情報セキュリティ
基本方針
組織的対策
セキュリティ・ガバナンス
情報セキュリティ管理委員会
DeNAグループでは代表取締役社長を委員長とし、役員・グループエグゼクティブを中心に構成する情報セキュリティ管理委員会を設置し、グループ横断的な体制を整備しています。同委員会での議論は定期的に経営会議に報告し、重要な事項は経営会議でも議論しています。更に重要な事項は取締役会にも報告しています。
情報セキュリティ管理統括者
情報セキュリティ管理委員会の方針に従い、情報セキュリティ管理業務を統括する者として、同委員会から情報セキュリティ管理統括者が任命されています。情報セキュリティ管理統括者は、DeNA
CERTをリードし、平時と有事のセキュリティ課題及び対策の向上に取り組んでいます。
DeNA CERT
セキュリティ部門、情報システム部門、法務部門、および経営企画部門など複数の部署からなる横断的なセキュリティ課題の解決チームです。
DeNA CERTは常に連携し、平常時と有事の課題に対処します。
平常時では、各部署・子会社からのセキュリティ相談を受付、解決を図っています。対応した結果はナレッジとして蓄積し、セキュリティポリシーに反映したり、ポータルサイト等で情報を発信したりなど、全社に展開しています。ただし、情報セキュリティ管理委員会から権限を委譲された範囲を超える重要な事案については、情報セキュリティ管理委員会に対応策を附議し、会社としての方針を決定した上で解決を図っています。
万が一インシデントの恐れが生じた場合には、DeNA CERTが中心となり対応します。専門性の高いメンバーが在籍しているため、迅速に対応することが可能です。
また、外部のコミュニティにもセキュリティ関連の情報を発信しており、社内外のセキュリティ対策の向上に努めています。
※CERTとは
企業や組織におけるコンピュータセキュリティに関する問題の対応を行う組織・枠組みを「サート(CERT=Computer Emergency Response Team)」または「シーサート(CSIRT=Computer Security Incident Response Team)」と呼びます。
プライバシー・ガバナンス
個人情報管理委員会
DeNAグループでは代表取締役社長を委員長とし、役員・グループエグゼクティブを中心に構成する個人情報管理委員会を設置し、グループ横断的な体制を整備しています。同委員会での議論は定期的に経営会議に報告し、重要な事項は経営会議でも議論しています。更に重要な事項は取締役会にも報告しています。
個人情報管理統括者
DeNAグループの個人情報管理業務を統括する者として、個人情報管理委員会から個人情報管理統括者が任命されています。個人情報管理統括者は、個人情報管理統括グループをリードし、DeNAグループにおける個人情報の適切な取扱いの確保に努めています。
個人情報管理統括グループ
個人情報管理統括者による監督の下で、DeNAグループにおける個人情報の適切な取扱いの確保に努めています。
例えば、個人情報を取り扱うキャンペーンを実施する際には、利用目的を明示しているか、個人情報の取得から消去に至るまでのプロセスに問題がないか、などをチェックし、安全な取扱いを支援しています。また、DeNAグループにおける個人情報の管理状況を定期的に確認し、個人情報の取得から消去に至るまでの取扱いの可視化、必要最小限の個人情報のみの取得、アクセス権限の棚卸し等を事業部に促すことで、個人情報の適切な取り扱いに努めています。
セキュリティポリシー
DeNAグループでは、基本方針として掲げた「お客さまからお預かりしている情報の適切な保護」「提供サービスおよび社内システムをセキュアに保つ」ことを実現するために、適用される法令等の順守だけではなく、サイバーセキュリティ経営ガイドライン、NIST(米国国立標準研究所)サイバーセキュリティフレームワークなどを参考としたグループ統一的なセキュリティポリシーを整備し、DeNAおよび子会社に適用しています。
対応方針の原則を示した「DeNAグループ情報セキュリティポリシー」を中心に、情報資産の適切な取扱いを具体的に示した「グループ情報管理スタンダード」、情報システムの開発、運用に組み込むべきセキュリティ対策を具体的に示した「グループ情報システムスタンダード」を整備/順守することで安心、安全の提供に努めています。
