情報セキュリティ

基本方針

DeNAグループでは、一人ひとりに想像を超えるデライトを届けるため、インターネットやAIを活用して様々なサービスを提供しています。しかしこれらのサービスは特性上、サイバー攻撃やプライバシー侵害に関する脅威に晒されていることから、当社では「お客様からお預かりしている情報の適切な保護」ならびに「提供しているサービスおよび社内システムをセキュアに保つ」ことを情報セキュリティに係る基本方針として掲げ、安心かつ安全なサービスの提供に取り組んでいます。

体制

DeNAグループでは代表取締役社長を委員長とする個人情報管理委員会、情報セキュリティ管理委員会を設置し、グループ横断的な個人情報および情報セキュリティ管理体制を整備し、運営しています。個人情報管理委員会/情報セキュリティ管理委員会で議論した事項は定期的に経営会議に報告し、経営上重要な事項は経営会議においても議論しており、特に重要性の高い事項については取締役会にも報告を行っています。
また、DeNAグループの情報セキュリティ管理体制については、セキュリティ部門による点検、内部監査部門による監査にて実効性を確認しています。

※CERTとは
企業や組織におけるコンピュータセキュリティに関する問題の対応を行う組織・枠組みを「サート(CERT=Computer Emergency Response Team)」または「シーサート(CSIRT=Computer Security Incident Response Team)」と呼びます。

セキュリティ向上に対する取り組み

ポリシーと監査

サイバー攻撃から顧客情報や資産を保護するためはセキュアなシステムを構築・運用すること、従業者がシステムや情報を正しく取り扱うことが不可欠です。DeNAグループではシステムの構築・運用や情報の取り扱いに関するグループ共通のポリシーとなる、「DeNAグループ情報セキュリティポリシー(GISP)」を定めています。合わせて情報の適切な取得・管理・廃棄等の際に実務上順守すべき事項をまとめた、「グループ情報管理スタンダード」、アクセス制御・認証関連などシステム面での対応について具体的に規定した「グループ情報システムスタンダード」など、各種ポリシー・ガイドラインを制定しています。加えて、これらのポリシーを解説するとともに、実務の事例を踏まえて解説した、セキュリティハンドブックを発行し、従業員の理解向上に努めています。

また、常に進化するサイバー攻撃やテクノロジーの調査・研究を通じて新たな脅威を認識し、それらをセキュリティポリシーにフィードバックする取り組みを行なっています。

セキュリティポリシーの策定だけでなくそれらが遵守されているかを確認し、課題があれば是正するための取り組みとしてセキュリティ監査を実施しています。セキュリティ監査で発見された課題についてはリスクの大きさに応じて情報セキュリティ管理委員会や経営会議にエスカレーションし、経営陣も巻き込んで対応に関する意思決定をするとともに、確実に対応が行われるように進捗管理を行なっております。

DeNA CERT|セキュリティ課題の解決チーム

情報セキュリティ管理委員会の方針に従い、情報セキュリティ管理業務を統括する者として、同委員会から情報セキュリティ管理統括者が任命されています。情報セキュリティ管理統括者は、セキュリティ部門、情報システム部門、法務部門、および経営企画部門など複数の部署からなる横断的なチームで構成されたDeNA CERTをリードし、日々のセキュリティ対策の向上に取り組んでいます。

DeNA CERTは平常時と有事の課題に対処します。

平常時では、例えば新しいサービスをお客様に提供する場合は、個人情報保護法をはじめとした各種法令に準じていることや、サービスにセキュリティ上の欠陥がないことをチェックしています。特に海外のお客様にサービスを提供する場合は、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)をはじめ、サービス提供国のセキュリティに係る関連法令を遵守するよう対応しています。各部署・子会社からのセキュリティ相談や課題検討などは、相談窓口を設置し、DeNA CERTのメンバーで協力して解決を図っています。対応した結果はナレッジとして蓄積し、グループ全体に効果のあるセキュリティ施策の場合は、全社に展開しています。ただし、情報セキュリティ管理委員会から権限を委譲された範囲を超える重要な事案については、当該委員会に対応策を附議し、会社としての方針を決定した上で解決を図っています。

有事においては、インシデント対応に注力します。万が一、お客様の個人情報の漏えいなどのインシデントが発生した場合は、あらかじめ定めたインシデント対応・復旧手順に従い、事業部門と協力し、お客様への影響を最小限にすることを第一に、復旧までの対応にあたります。

DeNA CERTの大切な活動として、外部との情報交換活動もあります。一例として、当社は日本シーサート協議会の幹事会員として、他組織のセキュリティ担当者を繋ぎ、連携して問題を解決する場を提供しています。これらの活動を通じ、当社自身もまた同業他社、他業種の様々なCSIRTと利害関係を超えてセキュリティに関する情報交換、相互協力などを行い、社内、社外のセキュリティ向上に役立てています。

安心・安全なサービスの提供

DeNAグループではゲーム、ネットサービスおよびヘルスケアなど事業を幅広く展開していることから、お客様にご提供するサービスも様々です。これらのサービスの利便性を確保しつつ、安心かつ安全にお客様にデライトを感じていただくためには、セキュリティを確保したサービス開発、および適時適切に脆弱性を発見し、修正することが重要です。そこで当社ではエンジニアを対象としたセキュリティ研修、およびサービスに対するアプリケーション診断、ネットワーク診断、ペネトレーションテストなどの脆弱性診断、およびサービスを構成するソフトウェアのパッチ管理の仕組み等を内製化しています。

脆弱性診断では、自社のサービス特性を理解したセキュリティの専門家が診断することで、深度ある診断を必要なタイミングで速やかに行うことができます。診断ツールも自ら開発し、診断の質を常に向上させています。

