情報セキュリティ

基本方針

DeNAグループでは、展開するサービス及びDeNAグループ全体を含む社内システム等をセキュアに保ちながらお客様により良いサービスを提供するために、また万が一のインシデント発生時には適切な対応をスムーズに行えるよう、情報セキュリティ管理にも力を入れています。基本方針となる「グループ情報セキュリティポリシー」を制定し、情報セキュリティをより強化するためDeNA CERT(※)を設立し、運営しています。

※CERTとは
企業や組織におけるコンピュータセキュリティに関する問題の対応を行う組織・枠組みを「サート (CERT=Computer Emergency Response Team)」または「シーサート(CSIRT=Computer Security Incident Response Team)」と呼びます。

DeNA CERTはDeNAグループの組織内CSIRTで、活動内容には次のようなものがあります。

  • 各種セキュリティに関する相談対応、社内コンサル
  • セキュリティポリシーやガイドライン・ルールの起案
  • インシデント発生時の取りまとめや対応支援
  • 自社サービスに対するセキュリティアセスメント
  • 啓発活動、セキュリティ人材の育成

体制

DeNAグループでは2003年に代表取締役社長を委員長とする個人情報管理委員会、2009年に情報セキュリティ管理委員会を設置し、お客様の情報や会社の機密情報を守るための方針を決め、情報セキュリティ管理に取り組んできました。
現在は、これら委員会のもとに、複数の部署から選出されたメンバーで構成されるDeNA CERTを構築し日々セキュリティ向上に取り組んでいます。
DeNA CERTのメンバーは、セキュリティ専門メンバーと情報システム系部門・コンプライアンス・リスク管理部門など複数の部署からなる横断的なチームで構成されています。部署間で連携することで、様々なセキュリティに関する施策を実行したり、課題を解決することができるためです。
例えば、新しい業務ツールを導入する際は、セキュリティ要件を満たしているかのチェックを情報システム部門がサポートしています。また、新規子会社設立時の情報セキュリティにかかる規程整備や体制構築を、コンプライアンス・リスク管理部門とセキュリティ部門と共同でサポートしています。
更には、各部署・子会社から寄せられる相談やインシデント報告に対応するだけでなく、そこから学習し、グループ全体に効果のあるセキュリティ施策を検討し実施しています。
各部署・子会社からのセキュリティ相談や課題検討などは、メールで対応するとともに、週2回のミーティングでも話し合って解決を図っています。特に重要な事案については、経営陣もメンバーとして加わっている毎月開催されている情報セキュリティ管理委員会に報告し、会社としての大方針を定めることもあります。
DeNA CERTの大切な活動として、外部との情報交換活動もあります。DeNA CERTを構築して連絡先を明確にしておくことで、他社様からセキュリティに関する連絡や相談を受けやすくなります。また同業他社、他業種の様々な他組織CSIRTとも利害関係を超えてセキュリティに関する情報交換、相互協力などを行うことで、社内、社外のセキュリティ向上に役立てることができます。

セキュリティ向上に対する取り組み

顧客情報の保護の取り組み

個人情報管理委員会

DeNAグループは、サービスの提供にあたり、会員情報やクレジットカード情報等の個人情報を取得し利用しているため、「個人情報の保護に関する法律」が定める個人情報取扱事業者としての義務が課されております。個人情報については、社長を委員長とする「個人情報管理委員会」のもと、個人情報管理規程及びガイドラインを制定し、個人情報の取り扱いに関する業務フローを定めて厳格に管理しております。

ポリシーと監査

サイバー攻撃から顧客情報や資産を保護するためはセキュアなシステムを構築・運用することと、役職員がシステムや情報を取り扱う際に正しい方法・手順で行うことが不可欠です。DeNAグループではシステム構築・運用や役職員の情報取り扱いに関するポリシーを定めています。また、常に進化するサイバー攻撃やテクノロジーの調査・研究を通じて新たな脅威を認識し、それらをセキュリティポリシーにフィードバックする取り組みを行なっています。
セキュリティポリシーの策定だけでなくそれらが遵守されているかを確認し、課題があれば是正するための取り組みとしてセキュリティ監査を実施しています。セキュリティ監査で発見された課題についてはリスクの大きさに応じて情報セキュリティ管理委員会や経営会議にエスカレーションし、経営陣も巻き込んで対応に関する意思決定をするとともに、確実に対応が行われるように進捗管理を行なっております。

人材育成

ITを利用した高品質なサービスを提供するためには、安全でかつ安心して利用できるシステムの実現が重要な課題です。現在、情報セキュリティに関する脅威が多様化・高度化しており、これに対応するためのセキュリティ人材の育成の必要性も指摘されています。DeNAグループでは、セキュリティ人材の確保を重要課題とし、社内外でセキュリティ人材を育成しています。

  • セキュリティ・キャンプ DeNAグループは、2016年よりセキュリティ・キャンプ実施協議会 (現:一般社団法人セキュリティ・キャンプ協議会) の会員となりました。セキュリティ・キャンプ協議会は、若年層の優秀なセキュリティ人材の早期発掘と育成を目標とした「セキュリティ・キャンプ」を実施し、その全国への普及拡大を目的としています。DeNAも会員企業として、セキュリティ人材の育成への貢献を図っています。
  • 社内でのセキュリティ人材の育成 DeNAグループでは、安全・安心なサービスを提供するため、社内でも情報セキュリティに関する調査・技術検証を独自に行い、セキュリティ人材の育成に注力しています。
    また、調査・技術検証を行う中で得られた知見によって、世の中の製品の脆弱性を、IPA(独立行政法人 情報処理推進機構)を通じて開発者に報告しています。

教育・啓発

私たちDeNAグループは、お客様の大事な情報をお預かりしています。従業員一人ひとりがセキュリティに関するルールをしっかり守り、十分な配慮をして業務ができるよう、入社時の講義や研修に加え、継続的に実施するeラーニングなど、従業員教育にも力を入れています。また、定期的にセキュリティに関する最新情報を従業員向けに配信することも積極的に行っています。
社内だけでなく、コンテンツプロバイダーとしてはインターネット全体のセキュリティ向上も大切です。DeNAグループが提供するさまざまなサイト上でお客様向けにも注意喚起をするなど啓発活動を行っています。

情報発信

技術活動、人材育成、啓発など自社で培ったノウハウを、外部のセキュリティ関係者や雑誌・セミナー等で積極的に発信しています。DeNAグループだけではなく、社会全体のセキュリティレベルが向上することに貢献しようと日々努力を続けています。

DeNAグループ各社での取り組み

DeNAの子会社であるDeNAライフサイエンスおよびペイジェントでは、情報セキュリティマネジメントシステムの適合性評価制度であるISO/IEC 27001:2005(JIS Q 27001:2006)(通称:ISMS)を認証取得しています。ISMSとは、適切な情報セキュリティマネジメントシステムが策定・運用されているかを第三者審査機関によって審査承認される国際認証です。