情報セキュリティ
基本的な考え方
インターネットは、私たちの利便性を向上させ、社会を支える基盤となりました。
一方で、個人情報の漏えいや詐欺行為、プライバシーの侵害など、インターネットをめぐる課題が顕在化し、健全なIT社会の形成に向けた適切な対応が社会全体で求められています。
楽天グループは、Eコマースや金融サービス、携帯キャリア事業など、オンライン・オフラインで幅広いサービスを提供しています。お客様の個人情報をはじめとする各種情報と、ハードウェア、ソフトウェアなどの情報システムからなる情報資産は、私たちの事業活動を展開する上で不可欠な資産です。
私たちは、これら情報資産の適切な保護・管理を通じた情報セキュリティの確保を、経営上の最重要課題の一つに位置付けています。情報セキュリティの確保に向けて弛まぬ努力を続け、対策を継続的に強化していきます。
基本方針
-
情報セキュリティ体制の構築
経営陣を中心とした管理体制のもと情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持、向上に取り組む。 - 情報資産の適切な管理
保有する情報資産について重要性を認識するとともにリスク評価を行い、適切に管理する。 - 情報セキュリティ確保のための規程等の策定
情報セキュリティ確保のための規程等を定め、関係者全員にこれを徹底する。 - 法令・規範の遵守
情報セキュリティに関する法令その他の規範を遵守する。 - 継続的な改善
定期的に監査を実施し、継続的に情報セキュリティマネジメントシステムの改善を行う。
マネジメント体制
楽天では、経営層から現場の担当者まで同じ方針・価値観を共有し、グループ全体で情報セキュリティガバナンスの強化に取り組んでいます。
楽天グループ内の各組織における担当者としてChief Information Security Officer(以下「CISO」)、製品・サービスのセキュリティレベルを高めるために各開発・運用チームにセキュリティの責任者である「セキュリティチャンピオン」を任命しています。
また、グループCISOを委員長とする、楽天グループ情報セキュリティ&プライバシー委員会を毎月開催し、主要な施策やグループ横断での情報セキュリティに関する議論、期間内に発生したインシデントなどについて報告および判断をしています。委員会には、楽天グループの監査役や楽天EdyでのCISO経歴のある、情報セキュリティに関する専門知識を持つ長沼義人が監査役として出席します。本委員会での主な協議事項は、コーポレート経営会議にて経営陣に報告しています。また、楽天グループ内の各組織における責任者であるリージョナルCISO、カンパニーCISO、グループ各社のCISOで構成されるCISOコミュニティにおいても、グループ横断での情報セキュリティに関する議論や情報共有を行っています。
国際基準への準拠
楽天グループは、情報セキュリティマネジメントの国際規格であるISO/IEC27001に基づく規定・基準を定めています。情報資産の損失、改ざん、サービス停止など、情報セキュリティリスクを管理するシステム(ISMS)を構築、運用し、継続的に改善することにより、情報資産の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の維持に努めています。
また、2006年11月に「楽天市場」で初めてISO/IEC27001認証を取得し、その後は楽天グループ内の全組織および主要な国内グループ会社各社、海外グループ会社での認証取得を進めています。現時点では以下の45社が専門機関による外部監査を通じて認証を取得し、情報セキュリティに取り組んでいます。
- 楽天グループ株式会社
- リンクシェア・ジャパン株式会社
- ターゲット株式会社
- 楽天ソシオビジネス株式会社
- 株式会社楽天野球団
- 楽天トラベルサービス株式会社
- 楽天ANAトラベルオンライン株式会社
- 楽天コミュニケーションズ株式会社
- 楽天インサイト株式会社
- 楽天カード株式会社
- 競馬モール株式会社
- 楽天チケット株式会社
- 楽天Edy株式会社
- 楽天モバイル株式会社
- 楽天モバイルエンジニアリング株式会社
- 楽天カスタマーサービス株式会社
- 楽天スクリーム株式会社
- 楽天ペイメント株式会社
- 楽天ウォレット株式会社
- 楽天ヴィッセル神戸株式会社
- 楽天エナジー株式会社
- 楽天カー株式会社
- 株式会社ケイドリームス
- ハングリード株式会社
- 楽天ビジネスサポート株式会社
- 楽天ドローン株式会社
- 楽天データソリューションズ株式会社
- 楽天モバイルインフラソリューション株式会社
- 楽天ステイ株式会社
- 楽天トータルソリューションズ株式会社
- Rakuten India Enterprise Private Limited
- Rakuten Asia Pte. Ltd
- Rakuten Europe S.à.r.l.
- Rakuten France S.A.S.
- Rakuten TV Europe, S.L.U.
- Rakuten Travel Xchange Pte. Ltd
- Rakuten Symphony INC.
