情報セキュリティ

情報セキュリティ基本方針

インターネットを基盤とする高度情報通信ネットワーク社会(以下「IT社会」という。)が急速に進展する中、経済社会の利便性は予想をはるかに超えるスピードで向上しています。他方、個人情報の漏えい問題など新たな課題が顕在化しており、健全なIT社会の形成に向けた適切な対応が社会全体で求められています。

このような状況において、ECから金融までネット上を中心に幅広いサービスを提供している楽天グループは、お客様の個人情報をはじめとする各種情報とハードウェア、ソフトウェアなどの情報システムから成る情報資産が楽天グループの事業活動を展開する上で不可欠な資産であることを認識するとともに、これら情報資産の適切な保護・管理を通じた情報セキュリティの確保を経営上の最重要課題の一つに位置付け、情報セキュリティ対策を継続的に強化していく必要があります。

そこで、関係者全員が参画する情報セキュリティマネジメントシステムを以下の項目を通じて確立し、情報セキュリティの確保に向けて弛まぬ努力を続けています。

  • 1. 情報セキュリティ体制の構築

    経営陣を中心とした管理体制のもと情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持、向上に取り組む。

  • 2. 情報資産の適切な管理

    保有する情報資産について重要性を認識するとともにリスク評価を行い、適切に管理する。

  • 3. 情報セキュリティ確保のための規程等の策定

    情報セキュリティ確保のための規程等を定め、関係者全員にこれを徹底する。

  • 4. 法令・規範の遵守

    情報セキュリティに関する法令その他の規範を遵守する。

  • 5. 継続的な改善

    定期的に監査を実施し、継続的に情報セキュリティマネジメントシステムの改善を行う。

楽天グループの情報セキュリティ体制

情報セキュリティへの取り組み

1. 情報セキュリティマネジメントシステムの維持

楽天グループは、情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく規定・基準を定め、情報資産の損失、改ざん、サービス停止などの情報セキュリティリスクを管理するためのシステム(ISMS)を構築、運用し、継続的に改善することにより、情報資産の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の維持に努めています。
また、2006年11月に「楽天市場」で初めてISO/IEC27001認証を取得して以来、現在では以下の15社が認証を取得し、情報セキュリティに取り組んでおります。

  • 楽天株式会社
  • リンクシェア・ジャパン株式会社
  • ターゲット株式会社
  • 楽天ソシオビジネス株式会社
  • 株式会社楽天野球団
  • 楽天トラベルサービス株式会社
  • 楽天ANAトラベルオンライン株式会社
  • 楽天コミュニケーションズ株式会社
  • 楽天インサイト株式会社
  • シグニーチャジャパン株式会社
  • 競馬モール株式会社
  • 株式会社チケットスター
  • 楽天Edy株式会社
  • 楽天スーパーロジスティクス株式会社
  • 楽天カード株式会社

2. サイバーセキュリティの強化

サイバーセキュリティとは、インターネットをはじめとするコンピュータネットワーク、情報システム、PCやスマートフォンなどのデバイス、およびその利用者等によって構成される仮想環境(サイバー空間)の安全を確保することであり、情報漏洩やデータの改ざん、破壊行動、コンピュータウイルス、フィッシング攻撃(電子メール等を介した詐欺行為)などの脅威に対する防御策を講じることを指します。
楽天グループでは、サイバーセキュリティを担う専門組織を設置し、開発者に対する徹底したセキュリティ教育と、ソフトウェア開発プロセスにセキュリティレビュー、脆弱性(安全を脅かすシステム上の欠陥)検査といった一連のセキュリティ活動を組み込むことで、脆弱性を排した安全なサービス開発に能動的に取り組む体制を取っています。
また、セキュリティ事故を防ぐために、日常のサービス運用において、不正アクセスの監視、脆弱性の調査・対応などのセキュリティオペレーションを実施しております。
加えて、関連省庁やサイバー犯罪対応専門組織、他企業などの外部機関との連携を担うRakuten-CERTを設置し、サイバーセキュリティに関する情報共有などの取り組みを通じて、自社のセキュリティ維持だけでなく、インターネット社会全体のセキュリティ強化に貢献するよう努めております。

3. 個人情報保護の取り組み

楽天グループは、お客様に安心してサービスをご利用いただくことを最優先に取り組んでおり、各国で展開するビジネスにおいて、その国の個人情報保護に関する法令に準拠することを徹底しています。
特に、欧州における個人情報保護の法令であり、各国における個人情報保護のベストプラクティスとなっているGDPR(General Data Protection Regulation)への準拠を図るべく、Binding Corporate Rules(BCR)と呼ばれる世界水準のプライバシー保護基準を導入し、欧州のデータ保護機関の正式な承認を受けております。
クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS(Payment Card Industry Data Security Standard)への準拠を徹底付けております。
また、日本国内で展開するビジネスにおいて、個人情報保護法および管轄官庁が定める法制度・ガイドラインへの準拠状況を定期的に確認・モニタリングしております。加えて、以下の4社については、日本工業規格「JIS Q 15001個人情報保護マネジメントシステムー要求事項」に適合して、個人情報について適切な保護措置を講じる体制を整備している事業者を認定する、プライバシーマークの付与を受けております。

  • 楽天証券株式会社
  • 楽天コミュニケーションズ株式会社
  • Rakuten Direct株式会社
  • 楽天インサイト株式会社