情報セキュリティ

基本方針

DeNAグループでは、お客様からお預かりしている情報の適切な管理を経営上の重要課題と認識しています。展開するサービス及びDeNAグループ全体を含む社内システム等をセキュアに保ちながらお客様により良いサービスを提供するために、また万が一のインシデント発生時には適切な対応をスムーズに行えるように、代表取締役社長を委員長とする情報セキュリティ管理委員会にて基本方針となる「グループ情報セキュリティポリシー」を制定し、情報セキュリティをより強化するための実行組織としてDeNA CERT(※)を設立し、運営しています。

※CERTとは
企業や組織におけるコンピュータセキュリティに関する問題の対応を行う組織・枠組みを「サート (CERT=Computer Emergency Response Team)」または「シーサート(CSIRT=Computer Security Incident Response Team)」と呼びます。

DeNA CERTはDeNAグループの組織内CSIRTで、活動内容には次のようなものがあります。

  • 各種セキュリティに関する相談対応、社内コンサル
  • セキュリティポリシーやガイドライン・ルールの起案
  • インシデント発生時の取りまとめや対応支援
  • 自社サービスに対するセキュリティアセスメント
  • 啓発活動、セキュリティ人材の育成

体制

DeNAグループでは2003年に代表取締役社長を委員長とする個人情報管理委員会、2009年に情報セキュリティ管理委員会を設置し、お客様の情報や会社の機密情報を守るための方針を決め、情報セキュリティ管理に取り組んできました。
現在は、これら委員会のもとに、複数の部署から選出されたメンバーで構成されるDeNA CERTを構築し日々セキュリティ向上に取り組んでいます。
DeNA CERTは、セキュリティ部門、情報システム部門、法務部門、および経営企画部門など複数の部署からなる横断的なチームで構成されています。部署間で連携することで、様々なセキュリティに関する施策を実行したり、課題を解決することができるためです。
例えば、新しい業務ツールを導入する際は、セキュリティ要件を満たしているかをDeNA CERTがチェックしています。また、新規子会社を設立する際も、情報セキュリティにかかる規程の整備や体制の構築を、DeNA CERTがサポートしています。
更には、各部署・子会社から寄せられる相談やインシデント報告に対応するだけでなく、そこから学習し、グループ全体に効果のあるセキュリティ施策を検討し実施しています。
各部署・子会社からのセキュリティ相談や課題検討などは、相談窓口を設置し、DeNA CERTのメンバーで協力して解決を図っています。情報セキュリティ管理委員会から権限を委譲された範囲を超える重要な事案については、当該委員会に対応策を附議し、会社としての方針を決定した上で解決を図っています。
DeNA CERTの大切な活動として、外部との情報交換活動もあります。一例として、当社は日本シーサート協議会の幹事会員として、他組織のセキュリティ担当者を繋ぎ、連携して問題を解決する場を提供しています。これらの活動を通じ、当社自身もまた同業他社、他業種の様々なCSIRTと利害関係を超えてセキュリティに関する情報交換、相互協力などを行い、社内、社外のセキュリティ向上に役立てています。

セキュリティ向上に対する取り組み

顧客情報の保護の取り組み

個人情報管理委員会

DeNAグループは、サービスの提供にあたり、会員情報等の個人情報を取得し利用しているため、「個人情報の保護に関する法律」が定める個人情報取扱事業者としての義務が課されております。個人情報については、代表取締役社長を委員長とする「個人情報管理委員会」のもと、個人情報管理規程及びガイドラインを制定し、個人情報の取り扱いに関する業務フローを定めて厳格に管理しております。

ポリシーと監査

サイバー攻撃から顧客情報や資産を保護するためはセキュアなシステムを構築・運用することと、役職員がシステムや情報を取り扱う際に正しい方法・手順で行うことが不可欠です。DeNAグループではシステム構築・運用や役職員の情報取り扱いに関するポリシーを定めています。
また、常に進化するサイバー攻撃やテクノロジーの調査・研究を通じて新たな脅威を認識し、それらをセキュリティポリシーにフィードバックする取り組みを行なっています。
セキュリティポリシーの策定だけでなくそれらが遵守されているかを確認し、課題があれば是正するための取り組みとしてセキュリティ監査を実施しています。セキュリティ監査で発見された課題についてはリスクの大きさに応じて情報セキュリティ管理委員会や経営会議にエスカレーションし、経営陣も巻き込んで対応に関する意思決定をするとともに、確実に対応が行われるように進捗管理を行なっております。

人材育成

ITを利用した高品質なサービスを提供するためには、安全でかつ安心して利用できるシステムの実現が重要な課題です。現在、情報セキュリティに関する脅威が多様化・高度化しており、これに対応するためのセキュリティ人材の育成の必要性も指摘されています。DeNAグループでは、セキュリティ人材の確保を重要課題とし、社内外でセキュリティ人材を育成しています。

  • セキュリティ・キャンプ DeNAグループは、2016年より一般社団法人セキュリティ・キャンプ協議会の会員となりました。セキュリティ・キャンプ協議会は、若年層の優秀なセキュリティ人材の早期発掘と育成を目標とした「セキュリティ・キャンプ」を実施し、その全国への普及拡大を目的としています。DeNAも会員企業として、セキュリティ人材の育成への貢献を図っています。
  • 社内でのセキュリティ人材の育成 DeNAグループでは、安全・安心なサービスを提供するため、社内でも情報セキュリティに関する調査・技術検証を独自に行い、セキュリティ人材の育成に注力しています。
    また、調査・技術検証を行う中で得られた知見によって、世の中の製品の脆弱性を、IPA(独立行政法人 情報処理推進機構)を通じて開発者に報告しています。

教育・啓発

私たちDeNAグループは、お客様の大事な情報をお預かりしています。従業員一人ひとりがセキュリティに関するルールをしっかり守り、十分な配慮をして業務ができるよう、入社時の講義や研修に加え、継続的に実施するeラーニングなど、従業員教育にも力を入れています。また、定期的にセキュリティに関する最新情報を従業員向けに配信することも積極的に行っています。
社内だけでなく、コンテンツプロバイダーとしてはインターネット全体のセキュリティ向上も大切です。DeNAグループが提供するさまざまなサイト上でお客様向けにも注意喚起をするなど啓発活動を行っています。

情報発信

技術活動、人材育成、啓発など自社で培ったノウハウを、外部のセキュリティ関係者や雑誌・セミナー等で積極的に発信しています。DeNAグループだけではなく、社会全体のセキュリティレベルが向上することに貢献しようと日々努力を続けています。

DeNAグループ各社での取り組み

DeNAの子会社である株式会社DeNAライフサイエンスでは、情報セキュリティマネジメントシステムの適合性評価制度であるISO/IEC 27001:2013(JIS Q27001:2014)(通称:ISMS)の認証を取得しています。
また、DeNAの子会社であるDeSCヘルスケア株式会社は、プライバシーマーク(JIS Q15001:2017)の認証を取得しています。プライバシーマークとは、JIS Q 15001に適合した個人情報保護マネジメントシステムを整備している事業者を評価し、マークを付与する制度です。