情報セキュリティ

改定日:2022年4月28日

基本方針

DeNAグループでは、一人ひとりに想像を超えるDelightを届けるため、インターネットやAIを活用して様々なサービスを提供しています。しかしこれらのサービスは特性上、サイバー攻撃やプライバシー侵害に関する脅威に晒されていることから、当社では「お客さまからお預かりしている情報の適切な保護」ならびに「提供サービスおよび社内システムをセキュアに保つ」ことを情報セキュリティに係る基本方針として掲げ、安心かつ安全なサービスの提供に取り組んでいます。

組織的対策

セキュリティ・ガバナンス

情報セキュリティ管理委員会
DeNAグループでは代表取締役社長を委員長とする情報セキュリティ管理委員会を設置し、グループ横断的な体制を整備しています。同委員会での議論は定期的に経営会議に報告し、重要な事項は経営会議でも議論しています。更に重要な事項は取締役会にも報告しています。

情報セキュリティ管理統括者
情報セキュリティ管理委員会の方針に従い、情報セキュリティ管理業務を統括する者として、同委員会から情報セキュリティ管理統括者が任命されています。情報セキュリティ管理統括者は、DeNA CERTをリードし、平時と有事のセキュリティ課題及び対策の向上に取り組んでいます。

DeNA CERT
セキュリティ部門、情報システム部門、法務部門、および経営企画部門など複数の部署からなる横断的なセキュリティ課題の解決チームです。
DeNA CERTは常に連携し、平常時と有事の課題に対処します。

平常時では、各部署・子会社からのセキュリティ相談を受付、解決を図っています。対応した結果はナレッジとして蓄積し、セキュリティポリシーに反映したり、ポータルサイト等で情報を発信したりなど、全社に展開しています。ただし、情報セキュリティ管理委員会から権限を委譲された範囲を超える重要な事案については、情報セキュリティ管理委員会に対応策を附議し、会社としての方針を決定した上で解決を図っています。

万が一インシデントの恐れが生じた場合には、DeNA CERTが中心となり対応します。専門性の高いメンバーが在籍しているため、迅速に対応することが可能です。

また、外部のコミュニティにもセキュリティ関連の情報を発信しており、社内外のセキュリティ対策の向上に努めています。

※CERTとは
企業や組織におけるコンピュータセキュリティに関する問題の対応を行う組織・枠組みを「サート(CERT=Computer Emergency Response Team)」または「シーサート(CSIRT=Computer Security Incident Response Team)」と呼びます。

プライバシー・ガバナンス

個人情報管理委員会
DeNAグループでは代表取締役社長を委員長とする個人情報管理委員会を設置し、グループ横断的な体制を整備しています。同委員会での議論は定期的に経営会議に報告し、重要な事項は経営会議でも議論しています。更に重要な事項は取締役会にも報告しています。

個人情報管理統括者
DeNAグループの個人情報管理業務を統括する者として、個人情報管理委員会から個人情報管理統括者が任命されています。個人情報管理統括者は、個人情報管理統括グループをリードし、DeNAグループにおける個人情報の適切な取扱いの確保に努めています。

個人情報管理統括グループ
個人情報管理統括者による監督の下で、DeNAグループにおける個人情報の適切な取扱いの確保に努めています。

例えば、個人情報を取り扱うキャンペーンを実施する際には、利用目的を明示しているか、個人情報の取得から消去に至るまでのプロセスに問題がないか、などをチェックし、安全な取扱いを支援しています。また、DeNAグループにおける個人情報の管理状況を定期的に確認し、個人情報の取得から消去に至るまでの取扱いの可視化、必要最小限の個人情報のみの取得、アクセス権限の棚卸し等を事業部に促すことで、個人情報の適切な取り扱いに努めています。

セキュリティポリシー

DeNAグループでは、基本方針として掲げた「お客さまからお預かりしている情報の適切な保護」「提供サービスおよび社内システムをセキュアに保つ」ことを実現するために、適用される法令等の順守だけではなく、サイバーセキュリティ経営ガイドライン、NIST(米国国立標準研究所)サイバーセキュリティフレームワークなどを参考としたグループ統一的なセキュリティポリシーを整備しています。

