③ 戦略
1) 情報セキュリティ
情報セキュリティ確保のため、以下の5つの方針を設け取り組んでいます。
1.情報セキュリティ体制の構築
2.情報資産の適切な管理
3.情報セキュリティ確保のための規定等の策定
4.法令・規範の順守
5.継続的な改善
・国際基準への準拠
情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく社内規程を定め、当社グループ会社に適用し、情報セキュリティの維持に努めています。現在、ISO/IEC 27001認証の適用範囲は、当社グループ全体で44社となり、継続的な拡大を目指しています。
・情報セキュリティ教育
当社グループでは、全従業員を対象に情報セキュリティ教育を毎年実施しています。実際に発生したインシデントの事例等を交えて情報セキュリティの重要性への理解を深めることに加えて、受講者は社内規程の遵守を宣誓します。
・サイバーセキュリティの強化
セキュリティオペレーションセンター(SOC:Security Operations Center)やセキュリティ対策専門のチーム(Rakuten-CERT)の体制を整えてインシデントに備えているほか、サービス開発者へのセキュリティ教育、ソフトウエア開発プロセスへのセキュリティレビュー及び脆弱性検査と、開発プロセスの段階ごとにセキュリティに関する確認を組み込むことで、脆弱性を排したサービス開発体制を構築しています。
2) プライバシー
国内外のプライバシー法の遵守に加え、独自の運用基準を設けることで、法令要件を上回るプライバシー保護対策に取り組んでいます。全てのお客様に安心して楽天のサービスをご利用いただけるよう、「教育」、「透明性」、「信頼」に重点を置いています。
・拘束的企業準則(BCR)の導入
当社グループは拘束的企業準則(BCR:Binding Corporate Rules)と呼ばれる世界水準のプライバシー保護基準を導入しています。当社グループのBCRは、GDPRに基づきルクセンブルクにあるEUのデータ保護機関によって承認された拘束的企業準則及び英国一般データ保護規則(UK GDPR)に基づき英国のデータ保護機関によって承認された拘束的企業準則の2つで構成されています。BCRに準じたデータの取り扱いをすることによって、当社グループ全体で個人のプライバシーとデータの保護に取り組んでいます。
・ユーザーへの透明性の向上
当社グループのプライバシーへの取組や、関連情報を紹介する「プライバシーセンター」ページでは、グループ各社の個人情報保護方針、プライバシー保護やテクノロジーの理解に役立つ情報をお届けすることで、お客様自身にプライバシーについて考えていただく機会を提供しています。
・プライバシー教育
プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、グループの全従業員を対象とした年次の研修や入社時の研修に加え、国際的なデータ・プライバシーの日に合わせた啓発イベントを開催しています。