しかしながら、サイバー攻撃などの脅威は日々高度化しています。よって、内外環境の変化を掴み、適時セキュリティポリシーのアップデートをし続けています。
また、分かりやすさを追求したセキュリティハンドブックや事例集を公開し、従業員の理解向上に努めています。
プライバシー対応
DeNAグループは、お客さまのプライバシーに関する権利を尊重しています。様々なサービスにてお客さまの個人情報を取得していますが、予め利用目的を明示した上で、お客さまの個人情報を取り扱っています。
個人情報については、必要最小限の情報のみの取得、アクセス権限の最適化、利用目的を達成した情報の消去等の個人情報の適切な取り扱いに努めています。また、個人情報管理台帳を全社で整備し、取得から消去に至るまでの取扱いを可視化しています。
また、お客さまは法令で認められる限りにおいて、自己の個人情報に対する開示、訂正、利用停止等(以降、「開示等」といいます。)を当社に請求する権利を有しており、窓口も準備しています。
これらをDeNAグループで統一的に対応するために、グループ個人情報管理ガイドラインを整備し、DeNAおよび国内子会社に適用しています。
詳細は DeNAプライバシーポリシー をご確認ください。
海外プライバシー対応
海外のお客さまにサービスを提供する場合は、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)をはじめ、サービス提供国のプライバシーに係る関連法令に対応する必要があります。
DeNAグループでは、海外のプライバシー関連法令に適切に対応するために、グローバル個人情報管理マニュアルを定め、法務部門およびセキュリティ部門にて構成された海外プライバシー事務局にて、法令調査からセキュリティ対策の実装までワンストップで事業部門をサポートしています。
セキュリティ/プライバシー認証
DeNAグループでは、「お客さまからお預かりしている情報の適切な保護」ならびに「提供サービスおよび社内システムをセキュアに保つ」ために以下の組織において認証を取得しています。
株式会社ディー・エヌ・エー 新潟カスタマーサポートセンター
認証:ISO/IEC 27001:2022(ISMS)※1
範囲:自社、およびグループ会社、または受託業務におけるカスタマーサポート
DeSCヘルスケア株式会社
認証:JIS Q15001:2017(プライバシーマーク)※2
株式会社データホライゾン
認証:JIS Q15001:2017(プライバシーマーク)
認証:ISO/IEC 27001:2013(ISMS)
範囲:医療情報サービスの提供及び販売、医療情報システムの開発及び販売
株式会社アルム
認証:JIS Q15001:2017(プライバシーマーク)
認証:ISO/IEC 27001:2013(ISMS)
範囲:医療関連ソフトウェアの開発・保守
※1 ISMSとは、Information Security Management Systemの略称で、情報の「機密性」「完全性」「可用性」を保護するための体系的な仕組みです。今回取得した「ISO/IEC
27001」は、ISMSの国際規格であり、第三者であるISMS認証機関が、組織の構築したISMSが「ISO/IEC 27001」に基づいて適切に運用管理されているかを、公平な立場から審査し証明するものです。
※2 プライバシーマークとは、JIS Q 15001に適合した個人情報保護マネジメントシステムを整備している事業者を評価し、マークを付与する制度です。
セキュリティレジリエンス
DeNAグループでは、事業継続の観点から必要不可欠なサービス、および情報システム等を「重要システム」と定義し、平時よりサービス復旧までを見据えたセキュリティ管理体制を整備しています。
有事の際は、DeNA
CERTが中心となりインシデント対応にあたります。万が一、お客さまの個人情報の漏えいなどのインシデントが発生した場合は、あらかじめ定めたインシデント対応・復旧手順に従い、事業部門と協力し、お客さまへの影響を最小限にすることを第一に、復旧までの対応にあたります。
インシデント発生直後では的確な初動対応が重要です。インシデント対応能力を確認/向上するために、定期的(年次および役職就任時)にインシデント対応に係る訓練を実施し、対応力の向上に努めています。
資産管理
