情報セキュリティ

基本方針

DeNAグループでは、世の中にデライトを届けるため、インターネットやAIを活用して様々なサービスを提供しています。しかしこれらのサービスは特性上、サイバー攻撃やプライバシー侵害に関する脅威に晒されていることから、当社では「お客様からお預かりしている情報の適切な保護」ならびに「提供しているサービスおよび社内システムをセキュアに保つ」ことを情報セキュリティに係る基本方針として掲げ、安心かつ安全なサービスの提供に取り組んでいます。

体制

DeNAグループでは2003年に代表取締役社長を委員長とする個人情報管理委員会、2009年に情報セキュリティ管理委員会を設置し、経営陣、リスク管理部門長、およびセキュリティ部門長を委員とする体制にてお客様の情報や会社の機密情報を守るための方針「グループ情報セキュリティポリシー」、「個人情報管理ガイドライン」等を定め、情報セキュリティ管理に取り組んできました。
現在は、これら委員会の方針を推進するために情報セキュリティ管理統括者を任命し、かつ複数の部署から選出されたメンバーで構成されるDeNA CERT(※)を中心に日々セキュリティ向上に取り組んでいます。
DeNA CERTは、セキュリティ部門、情報システム部門、法務部門、および経営企画部門など複数の部署からなる横断的なチームで構成されています。部署間で連携することで、セキュリティに関する様々な施策を横断的に実行したり、本質的な課題解決を図ることが可能になります。
例えば、新しいサービスをお客様に提供する場合は、個人情報保護法をはじめとした各種法令に準じていることや、サービスにセキュリティ上の欠陥がないことをDeNA CERTがチェックしています。特に海外のお客様にサービスを提供する場合は、GDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)をはじめ、サービス提供国のセキュリティに係る関連法令を順守するよう対応しています。各部署・子会社からのセキュリティ相談や課題検討などは、相談窓口を設置し、DeNA CERTのメンバーで協力して解決を図っています。対応した結果はナレッジとして蓄積し、グループ全体に効果のあるセキュリティ施策の場合は、全社に展開しています。ただし、情報セキュリティ管理委員会から権限を委譲された範囲を超える重要な事案については、当該委員会に対応策を附議し、会社としての方針を決定した上で解決を図っています。
DeNA CERTの大切な活動として、外部との情報交換活動もあります。一例として、当社は日本シーサート協議会の幹事会員として、他組織のセキュリティ担当者を繋ぎ、連携して問題を解決する場を提供しています。これらの活動を通じ、当社自身もまた同業他社、他業種の様々なCSIRTと利害関係を超えてセキュリティに関する情報交換、相互協力などを行い、社内、社外のセキュリティ向上に役立てています。

DeNAグループ情報セキュリティ管理体制

※CERTとは
企業や組織におけるコンピュータセキュリティに関する問題の対応を行う組織・枠組みを「サート(CERT=Computer Emergency Response Team)」または「シーサート(CSIRT=Computer Security Incident Response Team)」と呼びます。

セキュリティ向上に対する取り組み

顧客情報の保護の取り組み

個人情報管理委員会

DeNAグループは、サービスの提供にあたり、会員情報等の個人情報を取得し利用しているため、「個人情報の保護に関する法律」が定める個人情報取扱事業者としての義務が課されております。個人情報については、代表取締役社長を委員長とする「個人情報管理委員会」のもと、個人情報管理規程及びガイドラインを制定し、個人情報の取り扱いに関する業務フローを定めて厳格に管理しております。

ポリシーと監査

サイバー攻撃から顧客情報や資産を保護するためはセキュアなシステムを構築・運用することと、役職員がシステムや情報を取り扱う際に正しい方法・手順で行うことが不可欠です。DeNAグループではシステム構築・運用や役職員の情報取り扱いに関するポリシーを定めています。また、常に進化するサイバー攻撃やテクノロジーの調査・研究を通じて新たな脅威を認識し、それらをセキュリティポリシーにフィードバックする取り組みを行なっています。

