サービスの安心・安全

情報セキュリティへの取り組み

ヤフーでは、安心して安全に利用できるサービスをお客さまに提供し続けるため、全社を挙げて中長期的な視点で以下の方針と体制のもと、情報セキュリティに取り組んでいます。

お客様の情報保護を最優先する(機密性)

ヤフーは、お客さまの情報はすべてに優先して守るべきものだと考えています。
お客さまからお預かりした個人情報は、役員、従業員でも社外に持ち出せない対策をとることを方針としています。
個人情報にアクセスする権限を持つ担当者を必要最小限に絞るといったシステム的対策や、特に高い機密性が求められる個人情報は隔離・監視されたセキュリティエリア以外ではアクセスできないという物理的対策を組み合わせ、実効性の高い運用を行っています。
また、お客さまの情報の照会・変更・削除等はお客さま自身がシステムから行うようにしており、お問い合わせに回答するためにやむを得ない場合等を除き、役員、従業員等が個人情報を参照できないようにしています。

サービスを止めない、データを壊さない(可用性、完全性)

ヤフーは、24時間365日いつでもお客さまにサービスを提供し続け、またお預かりした情報やコンテンツの破壊や改ざんから確実に守るべきと考えています。特にお客さまや社会にとって重要性の高いサービスについては、不測の事態でも不断でサービス提供できる対策をとることを方針としています。

情報セキュリティの体制

ヤフーでは、組織横断型の情報セキュリティ体制を敷いています。
CEOはCISO(Chief Information Security Officer)を任命のうえ、ヤフーおよびヤフーグループの情報セキュリティに関する権限と責任を委譲し、CISOが情報セキュリティに注力して指示や判断ができる体制にしています。
CISOの配下には、組織横断型の「情報セキュリティ統括組織」やヤフー版CSIRT(Computer Security Incident Response Team)である「YIRD」など情報セキュリティに関わる組織を置き、CISOのリーダーシップのもと、ISMS(Information Security Management System)やサイバー攻撃対策を統括しています。
情報セキュリティ統括組織は、専任メンバーのほか、各カンパニー・統括組織から執行役員に任命された「カンパニー情報セキュリティ責任者」が兼任メンバーとして所属しています。
カンパニー情報セキュリティ責任者は、情報セキュリティ統括組織のメンバーとして全社的な情報セキュリティの運営や方針決定に関わる一方で、所属するカンパニー・統括組織の情報セキュリティを統括します。
ヤフーの子会社・関連会社は、カンパニーまたは統括組織の管轄下に置かれますが、情報セキュリティに関しても、管轄するカンパニーまたは統括組織のカンパニー情報セキュリティ責任者が主導して管理・指導を行います。
また、CISO所轄で「CISO-Board」を置き、CISOの権限と責任の一部を委譲しています。
「CISO-Board」は経営陣やCISOにヤフーやヤフーグループの情報セキュリティ戦略や方針を提案するとともに、情報セキュリティ統括組織に対して指示・指導を行っています。

上記で説明した情報セキュリティの体制を表す図です。

サイバー攻撃には柔軟性のある多層防御で備える

ヤフーは、外部(主にインターネット)からのサイバー攻撃に対しては、複数の対策を重ねる「多層防御」を方針としています。また、攻撃手法は日々刻々と変化・進化しているため、頻繁に社内外の専門家と協議や情報交換を重ねて柔軟に対策に反映することにしています。

情報セキュリティルールの策定と周知徹底

ヤフーおよびヤフーグループは、情報セキュリティルールを定め、役員、従業員に周知し徹底しています。
情報セキュリティルールは取り扱う情報の法的要求事項、価値、重要性などで「情報区分」に分類し、「情報区分」ごとに情報の取り扱い、システム構築、情報を取り扱う居室の仕様などを定めています。
役員、従業員には、四半期に1度の教育や自己点検を通じて、情報セキュリティルールを認識させています。順守状況は内部監査や第三者機関の監査などにより把握され、情報セキュリティルールと乖離(かいり)する状況については、情報セキュリティリスクとして情報セキュリティ統括組織のもとで管理され、是正処置が完了するまで見届けられます。

ISMS(Information Security Management System)認証の取得

ヤフーおよび一部子会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証をグループとして取得しています。
グループとして認証に組み込まれている子会社は、ヤフーの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを運用しています。
なおヤフーのISMS認証取得の歴史は長く、2004年8月に現在の規格の前身である「BS7799-2:2002」および、同規格に基づく国内規格「ISMS認証基準(Ver.2.0)」を取得しています。それ以降、国際規格の見直しにも対応し、現在も認証を維持し続けています。

ISO15408認証の取得

ISO15408

2007年11月26日、ヤフーはデータベースの情報漏えいを監視するシステム「iTres(アイトレス)」を開発し、「ISO15408」の認証を取得しました。「iTres」は、あらかじめ設定したポリシーに基づいて企業のデータベースへのアクセスを監視することにより、 情報漏えいを防止しデータベースを守るシステムです。データベースへのアクセス監視を行うシステム分野で公開されている認証製品としては、国内初です。ヤフーでも個人情報などの膨大なデータベースの管理運用に「iTres」を導入して、監視精度を高めています。

PCI DSS認定の取得

ISO15408

2008年11月、ヤフーはインターネット上の決済サービス「Yahoo!ウォレット」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。
取得した認定は、PCI DSS審査のなかで最も厳しい、取引件数の多い加盟店向けの「レベル1」要件です。オンライン決済サービスとして日本最大級である「Yahoo!ウォレット」における情報管理および取引プロセス等に関するすべてのシステムにおいて、その安全性が国際水準であることが認められました。

また、クレジットカードの国際ブランドであるVISA、およびMasterCardからクレジットカードのカード発行業務(イシュイング)と加盟店管理業務(アクワイアリング)におけるライセンスを取得し、2012年3月より自社におけるほぼすべてのクレジットカード決済において加盟店管理業務を行っています。当業務では、2012年2月に「PCI DSS」の認定を取得し、以後毎年認定の取得を継続しています。