DeNAグループでは、情報資産を機密度に応じて分類し、管理しています。特にお客さま個人を特定できる情報については、最も機密度の高い「厳秘情報」に分類し、かつ個人情報管理台帳にて取り扱い手続きを一元的に管理しています。個人情報管理台帳は定期的に棚卸しし、取扱い情報の確認、利用目的を達成した情報の削除、アクセス権限の最適化等に努めることで、個人情報の取得から廃棄に至るまでの手続きを管理しています。
委託先管理
DeNAグループでは、お客さまにより良い当社サービスを提供するために、当社サービスの運営サポートなど、利用目的の達成に必要な範囲において、業務委託先に個人情報等の取扱いを委託する場合があります。当社は、個人情報の取扱いを委託するにあたり、委託先を監督するための基準および手順を定めています。
業務委託先が当社の情報システムにアクセスして業務を遂行する場合は、アクセスできる情報を必要最小限にとどめるなど技術的な措置を実行するとともに、必要な教育を実施しています。
点検・監査
DeNAグループでは、個人情報およびセキュリティポリシーの順守状況をセキュリティ部門が点検しています。セキュリティ部門の点検で発見された課題についてはリスクの大きさに応じて情報セキュリティ管理委員会や経営会議にエスカレーションし、経営陣も巻き込んで対応に関する意思決定をするとともに、対応状況の進捗を管理しています。
セキュリティ部門の活動も含めたDeNAグループの個人情報/情報セキュリティ管理体制についても、独立した内部監査部門による監査にて実効性を確認しています。
人的対策
従業者研修
DeNAグループは、従業者一人ひとりがセキュリティに関するルールをしっかり守り、十分な配慮をして業務ができるよう、DeNAグループの全従業者(派遣、協力会社社員等を含む)を対象に個人情報および情報セキュリティに係る研修を実施しています。
当社では機微情報などを取り扱う一部の従業者を除き、テレワークを活用した働き方を推進しています。テレワークにおいても情報セキュリティを確保するための技術的な対策等を施しておりますが、従業者の意識の向上も重要であることから、働く場所別セキュリティ対策の手引きを作成し、従業者に適切な情報資産の管理を周知・徹底しています。
タイミング | 内容 | 対象 |
入社時/業務開始時
(月次) |
情報セキュリティ研修
個人情報研修 | 全従業者(派遣、協力会社を含む) |
エンジニア向けセキュリティ研修 | すべてのエンジニア(派遣、協力会社を含む) | |
年次 |
情報セキュリティ研修
個人情報研修 | 全従業者(派遣、協力会社を含む) |
役職者向け情報セキュリティ研修 | すべての役職者 | |
四半期 | 経営会議でのセキュリティ情報共有会 | 役員/グループエグゼクティブ |
役職就任時 |
役職者向け情報セキュリティ研修
役職者向けインシデント対応ワークショップ | 新たに役職者に就任した者 |
セキュリティ人材の育成
ITを利用した高品質なサービスを提供するためには、安全でかつ安心して利用できるシステムの実現が重要な課題です。現在、サイバーセキュリティに関する脅威が多様化・高度化しており、これに対応するためのセキュリティ人材の育成の必要性も指摘されています。
セキュリティ部員が、あらゆるケースに迅速に対応できるよう、サイバー攻撃の特性に合わせた攻撃シナリオを仮定し、定期的(年次)にインシデント対処の訓練を実施するなど、業務を通じて必要なセキュリティ知識が得られるように環境整備しています。セキュリティツールの開発やオープンソース化についても、セキュリティ知識の向上の施策としても捉えています。
秘密保持契約
DeNAグループは、お客さまの大事な情報をお預かりしています。取り扱う情報の重要性およびその責任を従業者一人ひとりに認知・理解させることは重要であることから、DeNAグループ全ての直接雇用者を対象に秘密保持契約を締結しています。
業務委託先についても、秘密保持契約を締結しております。
物理的対策
入退室管理
DeNAグループでは複数の拠点を有していますが、セキュリティカードおよび監視カメラによって入退室を管理しています。拠点内についても取り扱う情報の機密度等に応じてセキュリティレベルを定義し、レベルに応じたセキュリティ対策を講じています。
特に重要な情報を取り扱う執務室においては、当該業務専用の執務室を準備し、執務室の全景を記録する監視カメラの導入、関与する者のみ入室権限を付与するなど、より厳格な入退室管理を実施しています。
媒体管理
