有価証券報告書-第28期(2024/01/01-2024/12/31)
③ 戦略
1) 情報セキュリティ
情報セキュリティ確保のため、以下の5つの方針を設け取り組んでいます。
1. 情報セキュリティ体制の構築
2. 情報資産の適切な管理
3. 情報セキュリティ確保のための規定等の策定
4. 法令・規範の順守
5. 継続的な改善
・国際基準への準拠
情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく社内規程を定め、当社及びグループ会社に適用し、情報セキュリティの維持に努めています。現在、ISO/IEC 27001認証の適用範囲は、当社グループ全体で35社、全従業員が対象となり、継続的な拡大を目指しています。また、クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS (Payment Card Industry Data Security Standard)への準拠を徹底しています。
・情報セキュリティ教育
当社グループでは、全従業員を対象に情報セキュリティ教育を毎年実施しています。実際に発生したインシデントの事例等を交えて情報セキュリティの重要性への理解を深めることに加えて、受講者は社内規程の遵守を宣誓します。
・サイバーセキュリティの強化
セキュリティオペレーションセンター(SOC:Security Operations Center)やセキュリティ対策専門のチーム(Rakuten-CERT)の体制を整えてインシデントに備えているほか、サービス開発者へのセキュリティ教育、ソフトウエア開発プロセスへのセキュリティレビュー及び脆弱性検査と、開発プロセスの段階ごとにセキュリティに関する確認を組み込むことで、脆弱性を排したサービス開発体制を構築しています。
2) プライバシー
国内外のプライバシー法の遵守に加え、独自の運用基準を設けることで、法令要件を上回るプライバシー保護対策に取り組んでいます。全てのお客様に安心して楽天のサービスをご利用いただけるよう、「教育」、「透明性」、「信頼」に重点を置いています。
・国内関連法への準拠
2024年度には令和4年改正電気通信事業法への対応を行いました。加えて、一部のグループ会社は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合し、個人情報について適切な保護措置を講じる体制を整備している事業者として、外部機関から認定され、プライバシーマークの付与を受けています。
・拘束的企業準則(BCR)の導入
当社グループはGDPR(General Data Protection Regulation)に準拠することを目的として、楽天グループは内部のプライバシー行動規範である拘束的企業準則(Binding Corporate Rules:BCR)を導入し、欧州のデータ保護当局から正式な承認を得ています。BCRに準じたデータの取り扱いをすることによって、当社グループ全体で個人のプライバシーとデータの保護に取り組んでいます。
・ユーザーへの透明性の向上
当社グループのプライバシーへの取組や、関連情報を紹介する「プライバシーセンター」ページでは、グループ各社の個人情報保護方針、プライバシー保護やテクノロジーの理解に役立つ情報をお届けすることで、お客様自身にプライバシーについて考えていただく機会を提供しています。
・プライバシー教育
プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、グループの全従業員を対象とした年次の研修や入社時の研修に加え、国際的なデータ・プライバシーの日に合わせた啓発イベントを開催しています。
1) 情報セキュリティ
情報セキュリティ確保のため、以下の5つの方針を設け取り組んでいます。
1. 情報セキュリティ体制の構築
2. 情報資産の適切な管理
3. 情報セキュリティ確保のための規定等の策定
4. 法令・規範の順守
5. 継続的な改善
・国際基準への準拠
情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく社内規程を定め、当社及びグループ会社に適用し、情報セキュリティの維持に努めています。現在、ISO/IEC 27001認証の適用範囲は、当社グループ全体で35社、全従業員が対象となり、継続的な拡大を目指しています。また、クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS (Payment Card Industry Data Security Standard)への準拠を徹底しています。
・情報セキュリティ教育
当社グループでは、全従業員を対象に情報セキュリティ教育を毎年実施しています。実際に発生したインシデントの事例等を交えて情報セキュリティの重要性への理解を深めることに加えて、受講者は社内規程の遵守を宣誓します。
・サイバーセキュリティの強化
セキュリティオペレーションセンター(SOC:Security Operations Center)やセキュリティ対策専門のチーム(Rakuten-CERT)の体制を整えてインシデントに備えているほか、サービス開発者へのセキュリティ教育、ソフトウエア開発プロセスへのセキュリティレビュー及び脆弱性検査と、開発プロセスの段階ごとにセキュリティに関する確認を組み込むことで、脆弱性を排したサービス開発体制を構築しています。
2) プライバシー
国内外のプライバシー法の遵守に加え、独自の運用基準を設けることで、法令要件を上回るプライバシー保護対策に取り組んでいます。全てのお客様に安心して楽天のサービスをご利用いただけるよう、「教育」、「透明性」、「信頼」に重点を置いています。
・国内関連法への準拠
2024年度には令和4年改正電気通信事業法への対応を行いました。加えて、一部のグループ会社は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合し、個人情報について適切な保護措置を講じる体制を整備している事業者として、外部機関から認定され、プライバシーマークの付与を受けています。
・拘束的企業準則(BCR)の導入
当社グループはGDPR(General Data Protection Regulation)に準拠することを目的として、楽天グループは内部のプライバシー行動規範である拘束的企業準則(Binding Corporate Rules:BCR)を導入し、欧州のデータ保護当局から正式な承認を得ています。BCRに準じたデータの取り扱いをすることによって、当社グループ全体で個人のプライバシーとデータの保護に取り組んでいます。
・ユーザーへの透明性の向上
当社グループのプライバシーへの取組や、関連情報を紹介する「プライバシーセンター」ページでは、グループ各社の個人情報保護方針、プライバシー保護やテクノロジーの理解に役立つ情報をお届けすることで、お客様自身にプライバシーについて考えていただく機会を提供しています。
・プライバシー教育
プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、グループの全従業員を対象とした年次の研修や入社時の研修に加え、国際的なデータ・プライバシーの日に合わせた啓発イベントを開催しています。