サステナビリティ

情報セキュリティ

情報セキュリティ

情報セキュリティ

情報セキュリティ基本方針

ZOZOグループは、サービスをご利用になるお客様からお預かりした情報をはじめとする当グループが保有する情報資産を情報セキュリティ上の様々な脅威から適正に保護することは、重要な責務であると認識しています。
この考えのもと当グループは、情報セキュリティ基本方針を定め、これを実践することで情報セキュリティマネジメントシステムの確立、運用及び維持に積極的に取り組むことを宣言いたします。

  1. 当グループは、情報セキュリティに関する法令及びその他の規範を遵守します。
  2. ISMSの活動を通して、組織的・人的・物理的・技術的な安全管理対策を講じ、情報セキュリティ対策に取り組み、しっかりと定着していきます。
  3. 当グループは、社会情勢・環境の変化を踏まえて、継続的に情報セキュリティに関するマネジメントシステムを見直し、継続的に改善していきます。

2021年5月28日
株式会社ZOZO
代表取締役社長兼CEO 澤田宏太郎
セキュリティに関する取り組み

安全なサービスを提供するための取り組み

情報セキュリティ研修

ZOZOグループでは、全従業員の情報セキュリティに対する意識向上を目的として、eラーニングを通じた研修を実施しています(2024年度は年間3回実施)。

個人情報管理体制

プライバシーポリシーに違反した場合(過失により個人情報の漏えい、減失または毀損)には、厳正に対処することを社内に周知徹底するとともに、万が一漏えい等が発生した際には、就業規則に基づき懲戒処分を含む適切な対応をおこないます。さらに、取引やサービスの遂行以外の目的で、個人情報を第三者に貸与、販売、提供することはありません。

脆弱性診断およびサイバー攻撃のシミュレーション

ZOZOグループは、安全・安心なサービスを提供するため、社内専任組織と第三者機関による脆弱性の診断やサイバー攻撃のシミュレーション等を実施しています。また、従業員向けにインシデント発生時の対応フローを作成し、事業継続や危機管理計画、インシデント対応手順についても年1回見直しをおこなっています。

業務委託先の適切な管理

秘密保持条項を含む契約書の締結、個人情報の取り扱い業務を委託する場合には、委託先には個人情報保護法に則った覚書を取り交わしています。

監査体制の構築

当社は、内部規程及びISMSの実効性、準拠性等に対する内部監査の実施体制を整備するとともに、独立した第三者機関による外部監査を実施しています。内部監査及び外部監査を毎年実施することで、全従業員が情報セキュリティ基本方針を遵守していることを確認しています。

ISMS認証取得

当社は、上記情報セキュリティ基本方針のもと、第三者機関の審査を受け、ISMS(情報セキュリティマネジメントシステム)の国際規格「ISO/IEC 27001:2022」および日本国内規格である「JIS Q 27001:2023」の認証を全社・全サービスを対象に取得しています。

  • ZOZO、ZOZO NEXT、ZOZO NEW ZEALANDが対象

認証規格
ISO/IEC 27001:2022 / JIS Q 27001:2023

認証登録番号
IS 749678

p_governance_jp_04.jpgのサムネイル画像
IS 749678 / ISO 27001

認証登録範囲
BtoB及びBtoC向けのWEBサービスにおける下記の業務

  • 企画、開発、運営
  • カスタマーサポート
  • 物流拠点の運用
  • 技術開発、R&D
  • アパレル製品の生産及び生産支援

認証登録日
2021年7月15日

有効期限
2027年7月14日

審査・登録機関
BSIグループジャパン株式会社

脅威インテリジェンスの収集とセキュリティイベント監視

業務利用PCやSaaSのログをSIEM(Security Information and Event Management)を用いて一元管理し、不審な通信が発生していないか継続的に監視しています。また、社外との情報共有体制を構築し、他社等で発生しているサイバー攻撃の情報(サイバー脅威インテリジェンス)を継続的に収集し、その痕跡(IOC情報)を自組織のログ分析に活用してプロアクティブに脅威を捕捉しています。これらの取り組みにより当社の一層の安全性向上に努めています。

フィッシングサイトの継続的な監視

ZOZOTOWNのお客様に、より安全にサービスを利用していただくために、ZOZOTOWNを騙ったフィッシングサイトの検知、テイクダウン対応(フィッシングサイトを閉鎖などにより無効化する)を継続実施しています。フィッシングメールについても継続的に監視しており、そこからも情報を収集し、最新の脅威について対応を進めています。

データ漏洩対策

事前対策(予防策)

