株式会社MIXI

SUSTAINABILITY

情報セキュリティへの取り組み

情報セキュリティに関する基本的な考え方

当社グループは各事業活動を通じて、「心もつながる」場と機会の創造をミッションとして事業を展開しており、情報の適切な取扱いおよび安全管理に取組むことが重要な社会的責任であると認識しています。情報が漏洩しないようにすること(機密性)、情報を改ざんされないようにすること(完全性)、情報をいつでも利用できる状態にすること(可用性)の確保を行いつつ、情報資産を正常に維持できるよう情報セキュリティの維持向上に努めています。
このような考え方のもと、当社の役職員、協力会社社員に情報セキュリティの重要性を認識させ、安全かつ適正な情報セキュリティ対策を実施するために「情報セキュリティ基本方針」を制定しています。また、情報の適切な取得・管理・廃棄等、情報資産を正しく有効活用するためのルールを定めた「情報セキュリティ管理規定」など、各種規程・ガイドラインを制定しています。

情報セキュリティマネジメント体制

当社グループは、多様化するセキュリティリスクに対し、全方位的かつスピード感を持って対応するための情報セキュリティマネジメント体制を構築しています。「リスク管理委員会」、「個人情報保護マネジメントシステム(PMS※1)担当部門」、「情報セキュリティ部門」の3つの組織で対応しており、いずれも取締役を責任者とし、重大なリスクやインシデントは取締役会に共有しています。

・リスク管理委員会:組織横断的なリスクの洗い出し・評価・対応案の提言、グループのリスク情報の集約を行っています。
・PMS担当部門:個人情報保護マネジメントシステムの運用を行います。
・情報セキュリティ部門:平時の活動を通じて情報セキュリティインシデントの発生を未然に防止するとともに、インシデント対応チーム「mixirt(ミクサート)」を運営しています。「mixirt」はコンピューターセキュリティに関する事故対応チームである組織内CSIRT※2として、インシデントを早期に検知し、緊急対応を迅速かつ正確に行う体制を構築しています。また、当社は日本シーサート協議会に加入しており、さまざまなインシデント対応の知見、脆弱性情報などを会員企業同士で共有し、情報セキュリティ対策の強化に役立てています。

また内部監査室では、2年に1回以上の頻度で、情報セキュリティのポリシーおよびシステムに関する内部監査を実施し、取締役会へ監査結果と改善状況を報告しています。

事業部・グループ/関連会社においても、当社と連携を図ることで、グループ全体の情報セキュリティ管理の充実を図っています。

※1 PMS: Personal information protection Management Systems
※2 CSIRT(シーサート): Computer Security Incident Response Team

情報セキュリティマネジメント体制

安全・安心なサービスを提供するための取り組み

技術的な取り組み教育・研修
事前対策アプリケーションの脆弱性診断、インフラ設定の監視など当社および当社グループ会社のすべての役員、正社員、契約社員、派遣社員、パート・アルバイト向け
「情報セキュリティ研修」
「セキュリティ教育(フィッシングメール)」
エンジニア新卒向け
「情報セキュリティ研修」
事後対策「mixirt」でインシデント対応の体制構築CSIRTメンバー・新卒向け
「インシデントハンドリング研修」

技術的な取り組み

当社グループでは、ユーザーの皆さまに安全・安心なサービスをお届けするために、アプリケーションの脆弱性診断やインフラの設定の監視などを実施し、情報セキュリティインシデントの未然防止に努めています。

教育・研修

当社および当社グループ会社のすべての役員、正社員、契約社員、派遣社員、パート・アルバイト向けに、入社時ならびに年1回情報セキュリティに関するe-learningを実施し、従業員一人ひとりの情報セキュリティ意識の向上に努めています。また、エンジニア向けの新卒研修を開催し、開発に関わる情報セキュリティインシデント事例、脆弱性やチートの最新傾向、それらの対策や重要性を演習を交えながら学んでいます。さらに、CSIRTのメンバーや新卒向けにインシデントハンドリング研修を行い、サイバー攻撃に備えた判断力と対応力の強化を行っています。

人材育成ページ 研修制度
https://mixi.co.jp/sustainability/materiality/diversity/human/


ゼロトラストを取り入れたセキュリティの取り組み

当社では、コロナ禍での新しい働き方として、リモートワークとオフィスワークを融合した「マーブルワークスタイル」を導入しています。従来のセキュリティ対策は、認証や物理的制約のある社内ネットワークからのみアクセスを許可する「境界防御」が主流でしたが、リモートワークの増加や情報セキュリティ情勢の変化から、新しい情報セキュリティモデルへのシフトが求められています。当社グループでは、守るべき情報資産やシステムにアクセスする際、ネットワークや場所に関わらずより厳密な認証・検証をすることで脅威を防ぐ「ゼロトラスト」の考え方に基づく情報セキュリティ基盤の整備に取り組んでいます。

当社における基本的なゼロトラストの構成図

第三者認証の取得

PCI DSS認定の取得

当社は、提供するモバイルウォレットアプリ「MIXI M」において、クレジットカードの会員データを保護するために規定されたデータセキュリティ基準である「PCI DSS」の認定を2019年に取得しました。また、3DS(3Dセキュア、本人認証サービス)に関連するシステムを運営するための基準である「PCI 3DS」の認定を2023年に取得しました。
これらの認定は、国際クレジットカードブランド企業5社によって設立された、米国PCIデータセキュリティ基準審議会(PCI SSC)が制定したセキュリティ基準です。カード会員データや取引情報の保護を目的としており、12要件約400項目の評価基準があります。認定の維持には、認証セキュリティ評価機関(QSA)による年1回のオンサイト監査や、認定ベンダーによる定期的なネットワークスキャンが必要となります。当社は2019年以降、毎年継続して認定を取得しております。



個人情報保護に対する取り組み

当社グループは、個人情報の外部漏えいの防止はもちろん、不適切な利用、改ざん等の防止のため、個人情報の管理を事業運営上の重要事項と捉え、個人情報保護基本規程等を制定し、個人情報の取り扱いに関する業務フローや取り扱いのマニュアルを定めて厳格に管理するとともに、全グループの社員を対象として社内教育を徹底するなど、同法および関連法令並びに当社グループに適用される関連ガイドラインの遵守に努め、個人情報の保護に積極的に取り組んでいます。
また、個人情報を保管しているサーバーについても24時間管理のセキュリティ設備のあるデータセンターで厳重に管理されており、加えてこのサーバーに保管されているデータへのアクセスは、一部の社員に限定されているなど、個人情報の管理を徹底しています。

社会貢献の取り組み

当社では、情報セキュリティに関するコンテストイベント「SECCON※1」に、運営スタッフとして、情報セキュリティ部門のメンバー数名が参加しています。また「セキュリティ・キャンプ協議会※2」のオフィシャルメンバーでもあり、社会貢献や人材発掘の観点からも、このような活動は今後も検討していきます。

※1 SECCON(Security Contest:セクコン):情報セキュリティをテーマに、多様な競技を開催する国内最大級のコンテストイベント。
※2 セキュリティ・キャンプ協議会:セキュリティ技術等を扱う合宿形式の研修会(セキュリティ・キャンプ)のための協議会

ABOUT MIXI