情報セキュリティとプライバシーの保護

方針
情報セキュリティ管理体制
情報セキュリティガバナンス
セキュリティ強化に向けた施策

方針

情報セキュリティに関するポリシー

KDDIグループは、高度化・巧妙化が進むサイバー攻撃に対応するため、情報セキュリティに関するリスクマネジメントは非常に重要な課題と認識し、情報セキュリティガバナンスの強化に取り組んでいます。具体的には、情報セキュリティ管理体制の確立や情報セキュリティ対策の実施、社内規程の整備などを行っています。これらは、情報セキュリティに関する基本方針を定めた「セキュリティポリシー」の一環です。
また、KDDIグループ会社に対しては、「KDDIグループ情報セキュリティ共通基準」を制定し、グループ会社全社へ展開しています。これにより、KDDIグループ全体のセキュリティレベルの向上を図るとともに、定期的な監査を通じて各社のセキュリティ状況を把握し、KDDIグループ全体の情報セキュリティガバナンスの強化に継続的に取り組んでいます。

セキュリティポリシー

データ利用における基本指針とプライバシーポリシー

KDDIは、さまざまなサービス・商品の提供などの事業活動を通じて、お客さまの体験価値向上や社会の持続的発展に貢献するため、お客さまのパーソナルデータを取得し利用することがあります。ここでいうパーソナルデータとは、個人情報保護法で規定される個人情報に限らず、個人に関するデータを含みます。その上で、KDDIは、パーソナルデータの重要性を認識し、その保護の徹底を図るために基本理念を明確化し、自らの行動指針を定めるものとして「データ利用における基本指針」を掲げています。
また、KDDIはこの指針に基づき、パーソナルデータの取り扱いに関する方針として「プライバシーポリシー」を策定しています。適正な顧客情報の取り扱いを目指し、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価（PIA）の導入などの対応を実施しています。

AI（人工知能）の活用について

KDDIは、AI（人工知能）を活用したお客さま体験価値のさらなる向上や社会の持続的発展に貢献するため、「KDDI グループAI開発・利活用原則」を策定しています。また、本原則に基づくAIサービス開発を実現するため、ガイドライン整備やアセスメントの活動を推進しています。
KDDIグループでは本原則の啓発活動を進めると同時に、生成系AIをはじめとした社内業務でのAI活用の推進と当該活動で得られた知見を踏まえ、AIの研究開発やお客さまへの安心・安全なAIサービスの提供を実現していきます。

2021年8月30日ニュースリリース

2023年5月25日ニュースリリース

社員1万人が「KDDI AI-Chat」の利用を開始

2024年3月18日ニュースリリース

ELYZAとKDDIグループ、生成AIの社会実装に向け資本業務提携を締結

情報セキュリティ管理体制

情報資産に関わるKDDIグループ全体での統一的な情報セキュリティの確保を目的に、代表取締役社長を委員長とした「リスクマネジメント委員会」配下に「情報セキュリティ部会」を設置し、経営層および営業・技術・コーポレートの各部門長を構成員とする全社的な組織体制で運用しています。この体制により、情報セキュリティの管理状況を的確に把握するとともに、情報セキュリティ強化のための各種施策をKDDIグループ全体に迅速に展開できる体制を整備しています。
なお、リスクマネジメント委員会は、リスクマネジメントを統括する組織として、情報セキュリティ部会を含む全7部会を設置しています。経営上の重要リスクを一元的に集約し、リスク分析に従った必要な対策を迅速に実施できる体制を整えています。

リスクマネジメント委員会

セキュリティインシデントなどの対応体制

KDDIでは、セキュリティインシデントや脆弱性、疑わしい活動を社員が発見した場合に、迅速かつ適切に対処できるよう、社員からの報告体制を整備し、運用しています。情報漏洩などのセキュリティインシデントが発生した際には、インシデントに対応するための専門組織CSIRT（Computer Security Incident Response Team）が必要に応じて経営層へエスカレーションし、対策会議を開くなど、経営層と社内関係部門が一丸となって対応できる体制を整えています。サイバー攻撃対策センター、ICT-ISAC、JPCERT／CC（JPCERTコーディネーションセンター）などの社外セキュリティ機関、FIRST（Forum of Incident Response and Security Teams）やNCA（日本シーサート協議会）といった外部組織とも連携し、原因調査や証拠保全などを行っています。これにより、事態収束に向けて社内外の統制を確保しています。
また、サービスを所掌とするSSIRT（Service Security Incident Readiness & response Team）でも、同様に監視・報告体制を整備しており、JPCERT／CCやフィッシング対策協議会、日本サイバー犯罪対策センター、各関係会社とも連携しています。

