情報セキュリティの管理はサービスを円滑に運営するために非常に重要です。お客さまやパートナー会社、関係者のみなさまの信頼を獲得し、維持するための基盤となるからです。この管理体制を守るため、私たちは情報を保護するための効果的な体制の支援と実施を目的とした包括的な情報セキュリティポリシーを策定しました。
情報セキュリティの管理体制
グループ全体の情報セキュリティ対策を推進するため、情報セキュリティ委員会を設けて最高情報セキュリティ責任者(CISO)を任命しました。各部門に情報管理の担当者を配置し、適切な意思決定と関連政策の実施を推進しています。この取り組みにより、素早く広い範囲で、また効果的に情報セキュリティ対策を実施できる組織を構築しました。
情報セキュリティポリシーの導入と維持管理
メルカリでは暗号化、資産管理、アプリケーションセキュリティ、物理的セキュリティなどの分野を含む包括的なセキュリティポリシーを整備しています。新たな脅威に対応するためにこれらポリシーは定期的な見直しと更新を行い、コンプライアンスを確保しています。
セキュリティリスクの特定と管理
リスクを特定し適切に対処するため、重要な資産やプロセス、システムを対象としたリスク評価を年次で実施しています。またこれら取り組みを通じて特定されたセキュリティリスクを管理し追跡するために、セキュリティリスク管理プロセスとセキュリティリスク登録簿を整備しています。
サプライチェーンについてののリスク管理
利用している外部ツールや委託先を含む外部関係者のセキュリティ体制を評価し、セキュリティやデータ保護の要件を満たしているか、確認を行っています。
適切な情報資産管理の実施
情報資産は機密性のレベルに応じて分類し、その機密性、完全性、可用性を確保するために、その重要度に応じて適切に管理を行っています。
アクセス権限の管理
「知る必要のある情報」と「最小限の権限」に限定するという原則に照らし合わせ、システムへのアクセスが適切かを確認するために定期的にアクセスレビューを行い、不要または未利用のアクセス権や権限の取り消しを行なっています。
情報セキュリティリテラシーの向上
全従業員に対して情報セキュリティの理解を深めるため、入社時研修や年次のトレーニングなどによる包括的なセキュリティ・プライバシー教育プログラムを実施し、複数の手段を用いて継続的な教育と啓発を行っています。教育プログラムや意識向上を促すコンテンツは、最新の推奨事項やベストプラクティスに合わせて毎年更新しています。
法令の遵守
メルカリは、適用される法規制に加え、お客さま、取引先、従業員との契約や合意事項を遵守します。
情報セキュリティ基準の順守
認証
- IISO/IEC 27001:2022
- Merpay(認証番号:IS 800079)
- PCI DSS
- Merpay(メルカード、バーチャルカード)
- メルカリジャパン マーケットプレイス
- メルカリUS マーケットプレイス
- MASA
- 第三者機関による検証済み:NowSecure