対応方針の原則を示した「DeNAグループ情報セキュリティポリシー」を中心に、情報資産の適切な取扱いを具体的に示した「グループ情報管理スタンダード」、情報システムの開発、運用に組み込むべきセキュリティ対策を具体的に示した「グループ情報システムスタンダード」を整備/順守することで安心、安全の提供に努めています。

しかしながら、サイバー攻撃などの脅威は日々高度化しています。よって、内外環境の変化を掴み、適時セキュリティポリシーのアップデートをし続けています。

また、分かりやすさを追求したセキュリティハンドブックや事例集を公開し、従業員の理解向上に努めています。

プライバシー対応

DeNAグループは、お客さまのプライバシーに関する権利を尊重しています。様々なサービスにてお客さまの個人情報を取得していますが、予め利用目的を明示し、お客さまの個人情報を取り扱っています。

個人情報については、「グループ個人情報管理ガイドライン」を整備し、必要最小限の情報のみの取得、アクセス権限の最適化、利用目的を達成した情報の消去等の個人情報の適切な取り扱いに努めています。また、個人情報管理台帳を全社で整備し、取得から消去に至るまでの取扱いを可視化しています。

また、お客さまは法令で認められる限りにおいて、自己の個人情報に対する開示、訂正、利用停止等(以降、「開示等」といいます。)を当社に請求する権利を有しており、窓口も準備しています。

詳細は DeNAプライバシーポリシー をご確認ください。

海外プライバシー対応

海外のお客さまにサービスを提供する場合は、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)をはじめ、サービス提供国のプライバシーに係る関連法令に対応する必要があります。

DeNAグループでは、法務部門およびセキュリティ部門にて構成された海外プライバシー事務局にて、法令調査からセキュリティ対策の実装までワンストップで事業部門をサポートしています。

セキュリティレジリエンス

DeNAグループでは、事業継続の観点から必要不可欠なサービス、および情報システム等を「重要システム」と定義し、平時よりサービス復旧までを見据えたセキュリティ管理体制を整備しています。

有事の際は、DeNA CERTが中心となりインシデント対応にあたります。万が一、お客さまの個人情報の漏えいなどのインシデントが発生した場合は、あらかじめ定めたインシデント対応・復旧手順に従い、事業部門と協力し、お客さまへの影響を最小限にすることを第一に、復旧までの対応にあたります。

インシデント発生直後では的確な初動対応が重要です。インシデント対応能力を確認/向上するために、定期的にインシデント対応に係る訓練を実施し、対応力の向上に努めています。

資産管理

DeNAグループでは、情報資産を機密度に応じて分類し、管理しています。特にお客さま個人を特定できる情報については、最も機密度の高い「厳秘情報」に分類し、かつ個人情報管理台帳にて取り扱い手続きを一元的に管理しています。個人情報管理台帳は定期的に棚卸しし、取扱い情報の確認、利用目的を達成した情報の削除、アクセス権限の最適化等に努めることで、個人情報の取得から廃棄に至るまでの手続きを管理しています。

委託先管理

DeNAグループでは、お客さまにより良い当社サービスを提供するために、当社サービスの運営サポートなど、利用目的の達成に必要な範囲において、業務委託先に個人情報等の取扱いを委託する場合があります。当社は、個人情報の取扱いを委託するにあたり、委託先を監督するための基準および手順を定めています。

業務委託先が当社の情報システムにアクセスして業務を遂行する場合は、アクセスできる情報を必要最小限にとどめるなど技術的な措置を実行するとともに、必要な教育を実施しています。

点検・監査

DeNAグループでは、個人情報およびセキュリティポリシーの順守状況をセキュリティ部門が点検しています。セキュリティ部門の点検で発見された課題についてはリスクの大きさに応じて情報セキュリティ管理委員会や経営会議にエスカレーションし、経営陣も巻き込んで対応に関する意思決定をするとともに、対応状況の進捗を管理しています。