情報セキュリティガバナンス

情報セキュリティマネジメントサイクル

KDDIはISMS認証（ISO／IEC27001：2022）（※1）を取得しており、情報セキュリティマネジメントサイクル（PDCAサイクル）を導入しています。このサイクルでは、計画段階において情報セキュリティポリシーを策定し、以下の情報セキュリティマネジメントサイクルに従って、点検・評価チェックや見直し・改善に取り組んでいます。

※1情報セキュリティに対する第三者適合性評価制度。情報セキュリティ全体の向上に貢献するとともに、国際的にも信頼を得られる情報セキュリティレベルの達成を目的とした制度。

登録番号	組織名	初回登録日
IS 95253	KDDI株式会社（※2）	2005年6月7日

＜ISMS適合性評価制度の認証登録＞

※2コーポレート、技術・営業、お客さまサポート部門および財団法人国際電信電話共済会（現：一般財団法人KDDIグループ共済会）、KDDI健康保険組合、KDDI企業年金基金、KDDIまとめてオフィス株式会社、日本通信エンジニアリングサービス株式会社、株式会社KDDIチャレンジドを含む

セキュリティ監査

ISMS内部監査

KDDIは、ISMS認証の範囲にある各部門と関係各社に対し、社内の監査員によるISMS内部監査を実施しています。この監査では、社内の情報セキュリティ規程が適切に運用されているか、情報セキュリティ管理活動が計画的に実行されているか、また、ISMS活動が監査対象組織に浸透し有効に機能しているかを確認し、遵守していない場合は是正を求めます。さらに、ISMS内部監査の結果を分析し、その有効性評価を踏まえ、見直しと改善を行っています。

業務委託先監査

KDDIの情報資産を取り扱う業務の一部または全部をKDDIが委託している場合、KDDIと同等のセキュリティレベルが適切に維持されていることを確認するため、年1回以上の頻度で業務委託先を監査しています。さらに、重要度の高い業務委託のなかから毎年選定し、専門部門の監査員による業務委託先の特別監査も実施しています。

重要度に応じた情報資産の管理

KDDIでは、社内の情報セキュリティ規程に基づいて情報資産の分類を行い、その重要度に応じた情報資産の取り扱い方法を定めるとともに、セキュリティ対策を適用することで、適切な情報資産管理を実現しています。例えば、お客さまの情報については、インターネットからのアクセスが遮断された端末のみで取り扱い可とし、厳格な権限管理を施すなど、限られた人しか当該情報資産にアクセスすることはできません。また、重要な情報と分類された情報資産については、強固な暗号化を施すことで、社外の第三者による閲覧ができないように情報資産を保護しています。
KDDIではこのような適切なセキュリティ対策を、情報資産の重要度に応じて実施することにより、徹底した情報資産の管理を実現しています。

セキュリティ人財育成

KDDIでは、お客さまのデータや提供しているサービスをサイバー攻撃から守るために、セキュリティ人財育成プログラムを整備し、体系的なセキュリティ人財育成に取り組んでいます。本プログラムにおいて、社員の成長とキャリアの発展を重視しIPA（独立行政法人情報処理推進機構）が運営する国家資格「情報処理安全確保支援士（登録セキスペ）」の取得を積極的に促しており、専門的なトレーニングや学習支援を提供するなどの資格取得に向けた準備をサポートしています。2025年4月時点でのKDDIグループにおける資格登録者数は約300人と、国内有数の人数となっています。
人財育成は、社員の意識が向上するとともに、社員自体の成長を促進するための重要な取組みです。資格取得者が増えることでKDDIの専門性と技術力が飛躍的に向上していくことを目的としています。

情報処理安全確保支援士資格登録者数 318名

※IPA公開名簿を元に、勤務先名称「KDDI株式会社」と登録のあるものを抽出
※2025年4月集計

そのほか、社員1万1千人を対象に階層別Eラーニングおよび集合型の情報セキュリティ研修を実施し、社員のセキュリティ意識およびスキル向上に継続的に取り組んでいます。

内容	対象者	実施方法
新入社員向けセキュリティ研修	新入社員	集合研修
セキュリティ基礎研修	全従業員	Eラーニング
ライン長／情報セキュリティ推進者向けセキュリティ研修	ライン長／情報セキュリティ推進者	Eラーニング／集合研修