また、当社ではクラウド技術を活用してサービスを開発しています。クラウドサービスでは設定の不備が情報漏えい等のインシデントを引き起こす恐れがあるため、主要なクラウドサービスについては設定値を自動的に監査する仕組みを開発し、サービスの質を維持しています。

一方、脆弱性診断ツールのOSS化も始めています。OSS化によって、セキュリティ業界への貢献も図っています。(PacketProxy

データ・セキュリティ

当社では、お客様からお預かりしたデータも含め、データを安心・安全に管理するために、すべての情報に機密度区分を設定し、機密度に応じて管理しています。お客様個人を特定できる情報は高度な暗号化を施した上で、アクセス権限を必要最小限に限定しています。アクセス制限については、アカウントを一元的に管理できる仕組みを導入し、統合管理しています。また、アクセスした記録を残すことでトレーサビリティを確保しています。

個人情報については、台帳にて一元的に管理し、取得から消去に至るまでの取り扱いを可視化することで、必要最小限の情報のみを取得し、利用目的を達成した情報の消去に努めています。

外部からの不審なアクセスや通信についても、業務上不要な通信は予めブロックの上、適時監視する体制を整備の上、運用しています。

物理セキュリティ

当社では複数の拠点を有していますが、セキュリティカードおよび監視カメラによって入退室を管理しています。特に重要な情報を取り扱う執務室においては、当該業務専用の執務室を準備し、執務室の全景を記録する監視カメラの導入、関与する者のみ入室権限を付与するなど、より厳格な入退室管理を実施しています。

セキュリティ人材の育成

ITを利用した高品質なサービスを提供するためには、安全でかつ安心して利用できるシステムの実現が重要な課題です。現在、情報セキュリティに関する脅威が多様化・高度化しており、これに対応するためのセキュリティ人材の育成の必要性も指摘されています。DeNAグループでは、セキュリティ人材の確保を重要課題とし、社内外でセキュリティ人材を育成しています。

  • セキュリティ・キャンプ DeNAグループは、2016年より一般社団法人セキュリティ・キャンプ協議会の会員となりました。セキュリティ・キャンプ協議会は、若年層の優秀なセキュリティ人材の早期発掘と育成を目標とした「セキュリティ・キャンプ」を実施し、その全国への普及拡大を目的としています。DeNAも会員企業として、セキュリティ人材の育成への貢献を図っています。
  • 社内でのセキュリティ人材の育成 DeNAグループでは、安全・安心なサービスを提供するため、社内でも情報セキュリティに関する調査・技術検証を独自に行い、セキュリティ人材の育成に注力しています。
    また、調査・技術検証を行う中で得られた知見によって、世の中の製品の脆弱性を、IPA(独立行政法人 情報処理推進機構)を通じて開発者に報告しています。

教育・啓発

私たちDeNAグループは、お客様の大事な情報をお預かりしています。従業者一人ひとりがセキュリティに関するルールをしっかり守り、十分な配慮をして業務ができるよう、DeNAグループの全従業者(派遣、協力会社社員等を含む)を対象に個人情報および情報セキュリティに係る研修を実施しています。

当社ではテレワークを活用した働き方を推進しています。テレワークにおいても情報セキュリティを確保するための技術的な対策等を施しておりますが、従業者の意識の向上も重要であることから、手引きを作成し、従業者に適切な情報管理を周知・徹底しています。

社内だけでなく、コンテンツプロバイダーとしてはインターネット全体のセキュリティ向上も大切です。DeNAグループが提供するさまざまなサイト上でお客様向けにも注意喚起をするなど啓発活動を行っています。

情報セキュリティ関連研修

タイミング内容対象
入社時
(月次)
情報セキュリティ研修

個人情報研修
すべての新入社員(派遣、協力会社を含む)
エンジニア向けセキュリティ研修 入社するすべてのエンジニア(派遣、協力会社を含む)
年次 情報セキュリティ研修

個人情報研修
すべての従業者(派遣、協力会社を含む)
役職者向け情報セキュリティ研修 すべての役職者
四半期事業本部長向けセキュリティ情報共有会事業本部長、統括部長
昇格時 役職者向け情報セキュリティ研修

役職者向けインシデント対応ワークショップ
新たに役職者に昇格した者

業務委託先の監督

当社では、お客様により良いサービスを提供するために、サービスの運営サポートなど、利用目的の達成に必要な範囲において、業務委託先に個人情報等の取り扱いを委託する場合があります。委託する場合、事前に業務委託先に当社のセキュリティ基準を示し、基準への準拠状況を確認します。また、準拠状況は継続して確認しています。

業務委託先が当社の情報システムにアクセスして業務を遂行する場合は、アクセスできる情報を必要最小限にとどめるなど技術的な措置を実行するとともに、必要な教育を受講いただいています。

情報発信

技術活動、人材育成、啓発など自社で培ったノウハウを、外部のセキュリティ関係者や雑誌・セミナー等で積極的に発信しています。DeNAグループだけではなく、社会全体のセキュリティレベルが向上することに貢献しようと日々努力を続けています。

DeNAグループ各社での取り組み

DeNAの子会社である株式会社DeNAライフサイエンスでは、情報セキュリティマネジメントシステムの適合性評価制度であるISO/IEC 27001:2013(JIS Q27001:2014)(通称:ISMS)の認証を取得しています。

また、DeNAの子会社であるDeSCヘルスケア株式会社は、プライバシーマーク(JIS Q15001:2017)の認証を取得しています。プライバシーマークとは、JIS Q 15001に適合した個人情報保護マネジメントシステムを整備している事業者を評価し、マークを付与する制度です。