![Yahoo! JAPAN ライフエンジンレポート2011 [ヤフーのCSR]](http://i.yimg.jp/images/docs/csr/2011/img_title.png){kind=small}
![[特集] ~人と社会を支えるために~ 私たちができること](http://i.yimg.jp/images/docs/csr/2011/gn_lifeengineer.png)
個人情報の管理
お客さまからお預かりした個人情報は、その照会・変更・削除などを、お客さま自身がシステムから行うようにしており、問い合わせに回答するためにやむを得ない場合などを除き、ヤフーからは参照できないようにしています。
情報にアクセスする権限を持つ担当者を必要最小限に絞るといったシステム的対策、さらに、隔離されたセキュリティーエリア以外ではアクセスできないという物理的対策を組み合わせ、実効性のある運用を行っています。
セキュリティー技術の共同開発
より安全なインターネット社会を実現するために、セキュリティー技術の共同開発など、外部との連携活動を積極的に進めています。
セキュリティーガイドラインの策定
社内で積極的に活用が進められているiPhoneやiPadなどは、社内のネットワークを経由せずにインターネットに接続できるなど、セキュリティー上のリスク要因となりかねない一面を持っています。ヤフーでは、運用面からの各種セキュリティーガイドラインを策定し、情報漏えいなどのリスクの低減を図っています。
ISMS認証の取得
2004年8月に、ヤフーグループ(ヤフーおよび子会社)はすべての業務を対象に、情報セキュリティマネジメントシステム規格「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」のISMS認証を取得しました。また、認証基準の移行に伴い、2007年4月にISMS国際規格「ISO/IEC 27001:2005」および日本国内規格である「JIS Q 27001:2006」の認証を取得しました。
今後も毎年、第三者機関による、ヤフーグループ全体の情報セキュリティー管理体制の継続的なチェックと改善確認が行われます。
ISO15408認証の取得
ISO15408認証書
2007年11月26日、ヤフーはデータベースの情報漏えいを監視するシステム「iTres(アイトレス)」を開発し、「ISO15408」の認証を取得しました。「iTres」は、あらかじめ設定したセキュリティーポリシーに基づいて、企業のデータベースへのアクセスを監視することにより、情報漏えいを防止しデータベースを守るシステムです。データベースへのアクセス監視を行うシステム分野で公開されている認証製品としては、国内初のISO15408認証取得となります。ヤフーでも個人情報などの膨大なデータベースの管理運用に、「iTres」を導入して監視精度を高めています。
PCI DSS認定の取得
PCI DSS認証書
2008年11月、ヤフーはインターネット上の決済サービス「Yahoo!ウォレット」において、クレジットカード決済に関する会員情報や取引情報および決済プロセスなどにおけるセキュリティー基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。オンライン決済サービスとして日本最大級である「Yahoo!ウォレット」における情報管理および取引プロセスなどに関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。