＜情報セキュリティ研修例＞

セキュリティ強化に向けた施策

システムセキュリティ監査および脆弱性診断

KDDIでは、事業を担うシステムが守るべきセキュリティ対策の基準をセキュリティ規程として定め、規程への準拠状況を審査しています。
本セキュリティ規程には、サーバやネットワーク機器の物理的な設置場所や、外部ネットワークとの接続、ソフトウエアのバージョン、認証・アクセス制御方式、ログの取得および保管など、KDDIグループが企画、開発、運用するシステムに必要なセキュリティ要件の細目、解釈について、具体的に記載しています。
本監査を、システムの企画から開発への移行フェーズにおいて厳格に実施することで、セキュリティの確保に繋げています。
また、システムの運用フェーズにおいては、サーバやネットワークに存在する問題点を診断する「ネットワーク脆弱性診断」を実施しています。
ネットワーク脆弱性診断では、さまざまなソフトウエアの脆弱性情報をシグネチャデータベースとして蓄積した専用の診断装置を用い、対象サーバやネットワーク機器に存在しているセキュリティ上の問題点を確認しています。
確認された問題点は、リスクに基づきレベル分けを行い、セキュリティパッチの適用や設定の見直しなどの是正を図っています。
このように企画、開発、運用の各段階においてシステムのセキュリティを確保する取り組みを通じて、安心・安全なサービスの提供に努めています。

セキュリティ監視

KDDIでは全国の電気通信設備を統合監視しており、大規模障害発生時には各拠点と連携し、全体統制、復旧対応の指示および情報展開を行います。万が一、サイバー攻撃を受けた場合は、この統合監視体制とセキュリティ監視を連携することで迅速に対処できる体制を構築しています。
セキュリティ監視では、不正アクセスや改ざん、標的型攻撃などのサイバー攻撃の脅威に対して専門的な訓練を受けたセキュリティエンジニアが24時間365日の体制で監視しています。セキュリティ監視機器から出力されるログを監視・分析し、膨大なログの中から攻撃の兆候を見つけ出します。また、不正アクセスや改ざんなどの危険なインシデントが発生した場合、リアルタイムにこれを検知するとともに、必要に応じてCSIRTおよび社内の関係部門へ迅速に連絡を行い、対処を指示します。
KDDIでは、万が一の有事においてもセキュリティ監視が継続できるよう、事業継続計画（BCP）として体制や手順を整備しています。また、体制の検証や手順の習熟、改善を目的とし、さまざまな想定シナリオに基づく事業継続のための訓練を定期的に実施しています。

攻撃リスク低減の取組み

CSIRTでは外部公開機器を悪用する攻撃者の攻撃リスクを低減するため、インターネット上に一般公開されている情報であるOSINT（Open Source Intelligence）などを利用して、設備に対する攻撃リスクや管理状況を調査し、攻撃者が外部公開機器を悪用できないように対処を行っています。
また、セキュリティ情報サイトなどから入手した脆弱性情報を全社に展開し、システムへの影響有無の確認やその対処を行っています。

サービスセキュリティの取組み

近年、企業を装うEメールやSMSを送ることで、URLリンク先の偽サイトへ誘導し、お客さまの認証情報を詐取した上でお客さまの情報を不正に利用するなど、いわゆるフィッシング詐欺が増加の一途をたどっています。また、偽サイトからマルウェア（危害を及ぼす偽アプリ）をインストールさせる高度な手口も常態化しています。KDDIでは、このような企業を装ってサービスを悪用しお客さまに危害を及ぼすサービスの不正利用に対応する専門組織としてSSIRTを設置して対策強化に取り組んでいます。
SSIRTでは、こうしたフィッシング詐欺などに対抗するため、従来からの迷惑メール対策に加え、お客さまへの情報発信や偽サイトの発生を能動検知し関連機関と連携して対処するなど、偽サイトによる被害抑止に取り組んでいます。
また、正規利用者のアカウントを乗っ取る不正なログインを24時間365日監視する体制を整備し、不正ログイン対策にも取り組んでいます。
これらに加えたKDDI独自の運用として、新たなサービスの検討プロセスに不正利用対策の観点での専門家による監査を導入し、サービスにおける認証などの不備を発生させないチェック体制も整備し、一層の対策強化を図っています。
フィッシング詐欺の手口は日々巧妙化しているため、悪意者の動向に注視しつつ、継続的にKDDIサービスのセキュリティ強化を進めると共に、新たな脅威への対策にも取り組んでいきます。