1. KDDIホーム
  2. 企業情報
  3. サステナビリティ
  4. 情報セキュリティとプライバシーの保護

情報セキュリティとプライバシーの保護

KDDIのアプローチ

近年、スマートフォンの普及やビッグデータ・AIの技術が発展したことなどにより、さまざまな個人情報を活用した新しいサービスが検討されています。しかし同時にプライバシーに関わる問題も多数存在しており、各国で規則・法律の整備が進んでいます。
KDDIは「個人のプライバシー保護」と「パーソナルデータの利活用」の両立を目指すため、プライバシーポリシーの公表や、取得する情報と利用目的を明示し、同意を取得するなど、個人情報の取り扱いについてお客さまに示すとともに、その保護を徹底しています。加えて2020年1月に「プライバシーポータル」を開設し、KDDIのお客さまの情報利用についてわかりやすく解説することで、透明性を確保するとともに、ご理解を深めていただく取り組みを行っています。
さらに、通信インフラの不正使用により障害を引き起こされる、いわゆるサイバーテロから自らの通信インフラを守るため、KDDIは、外部攻撃に対する専門組織による24時間365日での監視など、常に適切な防御措置を講じており、重要なライフラインを担う通信事業者として、お客さまおよび関係者の信頼を得るよう努めています。
また、更なる適正な顧客情報の取り扱いを目指し、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価(PIA)の導入等の対応を実施しています。

情報セキュリティ管理体制

情報資産に関わるグループ全体での統一的な情報セキュリティの確保を目的に、取締役執行役員常務技術統括本部長を委員長とした「情報セキュリティ委員会」を設置し、経営層および営業・技術・コーポレートの各部門長を委員とする全社的な組織体制で運用にあたっています。
この体制により、情報セキュリティの管理状況を的確に把握するとともに、情報セキュリティ強化のための各種施策をグループ全体に迅速に展開できる体制を整備しています。
また、KDDIは情報に対する適切な管理を重要な経営課題として認識し、情報セキュリティを確保するために、情報セキュリティ管理体制、情報セキュリティ対策の実施、情報セキュリティに関する社内規定の整備など、情報セキュリティに関する基本方針を定めた「セキュリティポリシー」を定めています。

情報セキュリティ管理体制図

グループ全体での情報セキュリティの強化

KDDIは2009年以降、全社でISMS27001※1を取得しています。また、グループ会社に対しては、2011年度に「KDDIグループ情報セキュリティ共通基準」を制定し、2017年度からは、より厳しいKDDIの基準をグループ会社全社へ拡大しました。これによりKDDIグループ会社のセキュリティレベルの向上を図るとともに、グループ会社のセキュリティ状況を定期的に監査することにより、KDDIグループ全体での情報セキュリティ・ガバナンスの強化に継続的に取り組んでいます。また、2018年2月にはKDDIデジタルセキュリティ株式会社を設立し、専門的な訓練を受けたセキュリティエンジニアがサイバー攻撃への対応にあたっています。

  1. ※1ISMS認証(ISO/IEC27001:2013)。情報セキュリティに対する第三者適合性評価制度。
    情報セキュリティ全体の向上に貢献するとともに、国際的にも信頼を得られる情報セキュリティレベルの達成を目的とした制度

KDDIが取得しているISMS認証

登録番号 組織名 初回登録日
IS 95253 KDDI株式会社※2 2005年6月7日
  1. ※2コーポレート、技術・営業、お客さまサポート部門および財団法人国際電信電話共済会(現:一般財団法人KDDIグループ共済会)、KDDI健康保険組合、KDDI企業年金基金、KDDIまとめてオフィス株式会社、日本通信エンジニアリングサービス株式会社を含む

パーソナルデータの取り扱いと利活用の考え方

KDDIは、お客さまの個人情報の取り扱いおよびビッグデータの活用において、個人情報保護法その他の関連法規を遵守した社内規程を整備、運用し、各サービスの利用規約、プライバシーポリシーにのっとり適切に取得、管理、利用を行っています。
ご契約者の皆さまの大切な情報は、お客さまの体験価値向上や社会の持続的発展に役立てるべく活用させていただき、活用にあたっては、お客さまにご理解いただけるよう利用方法の詳細な説明や個人を特定できないようなデータ加工など、責任ある企業活動を行っています。
2022年4月施行の改正個人情報保護法を見据えた対応としては、海外移転個人情報の棚卸、個人関連情報等の新たな規制対象への対応等を進めております。
また、GDPR(EU一般データ保護規則)等の海外個人情報保護関連法令についても対応に努めています。