- Rakuten Symphony India Private Limited
- Rakuten Mobile USA LLC
- Rakuten Symphony Singapore Pte. Ltd.
- Rakuten Symphony Deutschland GmbH
- Rakuten Symphony Korea, Inc.
- Rakuten International Commercial Bank Co., Ltd.
- Rakuten Travel Singapore Pte. Ltd
- Rakuten USA, Inc.
さらに、クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS*1への準拠を徹底しています。この活動が認められ、2021年にはアジアで唯一、PCI SSC*2 Board of Advisorsのメンバーとして選出されています。
*1 Payment Card Industry Data Security Standard
*2 Payment Card Industry Security Standards Council
情報セキュリティ教育
情報セキュリティの確保のためには、従業員一人ひとりのセキュリティに対する意識を高めることが重要です。
楽天グループでは、セキュリティやプライバシーをテーマとした、全グループ従業員が参加する朝会を定期的に実施しています。また、役員、正社員にとどまらず、契約社員、派遣社員、パートナ―スタッフ、業務委託者、アルバイトを含む全従業員を対象に情報セキュリティ教育を毎年実施しています。実際に発生したインシデントの事例などを交えて情報セキュリティの重要性への理解を深めることに加えて、受講者は社内規程の遵守を宣誓します。
また、各社のCISOが参加する年次のGlobal
CISO
Summitでは、本部からの方針説明に加え、グループ各社の取り組みや技術知見の共有、その年の主要なテーマに関する分科会の実施、そして社外の専門家による講演などを行い、グループ全体の情報セキュリティに関する能力の向上に努めています。
サイバーセキュリティの強化
サイバーセキュリティとは、インターネットをはじめとするコンピュータネットワーク、情報システム、PCやスマートフォンなどのデバイス、およびその利用者などによって構成される仮想環境(サイバー空間)の安全を確保することであり、情報漏えいやデータの改ざん、破壊行動、コンピュータウイルス、フィッシング攻撃(電子メールなどを介した詐欺行為)などの脅威に対する防御策を講じることを指します。
楽天グループでは、サイバーセキュリティを担う専門組織を設置しています。開発者に対する徹底したセキュリティ教育を行い、ソフトウェア開発プロセスにセキュリティレビュー、脆弱性(安全を脅かすシステム上の欠陥)検査といった一連のセキュリティ活動を組み込むことで、脆弱性を排した安全なサービス開発に能動的に取り組む体制を取っています。また、セキュリティ事故を防ぐために、日常のサービス運用において、不正アクセスの監視、脆弱性の調査・対応などのセキュリティオペレーションを実施しています。
さらに、安全なサービス開発を各部署で監督する体制であるセキュリティチャンピオン制度をグローバルに展開し、セキュリティレビューの徹底や知見の共有を通じてグループ全体で安全なサービスの提供を目指しています。
開発プロセス
加えて、関連省庁やサイバー犯罪対応専門組織、他企業などの外部機関との連携を担うグループ横断のCSIRT*1の設置に加え、警察をはじめとする行政機関・捜査関連機関、FIRST*2や日本シーサート協議会等各種団体との連携を強化し、自社のセキュリティ維持だけでなく、インターネット社会全体のセキュリティ強化に貢献するよう努めています。
*1 Computer Security Incident Response Team:セキュリティインシデントに関する報告を受け取り、調査・対応活動を行う組織体の名称
*2 Forum of Incident Response and Security Teams:インシデント対応の国際組織
フィッシングメール対策
近年、電子メールを使ったインターネット上での詐欺行為、
フィッシングメール詐欺が流行しています。こうした攻撃からお客様を守るため、広告などの電子メールについて、楽天から配信されていることを証明する送信ドメイン認証技術(SPF、DKIM、およびDMARC)の導入を加速しました。この技術により、楽天を詐称するメールを受信者に届けることなく、受信者のメールサーバ上で廃棄することができます。
楽天では70を超えるサービスで用いられるドメインへこの技術の導入を進めており、引き続き全送信メールへの適用を図っていきます。また、社外の各種IT企業や携帯電話会社とも連携し、それぞれが提供するメールサービスにて受信される楽天からのメールに、正規のメールであることを示す楽天ブランドシンボルや公式アカウントマークを表示させる仕組みの導入も継続的に行っています。
特定利用者情報取扱方針
2023年6月に日本の電気通信事業法が改正され、特定利用者情報を利用する事業者は取扱方針を策定および公表することが義務付けられました。楽天グループ株式会社は、この電気通信事業法の義務に基づき、弊社が取り扱う特定利用者情報について、その利用目的や保護の体制などをお客様にご理解いただくことを目的として本方針を制定しました。
特定利用者情報取扱方針はこちらからご確認ください。