情報セキュリティ・プライバシー

インターネットは、私たちの利便性を向上させ、社会を支える基盤となりました。他方、個人情報の漏えいや詐欺行為、プライバシーの侵害など、インターネットをめぐる課題が顕在化し、健全なIT社会の形成に向けた適切な対応が社会全体で求められています。
楽天グループは、Eコマースや金融サービス、携帯キャリア事業など、オンライン・オフラインで幅広いサービスを提供しています。お客様の個人情報をはじめとする各種情報と、ハードウェア、ソフトウェアなどの情報システムからなる情報資産は、私たちの事業活動を展開する上で不可欠な資産です。 楽天グループでは、これら情報資産の適切な保護・管理を通じた情報セキュリティの確保を、経営上の最重要課題の一つに位置付けています。情報セキュリティの確保とプライバシーの保護に向けて弛まぬ努力を続け、対策を継続的に強化していきます。

情報セキュリティ

基本方針

  • 1. 情報セキュリティ体制の構築

    経営陣を中心とした管理体制のもと情報セキュリティマネジメントシステムを構築し、情報セキュリティの維持、向上に取り組む。

  • 2. 情報資産の適切な管理

    保有する情報資産について重要性を認識するとともにリスク評価を行い、適切に管理する。

  • 3. 情報セキュリティ確保のための規程等の策定

    情報セキュリティ確保のための規程等を定め、関係者全員にこれを徹底する。

  • 4. 法令・規範の遵守

    情報セキュリティに関する法令その他の規範を遵守する。

  • 5. 継続的な改善

    定期的に監査を実施し、継続的に情報セキュリティマネジメントシステムの改善を行う。

ガバナンス体制

経営層から現場の担当者まで同じ方針・価値観を共有し、グループ全体で情報セキュリティガバナンスの強化に取り組んでいます。 グループチーフ・インフォメーション・セキュリティ・オフィサー(Chief Information Security Officer、以下「CISO」)を委員長とする、楽天グループ情報セキュリティ&プライバシー委員会を毎月開催し、主要な施策や期間内に発生したインシデントなどについて報告および判断をしています。本委員会での主な協議事項は、コーポレート経営会議にて経営陣に報告しています。

楽天グループの情報セキュリティ体制

情報セキュリティへの取り組み

国際基準への準拠

楽天グループは、情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく規定・基準を定めています。情報資産の損失、改ざん、サービス停止など情報セキュリティリスクを管理するシステム(ISMS)を構築、運用し、継続的に改善することにより、情報資産の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の維持に努めています。
また、2006年11月に「楽天市場」で初めてISO/IEC27001認証を取得して以来、現在では以下の21社が専門機関による外部監査を通じて認証を取得し、情報セキュリティに取り組んでいます。

  • 楽天グループ株式会社
  • リンクシェア・ジャパン株式会社
  • ターゲット株式会社
  • 楽天ソシオビジネス株式会社
  • 株式会社楽天野球団
  • 楽天トラベルサービス株式会社
  • 楽天ANAトラベルオンライン株式会社
  • 楽天コミュニケーションズ株式会社
  • 楽天インサイト株式会社
  • 楽天カード株式会社
  • 競馬モール株式会社
  • 楽天チケット株式会社
  • 楽天Edy株式会社
  • 楽天モバイル株式会社
  • 楽天ペイメント株式会社
  • 楽天ウォレット株式会社
  • 楽天ヴィッセル神戸株式会社
  • 楽天エナジー株式会社
  • T.H.I.R株式会社*
  • GLAM.R株式会社*
  • 楽天カー株式会社

*T.H.I.R株式会社とGLAM.R株式会社は2022年4月1日に新会社「楽天モバイルエンジニアリング株式会社」となりました。詳細はこちらをご覧ください。

さらに、クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS(Payment Card Industry Data Security Standard)への準拠を徹底しています。この活動が認められ、2021年にはアジアで唯一、PCI SSC* Board of Advisorsのメンバーとして選出されました。