セキュリティ部門の活動も含めたDeNAグループの個人情報/情報セキュリティ管理体制についても、独立した内部監査部門による監査にて実効性を確認しています。

人的対策

従業者研修

DeNAグループは、従業者一人ひとりがセキュリティに関するルールをしっかり守り、十分な配慮をして業務ができるよう、DeNAグループの全従業者(派遣、協力会社社員等を含む)を対象に個人情報および情報セキュリティに係る研修を実施しています。

当社では機微情報などを取り扱う一部の従業者を除き、テレワークを活用した働き方を推進しています。テレワークにおいても情報セキュリティを確保するための技術的な対策等を施しておりますが、従業者の意識の向上も重要であることから、働く場所別セキュリティ対策の手引きを作成し、従業者に適切な情報資産の管理を周知・徹底しています。

タイミング 内容 対象
入社時/業務開始時
(月次)
情報セキュリティ研修

個人情報研修
全従業者(派遣、協力会社を含む)
エンジニア向けセキュリティ研修 すべてのエンジニア(派遣、協力会社を含む)
年次 情報セキュリティ研修

個人情報研修
全従業者(派遣、協力会社を含む)
役職者向け情報セキュリティ研修 すべての役職者
四半期 経営会議でのセキュリティ情報共有会 役員/グループエグゼクティブ
役職就任時 役職者向け情報セキュリティ研修

役職者向けインシデント対応ワークショップ
新たに役職者に就任した者

セキュリティ人材の育成

ITを利用した高品質なサービスを提供するためには、安全でかつ安心して利用できるシステムの実現が重要な課題です。現在、サイバーセキュリティに関する脅威が多様化・高度化しており、これに対応するためのセキュリティ人材の育成の必要性も指摘されています。

セキュリティ部員が、あらゆるケースに迅速に対応できるよう、サイバー攻撃の特性に合わせた攻撃シナリオを仮定し、定期的にインシデント対処の訓練を実施するなど、業務を通じて必要なセキュリティ知識が得られるように環境整備しています。セキュリティツールの開発やオープンソース化についても、セキュリティ知識の向上の施策としても捉えています。

秘密保持契約

DeNAグループは、お客さまの大事な情報をお預かりしています。取り扱う情報の重要性およびその責任を従業者一人ひとりに認知・理解させることは重要であることから、DeNAグループ全ての直接雇用者を対象に秘密保持契約を締結しています。

業務委託先についても、秘密保持契約を締結しております。

物理的対策

入退室管理

DeNAグループでは複数の拠点を有していますが、セキュリティカードおよび監視カメラによって入退室を管理しています。特に重要な情報を取り扱う執務室においては、当該業務専用の執務室を準備し、執務室の全景を記録する監視カメラの導入、関与する者のみ入室権限を付与するなど、より厳格な入退室管理を実施しています。

媒体管理

DeNAグループでは、書類やUSB等の媒体で重要な情報を取得・管理する場合があります。これら媒体も機密度区分に応じて管理しており、施錠可能なキャビネットでの保管、鍵の厳格な管理、及び利用目的を達成した媒体については、復元が困難な方法で廃棄するなど、安全な取り扱いに努めています。

技術的対策

データセキュリティ

DeNAグループでは、データに機密度を設定し、機密度に応じて管理しています。特にお客さま個人を特定できるデータは、高度な暗号化を適切に施した上で、アクセスを制限しています。アクセス制限については、アカウントを一元的に管理できる仕組みを導入し、統合管理しています。また、アクセスした記録を残すことでトレーサビリティ(いつ、どこで、誰が扱ったのか分かること)を確保しています。

外部からの不正アクセス対策

DeNAグループでは、攻撃シナリオを踏まえた不正アクセス対策を導入しています。業務上不要な通信の制御、通信の監視・分析、脆弱性対応、セキュアコーディング、及びデータの項目単位での暗号化など、多層防御を実施することで、リスクを低減しています。特に脆弱性対応、暗号化については、内製化しており、事業サービスの特性に合わせて、より高いセキュリティレベルを実現しています。