  • アクセス制御の強化:最小権限の原則(必要な人だけにアクセス権を付与)、多要素認証(MFA)の導入、ログイン履歴の監視
  • データの暗号化:機密データを保存・送信時に暗号化、USBメモリや外部ストレージの使用制限
  • ネットワークセキュリティの強化:ファイアウォール、IDS/IPS(侵入検知・防御システム)の導入、VPN(仮想プライベートネットワーク)の使用
  • セキュリティパッチの適用:OS・ソフトウェアの定期的なアップデート、脆弱性診断を定期的に実施
  • バックアップの実施:定期的にデータのバックアップを取得しオフライン環境にも保存、ランサムウェア対策としてバージョン管理を実施
  • セキュリティ教育の実施:フィッシング詐欺やソーシャルエンジニアリング対策の研修、社員の情報セキュリティ意識向上
  • インシデント対応訓練:サイバー攻撃を想定した演習、迅速な対応フローの確立

事後対策(対応策)

  • 迅速な封じ込め:被害範囲を特定し、影響を受けたシステムを隔離
  • 被害状況の調査:ログ分析やフォレンジック調査を実施、侵入経路と影響範囲を特定
  • 関係者への通知:顧客や取引先に速やかに状況を説明、必要に応じて監督官庁(個人情報保護委員会など)に報告
  • 被害拡大の防止:不正アクセスされたアカウントのパスワード変更、被害に遭ったデータの削除や回収
  • 再発防止策の実施:セキュリティ体制の見直し、新たなセキュリティソリューションの導入、社員の再教育とルール強化

ZOZO CSIRT

ZOZO CSIRTは、ZOZOグループの組織内CSIRT(Computer Security Incident Response Team)で、日本シーサート協議会加盟組織です。

設立の経緯・背景
ZOZOグループは、かねてより情報管理の確立と徹底に努めてまいりました。提供するサービスの拡大だけでなく社員数の増加という背景もあり、情報セキュリティの取り組みを強化するとともに、多様化するインシデントに対応するチームの運用を目的として、2019年4月にZOZO CSIRTを設置し、同年7月に日本シーサート協議会に加盟しました。

活動内容
ZOZOグループは、ISMS(情報セキュリティマネジメントシステム)の目的を達成するために、情報セキュリティ基本方針を掲げております。

DPO(Data Protection Officer)の設置

プライバシーを始めとしたお客様のデータの適切な利活用のため、DPO(Data Protection Officer)を設置しております。DPOは、サービスの企画・開発の段階から、事業部門とは独立した客観的な立場で、プライバシーを始めとしたお客様のデータ保護について監視・助言をおこなっております。

プライバシーポリシー

株式会社ZOZO並びにその子会社および関連会社のうち本方針を採用し個人情報を共同利用する会社(こちらの会社。以下「当社グループ」といいます。)は、インターネットショッピングサイトをはじめとした様々なサービス事業(以下「サービス」といいます。)を提供しております。
当社グループは、サービスをご利用になるお客様をはじめとして、当社グループに個人情報をご提供される全ての方々の個人情報の重要性を認識しております。
個人情報保護に関する法令およびその他の規範を遵守し、自主的なルールおよび体制を確立し、次の事項を含むプライバシーポリシーを定め、これを実施し、かつ、維持することを宣言いたします。

  1. 当社グループは、すべての事業で取扱う個人情報および従業員等の個人情報の取扱いに関し、個人情報の保護に関する法律(以下「法」といいます。)その他関連法令、国が定める指針その他の規範を遵守いたします。さらに、「ISMS適合性評価制度」(ISO27001)に準拠した情報セキュリティマネジメントシステムを構築し、個人情報を保護いたします。
  2. 当社グループは、個人情報の取得、利用にあたっては、その利用目的を特定することとし、特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(目的外利用)はいたしません。また、目的外利用をおこなわないために、適切な管理措置を講じます。
  3. 当社グループは、ご本人の同意を得ている場合、法令にもとづく場合等を除き、取得した個人情報を第三者に提供することはいたしません。
  4. 当社グループは、個人情報の取扱いに関する苦情および相談を受けた場合は、その内容について迅速に事実関係等を調査し、合理的な期間内に誠意をもって対応いたします。
  5. 当社グループは、取得した個人情報を適切に管理するため、組織的・人的・物理的・技術的な安全対策措置を講じ、個人情報の漏えい、滅失又はき損の防止および是正に取り組みます。また、法令で定められた保存期間が経過した場合およびお客様の個人情報を取り扱う必要がなくなった際には、速やかにお客様の個人情報を廃棄いたします。
  6. 当社グループは、社会情勢・環境の変化を踏まえて、継続的に個人情報保護に関する個人情報保護マネジメントシステムを見直し、個人情報保護への取り組みを改善していきます。

2006年9月1日 制定
2009年7月3日 改定
2018年1月31日 改定
2018年11月29日 改定
2019年12月1日 改定
2021年6月28日 改定
2021年9月30日 改定
2021年11月5日 改定
2022年3月30日 改定
2023年6月12日 改定

株式会社ZOZO
代表取締役社長兼CEO 澤田宏太郎
プライバシーポリシー

サステナビリティ