*Payment Card Industry Security Standards Council

情報セキュリティ教育

情報セキュリティの確保のためには、従業員一人ひとりのセキュリティに対する意識を高めることが重要です。
楽天グループでは、セキュリティやプライバシーをテーマとした全グループ従業員が参加する朝会を定期的に実施しています。また、役員、正社員にとどまらず、契約社員、派遣社員、パートナ―スタッフ、業務委託者、アルバイトを含む全従業員を対象に情報セキュリティ教育を毎年実施しています。実際に発生したインシデントの事例などを交えて情報セキュリティの重要性への理解を深め、受講者は社内規程の遵守を宣誓します。
また、各社のCISOが参加する年次のGlobal CISO Conferenceでは、本部からの方針説明に加え、グループ各社の取り組みや技術知見の共有、その年の主要なテーマに関する分科会の実施、そして社外の専門家による講演などを行い、グループ全体の情報セキュリティに関する能力の向上に努めています。

サイバーセキュリティの強化

サイバーセキュリティとは、インターネットをはじめとするコンピュータネットワーク、情報システム、PCやスマートフォンなどのデバイス、およびその利用者などによって構成される仮想環境(サイバー空間)の安全を確保することであり、情報漏洩やデータの改ざん、破壊行動、コンピュータウイルス、フィッシング攻撃(電子メールなどを介した詐欺行為)などの脅威に対する防御策を講じることを指します。
楽天グループでは、サイバーセキュリティを担う専門組織を設置しています。開発者に対する徹底したセキュリティ教育を行い、ソフトウェア開発プロセスにセキュリティレビュー、脆弱性(安全を脅かすシステム上の欠陥)検査といった一連のセキュリティ活動を組み込むことで、脆弱性を排した安全なサービス開発に能動的に取り組む体制を取っています。また、セキュリティ事故を防ぐために、日常のサービス運用において、不正アクセスの監視、脆弱性の調査・対応などのセキュリティオペレーションを実施しています。
加えて、関連省庁やサイバー犯罪対応専門組織、他企業などの外部機関との連携を担うRakuten-CERTを設置し、サイバーセキュリティに関する情報共有などの取り組みを通じて、自社のセキュリティ維持だけでなく、インターネット社会全体のセキュリティ強化に貢献するよう努めています。

フィッシングメール対策

近年、電子メールを使ったインターネット上での詐欺行為、 フィッシングメール詐欺が流行しています。こうした攻撃からお客様を守るため、広告などの電子メールについて、楽天から配信されていることを証明する送信ドメイン認証技術(SPF、DKIM、およびDMARC)の導入を加速しました。この技術により、楽天を詐称するメールを受信者に届けることなく、受信者のメールサーバ上で廃棄することができます。
楽天では70を超えるサービスで用いられるドメインへこの技術の導入を進めており、引き続き全送信メールへの適用を図っていきます。また、社外の各種IT企業や携帯電話会社とも連携し、それぞれが提供するメールサービスにて受信される楽天からのメールに、正規のメールだと示すマークを表示させる仕組みの導入も継続的に行っています。

その他、情報セキュリティの取り組みの詳細はこちら

プライバシー

基本方針

楽天グループは、プライバシーが単なるコンプライアンスの問題ではなく、イノベーション、テクノロジー、ステークホルダーの信頼を通じて、持続可能な楽天エコシステムの構築を可能にする要素であると認識し、法令要件を上回るプライバシー要件の実施、強化、徹底に努める。

