プライバシー&セキュリティに対する考え方と体制

情報技術の発展によって、私たちの生活はより便利に、そしてより豊かになりました。他方で、情報技術とりわけAI技術の発展は、膨大なデータの国境を越えた取り扱いを伴うものであり、セキュリティに関連した被害の増加や、プライバシーをはじめとした権利利益の侵害の可能性を生じかねません。そのため、セキュリティ強化とプライバシー保護の観点から、より一層適正なデータの取り扱いが求められています。
LINEヤフーは「プライバシー＆セキュリティファースト」を経営方針とし、ユーザーのみなさまがいつでもサービスを安心してご利用いただけるように、安全のためのセキュリティ強化とプライバシー保護に取り組みます。
この経営方針を実現すべく、LINEヤフーは「データプロテクション基本方針」に定める以下５つの原則を遵守します。

5つの原則

1. ユーザーの皆さまへの利益の提供を第一の目的とします
2. 透明性を重視してデータの取り扱いを行います
3. ユーザーの皆さまの権利や利益を侵害しないように努めます
4. 提供していただいたデータはユーザーの皆さまのものです
5. 適切なセキュリティ管理体制でデータを保護・管理します

これら原則を遵守するため、ユーザー目線でのガバナンス体制を構築・強化し、PIA※1の実施、NIST※2サイバーセキュリティおよびプライバシーフレームワークの導入、CBPR※3認証取得などの取り組みを推進しています。また、グループ会社に関しても、同様の取り組みを推進します。また、 LINEヤフーでは、従来から、情報セキュリティ上の脅威に対して、お客さまの情報を漏洩から守ること（機密性）、24時間365日いつでもお客さまにサービスを提供し続けること（可用性）、コンテンツを破壊や改ざんから確実に守ること（完全性）を方針として、最善の取り組みをしています。

また、これらの原則を遵守するための社内体制として、全社のデータ領域の業務を統括するCDO（Chief Data Officer）および全社の情報セキュリティ、サイバーセキュリティ領域の業務を統括するCISO（Chief Information Security Officer）がそれぞれの領域で責任をもってセキュリティ強化とプライバシー保護の取り組みを行います。
そして、データの利用に関して社内の独立した第三者的な立場からの監視、ユーザー目線での助言等を行うDPO（Data Protection Officer）を設置し、データ利用が上記の5つの原則に反することがないように努めます。
上記一連の取り組みは、外部の有識者を中心に構成する有識者会議による定期的なフィードバックと改善を繰り返していくことをお約束します。
また、透明性レポートを発行し、ユーザーの皆さまからお預かりしている一部のデータをどのように取り扱っていたかについて定期的にご報告します。

※1　PIA（Privacy Impact Assessment）とは、自社が提供するシステム、サービスおよび機能がプライバシーをはじめとした権利利益への影響を、適切かつ十分に配慮しているかについて確認するための事前評価のプロセスを指します。
※2　LINEヤフーは、米国標準技術研究所（NIST）が定めたNIST Cybersecurity FrameworkおよびPrivacy Frameworkに基づくデータプロテクション管理体制の成熟度評価を導入しています。
※3 CBPRとは、国境を越えて移転するデータを適切に保護するルールである「APECプライバシー原則」に、企業が適合しているかを国際的に認証するシステムのことを指します。

また、LINEヤフーでは、自社におけるDPOの設置に加えて、ユーザーのみなさまからお預かりしたデータを取り扱う主要子会社および関連会社にも DPOの設置を進めており、上記のような取り組みを推進し、必要な支援を行っています。グループ会社の事業実態に即した自律的なガバナンス体制およびグループ全体の一元的かつグローバルな事業運営環境に対応したガバナンス体制を構築することにより、グループ全体のデータガバナンスを強化していきます。