービス)を使ってログインできます。
パスワードを使ってログインできないため、第三者が他のサイトなどから入手したアカウントとパスワードの組み合わせのリストを使って不正アクセスを試みる、いわゆる「リスト型攻撃」による不正ログインのリスクを解消します。

不正ログイン検知・措置

悪意を持った第三者と思われるログインの分析、遮断や再認証など、社内専門部署による検証やモニタリングなど、様々な対策に取り組んでいます。

情報セキュリティ啓発

お客さまのYahoo! JAPAN IDが不正利用されないために、ご自身でできる対策について情報提供を行っています。

関連する社会課題解決キーワード

迷惑メールへの対策を強化

「Yahoo!メール」をご利用いただいているお客さまを対象に、迷惑メールの自動振り分けや、なりすましメールの受信拒否などのさまざまな対策ツールを提供しています。また、こうしたツールの使い方や設定方法などを詳しく紹介するページを用意し、お客さまの迷惑メール対策をサポートしています。

関連する社会課題解決キーワード

プライバシーに対する取り組み

ヤフーはインターネットを通じてお客さまの生活をより便利で豊かにし、さまざまな社会課題を解決していくため、お客さまに関連する情報をはじめ、さまざまなデータを活用します。個人情報の厳重な管理、情報セキュリティの確保とともに、どのようなプライバシーポリシーに基づき、どのようにデータを扱うのかなどの基本的考え方や方針を「プライバシーセンター」としてまとめ、紹介しています。

関連する社会課題解決キーワード