ガバナンス体制

プライバシーに関する意思決定、および経営層へのリスクの報告を適切かつ迅速に行うため、強固なプライバシーガバナンス体制を構築しています。日本企業として初めてEUのデータ保護機関の承認を取得したプライバシー保護のための社内規則であるBinding Corporate Rules(拘束的企業準則、以下BCR)、およびEU のプライバシー法である General Data Protection Regulation(一般データ保護規則、以下「GDPR」)の要件に則り、グループ内のコンプライアンスの状況を監督、モニタリングする専門の職位として、グローバルプライバシーマネージャーとグローバルデータ保護オフィサーを任命しています。
グローバルプライバシーマネージャーとグローバルデータ保護オフィサーは、海外の各地域における責任者であるリージョナルプライバシーオフィサーや各社プライバシーオフィサーと連携し、グループ内のコンプライアンスの状況とリスクの有無をモニタリングしています。また結果をグループ情報セキュリティ&プライバシー保護委員会や経営会議に適時報告しています。

ガバナンス体制

プライバシーへの取り組み

個人情報保護の取り組み

楽天グループは、お客様に安心してサービスをご利用いただくことを最優先に取り組んでおり、各国で展開するビジネスにおいて、その国の個人情報保護に関する法令に準拠することを徹底しています。また、世界にはブライバシー保護規制が十分に整備されていない国もあるため、自主的なプライバシー保護基準を設け、世界各国・地域におけるデータの取り扱いに適用しています。

Binding Corporate Rules (BCR)の導入

欧州における個人情報保護の法令であり、各国における個人情報保護のベストプラクティスとなっているGDPRへの準拠を図るべく、BCRと呼ばれる世界水準のプライバシー保護基準を導入し、欧州のデータ保護機関の正式な承認を受けています。 BCRは、個人情報の利用目的の制限、データの正確性の維持、開示や訂正を含む権利などに関する指針によって構成されています。

詳細はこちら

国内基準への準拠

また、日本国内で展開するビジネスにおいて、個人情報保護法および管轄官庁が定める法制度・ガイドラインへの準拠状況を定期的に確認・モニタリングしています。加えて、以下の3社については、日本工業規格「JIS Q 15001個人情報保護マネジメントシステムー要求事項」に適合して、個人情報について適切な保護措置を講じる体制を整備している事業者を認定する、プライバシーマークの付与を受けています。

  • 楽天証券株式会社
  • 楽天コミュニケーションズ株式会社
  • 楽天インサイト株式会社

プライバシー規制のモニタリング

グローバルに事業を展開する楽天にとって、各国プライバシー法の制定改廃など、世界の動向のモニタリングは不可欠です。グローバルプライバシーオフィスでは、リージョナルプライバシーオフィサーや各社のプライバシーオフィサーと連携してモニタリングを行い、実務上の変更が必要になる場合は迅速なエスカレーションを行います。グローバルプライバシーオフィスは、各事業の責任者に潜在的なリスクや課題を共有するため、各事業におけるプライバシーコンプライアンスの状況、リスク、課題を可視化したプライバシーダッシュボードを定期的に提供しています。このように、現行の法的措置のみを考慮するのではなく、今後の動向を見越し将来においても有効なプライバシーのアプローチを推進しています。

プライバシー関連法への対応

データの取扱いにおける透明性の確保

楽天では、より良いサービスの提供のためにお客様の情報を取得、利用、保管しています。各サービスにおいて、お客様のデータの取扱方針をプライバシーポリシーとして開示し、必要に応じてイラストを交えた解説で分かりやすく明確な説明を心がけるなど、透明性の確保に努めています。 また、データの利活用がプライバシーポリシーや社内規則、適用法令に則していることを確実にするため、プライバシースペシャリストおよび関連する社内のステークホルダーによる新規のデータ収集、共有や利用を対象としたレビュープロセスを定めています。

データの取扱いにおける透明性の確保

プライバシー教育

プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、入社時および年1回の全社トレーニングに加え、世界的に定められたData Privacy Dayに合わせた啓発イベント(Rakuten Privacy Awareness Week)や、月1回程度のペースで発行する啓発コンテンツなど、様々なプログラムを従業員に向けて提供しています。

その他、プライバシーの取り組みの詳細はこちら