DeNAグループでは、書類やUSB等の媒体で重要な情報を取得・管理する場合があります。これら媒体も機密度区分に応じて管理しており、施錠可能なキャビネットでの保管、鍵の厳格な管理、及び利用目的を達成した媒体については、復元が困難な方法で廃棄するなど、安全な取り扱いに努めています。
技術的対策
データセキュリティ
DeNAグループでは、データに機密度を設定し、機密度に応じて管理しています。特にお客さま個人を特定できるデータは、高度な暗号化を適切に施した上で、アクセスを制限しています。アクセス制限については、アカウントを一元的に管理できる仕組みを導入し、統合管理しています。また、アクセスした記録を残すことでトレーサビリティ(いつ、どこで、誰が扱ったのか分かること)を確保しています。
外部からの不正アクセス対策
DeNAグループでは、攻撃シナリオを踏まえた不正アクセス対策を導入しています。業務上不要な通信の制御、通信の監視・分析、脆弱性対応、セキュアコーディング、及びデータの項目単位での暗号化など、多層防御を実施することで、リスクを低減しています。特に脆弱性対応、暗号化については、内製化しており、事業サービスの特性に合わせて、より高いセキュリティレベルを実現しています。
脆弱性管理
DeNAグループでは、提供するサービスの脆弱性※に対して適切に対処することも重要だと考えています。DeNAグループでは社内のセキュリティエンジニアが知見を持ち、脆弱性診断を実施できる体制を持っているため、自社に即した深度ある診断を必要なタイミングで速やかに行うことができます。
診断ツールも自ら開発し、診断の質を常に向上させています。また、DeNAグループ以外の企業からも脆弱性診断のご相談を受けることもあります。特にスマホアプリに対する脆弱性診断やハッキングからの防衛は発展途上の分野ですが、DeNAのセキュリティエンジニア部隊は世の中の常識に囚われることなく診断技術や防御機能を自社開発して事業のセキュリティレベルを向上させています。
また、それらの研究・開発過程で出来上がった診断ツール等をオープンソースとして公開し誰もが利用できるようにすることで、業界全体のセキュリティレベル向上にも貢献しています。
※脆弱性
プログラムの不具合や設計上の不備によって発生する、ソフトウェアのセキュリティ上の欠陥。
クラウド設定の自動管理
DeNAグループでは、クラウド技術を活用してサービスを開発・運営しています。
クラウドサービスでは設定ミスが情報漏えい等を引き起こす恐れがあります。そこで、主要なクラウドサービスについては、それぞれの具体的な設定手順を定めたガイドラインを作成し、エンジニア等に周知していますが、人が設定するためにどうしてもミスは発生します。よって、設定値を毎日、自動的に監視し、ミスがあれば通知する仕組みを自ら開発することで、サービスの品質を高めています。
セキュリティ業界への貢献
情報発信・業界への啓発
DeNA CERTの大切な活動として、セキュリティ業界への貢献、外部との情報交換活動があります。セキュリティ対策はDeNAグループだけの問題ではなく、IT化していく社会全体で取り組む必要があります。DeNAグループで培われたナレッジは、社外のコミュニティにも提供しています。また、セキュリティの研究・開発で出来上がった診断ツール等をオープンソースとして公開し誰もが利用できるようにすることで、業界全体のセキュリティレベル向上にも貢献しています。
日本シーサート協議会
幹事会員として、他組織のセキュリティ担当者を繋ぎ、問題を解決する場を提供しています。これらの活動を通じ、当社自身も同業他社、他業種の様々なCSIRTと利害関係を超えてセキュリティに関する情報交換、相互協力を行い、社内外のセキュリティ向上に役立てています。
セキュリティキャンプ協議会
会員企業として、若年層の優秀なセキュリティ人材の発掘と育成を目標とした「セキュリティ・キャンプ」の復旧、運営に貢献しています。
上記以外においても、技術活動、人材育成、啓発活動など自社で培ったノウハウを、外部のセキュリティ関係者、雑誌・セミナー等で積極的に発信しています。
ツールのオープンソース化
当社では、脆弱性対応に必要なツールを内製化していますが、その一部をオープンソース化しています。オープンソース化によってセキュリティ業界への貢献も図っています。
関連コンテンツ
プライバシーポリシー
当社の個人情報の取り扱いについては、DeNAプライバシーポリシー をご確認ください。