有価証券報告書-第29期(2025/01/01-2025/12/31)
③ 戦略
1) 情報セキュリティ
情報セキュリティ確保のため、以下の5つの方針を設け取り組んでいます。
1. 情報セキュリティ体制の構築
2. 情報資産の適切な管理
3. 情報セキュリティ確保のための規定等の策定
4. 法令・規範の遵守
5. 継続的な改善
・国際基準への準拠
情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく社内規程を定め、当社及びグループ会社に適用し、情報セキュリティの維持に努めています。現在、ISO/IEC 27001認証の適用範囲は、当社グループ全体で37社、全従業員が対象となり、継続的な拡大を目指しています。また、クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS (Payment Card Industry Data Security Standard)への準拠を徹底しています。
・情報セキュリティ教育
当社グループでは、役員や正社員にとどまらず、契約社員、派遣社員、パートナ―スタッフ、業務委託者、アルバイトを含む全従業員を対象に、入社時及び入社以降年1回の間隔で情報セキュリティ教育を実施しています。受講者は、この研修の中で実際に発生したインシデントの事例等を交えて情報セキュリティの重要性への理解を深め、社内規程の遵守を宣誓します。
従業員向けの情報セキュリティ教育に加え、当社グループでは複数のチャネルにより教育を行っています。毎週の全社朝会では、定期的及び時宜に応じた短いプレゼンテーションを行っています。楽天グループのイントラネットポータルへの掲載のほか、社内のデジタルサイネージでは、各グループ会社、事業、コミュニティ等に対して情報の配信を行っています。なお、ソーシャルエンジニアリングアラート等、緊急の周知が必要な件については、これらの各種チャネルを使い、周知を徹底しています。
・サイバーセキュリティの強化
セキュリティオペレーションセンター(SOC:Security Operations Center)やセキュリティ対策専門のチーム(Rakuten-CERT)の体制を整えてインシデントに備えているほか、サービス開発者へのセキュリティ教育、ソフトウエア開発プロセスへのセキュリティレビュー及び脆弱性検査と、開発プロセスの段階ごとにセキュリティに関する確認を組み込むことで、脆弱性を排したサービス開発体制を構築しています。また、セキュリティ事故を防ぐために、日常のサービス運用において、不正アクセスの監視、脆弱性の調査・対応等のセキュリティオペレーションを実施しています。さらに、安全なサービス開発を各部署で監督する「セキュリティチャンピオン」制度をグローバルに展開し、セキュリティレビューの徹底や知見の共有に取り組んでいます。
2) プライバシー
国内外のプライバシー法の遵守に加え、独自の運用基準を設けることで、法令要件を上回るプライバシー保護対策に取り組んでいます。全てのお客様に安心して楽天のサービスをご利用いただけるよう、「教育」、「透明性」、「信頼」に重点を置いています。
・国内関連法への準拠
日本国内で展開するビジネスにおいて、個人情報保護法等の関係法令及び管轄官庁が定める法制度・ガイドラインへの準拠状況を定期的に確認・モニタリングしています。加えて、一部のグループ会社は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合し、個人情報について適切な保護措置を講じる体制を整備している事業者として、外部機関から認定され、プライバシーマークの付与を受けています。
・拘束的企業準則(BCR)の導入
当社グループはGDPR(General Data Protection Regulation)に準拠することを目的として、楽天グループは内部のプライバシー行動規範である拘束的企業準則(Binding Corporate Rules:BCR)を導入し、欧州のデータ保護当局から正式な承認を得ています。BCRに準じたデータの取扱いをすることによって、当社グループ全体で個人のプライバシーとデータの保護に取り組んでいます。
・ユーザーへの透明性の向上
当社グループのプライバシーへの取組や、関連情報を紹介する「プライバシーセンター」ページでは、グループ各社の個人情報保護方針、プライバシー保護やテクノロジーの理解に役立つ情報をお届けすることで、お客様自身にプライバシーについて考えていただく機会を提供しています。
・プライバシー教育
プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、グループの全従業員を対象とした年次の研修や入社時の研修に加え、国際的なデータ・プライバシーの日に合わせた啓発イベントを開催しています。さらに、ポスターやインフォグラフィック、月間のプライバシー関連ニュースをダイジェストで発信する「The Privacy Times」等、様々なチャネルを通じてプライバシーの重要性を社内に向けて発信しています。