情報セキュリティリスクの低減に向けた取り組み

KDDIは、お客さま情報などの漏えい防止、サイバーテロの防護などを通じ情報セキュリティリスクの低減に取り組んでいます。会社の全情報資産の管理については、情報セキュリティ委員会において施策を策定し、役員・従業員が一体となり実行しています。情報セキュリティ委員会は、会社全体のリスク管理を行うコーポレート・ガバナンス体制に組み込まれています。
取り組みとして、情報セキュリティ事故の撲滅のため、各部門での自律的な情報セキュリティ意識の向上を促すことを目的とした強化施策を実施、役員および従業員の意識向上を図っています。
さらに、グループ共通のセキュリティ基準を制定し、グループ会社全社へ適用することで全情報資産の管理や情報資産に応じた管理策の強化に取り組んでいます。KDDIとグループ会社間において、情報共有やセキュリティ対策の協議を目的とした情報セキュリティ推進者会議を定期的に開催し、セキュリティリスクの低減に取り組んでいます。

2020年度情報セキュリティリスクの低減に向けた取り組み・活動一覧

情報セキュリティ全般
  • eラーニング研修の実施
  • 新任所属長研修の開催
  • セキュリティウォークアラウンドの実施
  • セキュリティ意識向上を促すことを目的とした強化施策の実施
  • 顧客情報閲覧権限付与のチェック強化策の実施
  • セキュリティ内部監査の実施
  • 一般的な監査項目に加えて、業務委託先におけるシステムおよびOA環境にかかる技術的な専門監査の実施
  • グループ会社を含めた情報セキュリティ関連規定の遵守状況の確認
  • グループ会社を含めた情報セキュリティ推進者会議の開催
  • グループ会社を含めた社内OA環境の継続監視
SNSを通じた情報漏えい対策
  • ソーシャルメディアポリシーの遵守
  • 従業員に対する意識啓発
クラウド利用時の管理策強化
  • グループ会社を含めたクラウド利用における社内規程の遵守
  • セキュリティおよび法制度に関するリスクアセスメント体制の維持・改善
法令対応
  • 国内個人情報保護法(現行法および改正法)への対応
  • GDPR・CCPA等海外個人情報保護法への対応
メールの誤送信対策
  • メールの自動転送禁止
  • 社外メールの添付ファイルの自動暗号化
標的型攻撃対策
  • 従業員を対象とした標的型攻撃メール訓練を毎年実施
  • eラーニング研修の実施

情報セキュリティ管理・対策

セキュリティ審査および脆弱性診断

KDDIでは、事業を担うシステムが守るべきセキュリティ対策の基準をセキュリティ規程として定め、規程への準拠状況を審査しています。
本セキュリティ規程には、物理的なハードウェアの設置場所や、外部ネットワークとの接続、ソフトウェアのバージョン、認証・アクセス制御方式、ログの取得および保管など、KDDIグループが企画、開発、運用するシステムに必要なセキュリティ要件の細目、解釈について、具体的に記載しています。
本審査を、システムの企画から開発への移行フェーズにおいて厳格に実施することで、企画・設計段階からセキュリティ対策を考慮した「セキュリティバイデザイン」を実現しています。
また、システムの運用フェーズにおいては、サーバやネットワークに存在する問題点を診断する「ネットワーク脆弱性診断」を実施しています。
ネットワーク脆弱性診断では、さまざまなソフトウェアの脆弱性情報をシグネチャデータベースとして蓄積した専用の診断装置を用い、対象サーバやネットワーク機器に存在しているセキュリティ上の問題点を確認しています。
確認された問題点は、リスクに基づきレベル分けを行い、セキュリティパッチの適用や設定の見直し等の是正を図っています。
このように企画、開発、運用の各段階においてシステムのセキュリティを確保する取り組みを通じて、安心・安全なサービスの提供に努めています。