脆弱性管理

DeNAグループでは、提供するサービスの脆弱性※に対して適切に対処することも重要だと考えています。DeNAグループでは社内のセキュリティエンジニアが知見を持ち、脆弱性診断を実施できる体制を持っているため、自社に即した深度ある診断を必要なタイミングで速やかに行うことができます。

診断ツールも自ら開発し、診断の質を常に向上させています。また、DeNAグループ以外の企業からも脆弱性診断のご相談を受けることもあります。特にスマホアプリに対する脆弱性診断やハッキングからの防衛は発展途上の分野ですが、DeNAのセキュリティエンジニア部隊は世の中の常識に囚われることなく診断技術や防御機能を自社開発して事業のセキュリティレベルを向上させています。

また、それらの研究・開発過程で出来上がった診断ツール等をオープンソースとして公開し誰もが利用できるようにすることで、業界全体のセキュリティレベル向上にも貢献しています。
※脆弱性
プログラムの不具合や設計上の不備によって発生する、ソフトウェアのセキュリティ上の欠陥。

クラウド設定の自動管理

DeNAグループでは、クラウド技術を活用してサービスを開発・運営しています。

クラウドサービスでは設定ミスが情報漏えい等を引き起こす恐れがあります。そこで、主要なクラウドサービスについては、それぞれの具体的な設定手順を定めたガイドラインを作成し、エンジニア等に周知していますが、人が設定するためにどうしてもミスは発生します。よって、設定値を毎日、自動的に監視し、ミスがあれば通知する仕組みを自ら開発することで、サービスの品質を高めています。

セキュリティ業界への貢献

情報発信・業界への啓発

DeNA CERTの大切な活動として、セキュリティ業界への貢献、外部との情報交換活動があります。セキュリティ対策はDeNAグループだけの問題ではなく、IT化していく社会全体で取り組む必要があります。DeNAグループで培われたナレッジは、社外のコミュニティにも提供しています。また、セキュリティの研究・開発で出来上がった診断ツール等をオープンソースとして公開し誰もが利用できるようにすることで、業界全体のセキュリティレベル向上にも貢献しています。

日本シーサート協議会
幹事会員として、他組織のセキュリティ担当者を繋ぎ、問題を解決する場を提供しています。これらの活動を通じ、当社自身も同業他社、他業種の様々なCSIRTと利害関係を超えてセキュリティに関する情報交換、相互協力を行い、社内外のセキュリティ向上に役立てています。

セキュリティキャンプ協議会
会員企業として、若年層の優秀なセキュリティ人材の発掘と育成を目標とした「セキュリティ・キャンプ」の復旧、運営に貢献しています。

サイバー防災
インターネット事業会社と通信事業会社によるインターネット上の防災意識の啓発を目的とした取り組みに参加しています。わかりやすい啓発コンテンツを提供し、インターネット上の安心安全な使い方を学ぶことに貢献しています。

上記以外においても、技術活動、人材育成、啓発活動など自社で培ったノウハウを、外部のセキュリティ関係者、雑誌・セミナー等で積極的に発信しています。

ツールのオープンソース化

当社では、脆弱性対応に必要なツールを内製化していますが、その一部をオープンソース化しています。オープンソース化によってセキュリティ業界への貢献も図っています。

スマホゲームのチート対策コンパイラ
Androidアプリなどにおいて、リバースエンジニアリング(仕様解析)を困難にすることで、改造/チートを防止する難読化ツール。
脆弱性診断ツール
万が一、通信の内容を不正に改ざんされた場合に、サーバ、または、クライアント側で異常(バグ/脆弱性)が発生しないかテストするツール。複数社にご利用いただいております。

DeNAグループ各社の取り組み

株式会社DeNAライフサイエンス

情報セキュリティマネジメントシステムの適合性評価制度であるISO/IEC 27001:2013(JIS Q27001:2014)(通称:ISMS)の認証を取得しています。

DeSCヘルスケア株式会社

プライバシーマーク(JIS Q15001:2017)の認証を取得しています。プライバシーマークとは、JIS Q 15001に適合した個人情報保護マネジメントシステムを整備している事業者を評価し、マークを付与する制度です。