1) 情報セキュリティ
情報セキュリティ確保のため、以下の5つの方針を設け取り組んでいます。
1. 情報セキュリティ体制の構築
2. 情報資産の適切な管理
3. 情報セキュリティ確保のための規定等の策定
4. 法令・規範の遵守
5. 継続的な改善
・国際基準への準拠
情報セキュリティマネジメントの国際規格であるISO/IEC 27001に基づく社内規程を定め、当社及びグループ会社に適用し、情報セキュリティの維持に努めています。現在、ISO/IEC 27001認証の適用範囲は、当社グループ全体で37社、全従業員が対象となり、継続的な拡大を目指しています。また、クレジットカードを含むペイメントカードを取り扱うビジネスにおいては、カード会員データのセキュリティに関する国際標準であるPCI DSS (Payment Card Industry Data Security Standard)への準拠を徹底しています。
・情報セキュリティ教育
当社グループでは、役員や正社員にとどまらず、契約社員、派遣社員、パートナ―スタッフ、業務委託者、アルバイトを含む全従業員を対象に、入社時及び入社以降年1回の間隔で情報セキュリティ教育を実施しています。受講者は、この研修の中で実際に発生したインシデントの事例等を交えて情報セキュリティの重要性への理解を深め、社内規程の遵守を宣誓します。
従業員向けの情報セキュリティ教育に加え、当社グループでは複数のチャネルにより教育を行っています。毎週の全社朝会では、定期的及び時宜に応じた短いプレゼンテーションを行っています。楽天グループのイントラネットポータルへの掲載のほか、社内のデジタルサイネージでは、各グループ会社、事業、コミュニティ等に対して情報の配信を行っています。なお、ソーシャルエンジニアリングアラート等、緊急の周知が必要な件については、これらの各種チャネルを使い、周知を徹底しています。
・サイバーセキュリティの強化
セキュリティオペレーションセンター(SOC:Security Operations Center)やセキュリティ対策専門のチーム(Rakuten-CERT)の体制を整えてインシデントに備えているほか、サービス開発者へのセキュリティ教育、ソフトウエア開発プロセスへのセキュリティレビュー及び脆弱性検査と、開発プロセスの段階ごとにセキュリティに関する確認を組み込むことで、脆弱性を排したサービス開発体制を構築しています。また、セキュリティ事故を防ぐために、日常のサービス運用において、不正アクセスの監視、脆弱性の調査・対応等のセキュリティオペレーションを実施しています。さらに、安全なサービス開発を各部署で監督する「セキュリティチャンピオン」制度をグローバルに展開し、セキュリティレビューの徹底や知見の共有に取り組んでいます。
2) プライバシー
国内外のプライバシー法の遵守に加え、独自の運用基準を設けることで、法令要件を上回るプライバシー保護対策に取り組んでいます。全てのお客様に安心して楽天のサービスをご利用いただけるよう、「教育」、「透明性」、「信頼」に重点を置いています。
・国内関連法への準拠
日本国内で展開するビジネスにおいて、個人情報保護法等の関係法令及び管轄官庁が定める法制度・ガイドラインへの準拠状況を定期的に確認・モニタリングしています。加えて、一部のグループ会社は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合し、個人情報について適切な保護措置を講じる体制を整備している事業者として、外部機関から認定され、プライバシーマークの付与を受けています。
・拘束的企業準則(BCR)の導入
当社グループはGDPR(General Data Protection Regulation)に準拠することを目的として、楽天グループは内部のプライバシー行動規範である拘束的企業準則(Binding Corporate Rules:BCR)を導入し、欧州のデータ保護当局から正式な承認を得ています。BCRに準じたデータの取扱いをすることによって、当社グループ全体で個人のプライバシーとデータの保護に取り組んでいます。
・ユーザーへの透明性の向上
当社グループのプライバシーへの取組や、関連情報を紹介する「プライバシーセンター」ページでは、グループ各社の個人情報保護方針、プライバシー保護やテクノロジーの理解に役立つ情報をお届けすることで、お客様自身にプライバシーについて考えていただく機会を提供しています。
・プライバシー教育
プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、グループの全従業員を対象とした年次の研修や入社時の研修に加え、国際的なデータ・プライバシーの日に合わせた啓発イベントを開催しています。さらに、ポスターやインフォグラフィック、月間のプライバシー関連ニュースをダイジェストで発信する「The Privacy Times」等、様々なチャネルを通じてプライバシーの重要性を社内に向けて発信しています。
10年以上蓄積したファイナンスデータとAIを掛け合わせて、投資の意思決定を加速させるポジションです。