セキュリティ審査および脆弱性診断の流れ

セキュリティ監視

KDDIでは、各拠点のセンターを中心に、全国を統合的に監視しています。
大規模障害発生時は、統括拠点にて全体統制を行い、復旧対応の社内外への指示および情報展開を行います。侵入や改ざん、DDoS攻撃等のサイバー攻撃の脅威から電気通信設備を守るため、専門的な訓練を受けたセキュリティエンジニアが24時間365日の体制で監視にあたっています。セキュリティ監視機器から出力されるログを監視・分析し、膨大なログの中から攻撃の兆候を見つけ出します。また不正アクセスや改ざん等の危険なインシデントが発生した場合、リアルタイムにこれを検知するとともに、必要に応じてCSIRTおよび社内の関係部門へ迅速に連絡を行い、対処を指示します。

各拠点のセンターを中心とした統合監視体制

CSIRTの取り組み

KDDIは、セキュリティインシデントに対応する専門組織としてKDDI-CSIRT(Computer Security Incident Response Team)を設置しています。
KDDI-CSIRTは、グループ会社のKDDIデジタルセキュリティ株式会社やKDDIデジタルデザイン株式会社と連携し、インシデント対応のハンドリング、対応支援、セキュリティインシデント情報の受け付け、再発防止策の検討などに取り組んでいます。また、FIRSTや一般社団法人日本シーサート協議会へ加盟しており、国内外のCSIRT組織と連携し、動向や対策方法などの情報共有を図っています。
サイバー攻撃は日々高度化しているため、脆弱性や攻撃情報などの収集を強化し、情報分析の強化、サイバー攻撃対応のさらなる自動化・高度化などを進める事で、新たな脅威への対応を図っていきます。

各外部機関との連携体制図

AI(人工知能)の活用について

KDDIは、AI(人工知能)を活用したお客さま体験価値のさらなる向上や社会の持続的発展に貢献するため、KDDI 総合研究所の協力の下、「KDDI Accelerate 5.0」の一環として、「KDDI グループAI開発・利活用原則」を2021年8月30日に策定しました。KDDIグループは本原則に基づき、お客さまに安心してサービスをご利用いただけるよう、AIの研究開発、利活用を推進していきます。

人財育成

KDDIでは、キャリアパス明確化のために、専門人財のロールモデルを定義しています。
社外組織への出向や専門性の高い資格取得など、幅広い知見の習得や、専門性の深耕を推進しています。

専門人材のロールモデル

情報セキュリティに関する研究開発の推進

暗号解読コンテストでの世界記録

KDDIは、安心して利用できる情報通信システムの構築に貢献するため、解読アルゴリズムの高速化と、より高速で安全な次世代公開鍵暗号実現に向けた研究開発を推進しています。
インターネットをはじめとする情報通信システムの安心・安全を支える基盤技術である公開鍵暗号技術はネットショッピングやICカードなどで日常的に利用されています。しかし近年、実用的な量子コンピュータの登場により、暗号解読が高速に計算できるようになり、今後は量子コンピュータに対しても安全性を確保できる公開鍵暗号方式が必要とされています。次世代公開鍵暗号として符号暗号を利用する際、安全な次元の大きさを決定するために、解読可能な次元の限界を知ることが重要です。
KDDIは、2021年1月、暗号解読コンテスト「Challenges for codebased problems」において、1161次元のSyndrome Decoding in the Goppa-McEliece Setting問題を、世界で初めて解読しました。
また、解読アルゴリズムの改良ならびに並列マルチスレッド環境に適した最適化を行い、解読処理を約250倍高速化しました。

解読アルゴリズムの概要

情報セキュリティに関する重大事故の件数

KDDIは、グループ全体で情報セキュリティの強化に努め、情報セキュリティリスクの低減に取り組んできました。2020年度の情報セキュリティに関する重大事故発生件数は0件でした。

情報セキュリティに関する重大事故の件数

単位:件
  2018年度 2019年度 2020年度
外部からのサイバー攻撃に伴う
電気通信サービスのサービス停止件数
0 0 0
外部からのサイバー攻撃に伴う
個人情報流出件数
0 0 0
個人情報の漏えい件数 0 0 0
社会