セキュリティポリシーの策定だけでなくそれらが遵守されているかを確認し、課題があれば是正するための取り組みとしてセキュリティ監査を実施しています。セキュリティ監査で発見された課題についてはリスクの大きさに応じて情報セキュリティ管理委員会や経営会議にエスカレーションし、経営陣も巻き込んで対応に関する意思決定をするとともに、確実に対応が行われるように進捗管理を行なっております。

専門家による脆弱性対応

DeNAグループではゲーム、ネットサービスおよびヘルスケアなど事業を幅広く展開していることから、お客様にご提供するサービスも様々です。これらのサービスの利便性を確保しつつ、安心かつ安全にお客様にデライトを感じていただくためには、適時適切に脆弱性を発見し、修正することが重要です。そこで当社ではアプリケーション診断、ネットワーク診断、ペネトレーションテストなどの脆弱性診断、およびサービスを構成するソフトウェアのパッチ管理の仕組み等を内製化しています。

特に脆弱性診断では、自社のサービス特性を理解したセキュリティの専門家が診断することで、深度ある診断を必要なタイミングで速やかに行うことができます。診断ツールも自ら開発し、診断の質を常に向上させています

また、脆弱性診断ツールのOSS化も始めています。OSS化によって、セキュリティ業界への貢献も図っています。(PacketProxy

人材育成

ITを利用した高品質なサービスを提供するためには、安全でかつ安心して利用できるシステムの実現が重要な課題です。現在、情報セキュリティに関する脅威が多様化・高度化しており、これに対応するためのセキュリティ人材の育成の必要性も指摘されています。DeNAグループでは、セキュリティ人材の確保を重要課題とし、社内外でセキュリティ人材を育成しています。

  • セキュリティ・キャンプ DeNAグループは、2016年より一般社団法人セキュリティ・キャンプ協議会の会員となりました。セキュリティ・キャンプ協議会は、若年層の優秀なセキュリティ人材の早期発掘と育成を目標とした「セキュリティ・キャンプ」を実施し、その全国への普及拡大を目的としています。DeNAも会員企業として、セキュリティ人材の育成への貢献を図っています。
  • 社内でのセキュリティ人材の育成 DeNAグループでは、安全・安心なサービスを提供するため、社内でも情報セキュリティに関する調査・技術検証を独自に行い、セキュリティ人材の育成に注力しています。
    また、調査・技術検証を行う中で得られた知見によって、世の中の製品の脆弱性を、IPA(独立行政法人 情報処理推進機構)を通じて開発者に報告しています。

教育・啓発

私たちDeNAグループは、お客様の大事な情報をお預かりしています。従業員一人ひとりがセキュリティに関するルールをしっかり守り、十分な配慮をして業務ができるよう、入社時の講義や研修に加え、継続的に実施するeラーニングなど、従業員教育にも力を入れています。また、定期的にセキュリティに関する最新情報を従業員向けに配信することも積極的に行っています。

社内だけでなく、コンテンツプロバイダーとしてはインターネット全体のセキュリティ向上も大切です。DeNAグループが提供するさまざまなサイト上でお客様向けにも注意喚起をするなど啓発活動を行っています。

情報セキュリティ関連研修

タイミング内容対象
入社時 情報セキュリティ研修

個人情報研修

エンジニア向けセキュリティ研修
すべての正社員と個人情報取り扱い担当者(協力企業スタッフを含む)

エンジニア(協力企業スタッフ含む)
年次 年次 情報セキュリティ研修

年次 個人情報研修

役職者向け情報セキュリティ研修

CERT向けインシデント対応ワークショップ
全従業員

全従業員

グループリーダー以上の役職者

DeNA CERT
四半期事業本部長向けセキュリティ情報共有会事業本部長、統括部長
適時 エンジニア向けインシデント対応ワークショップ

役職者向けインシデント対応ワークショップ
エンジニア

グループリーダー以上の役職者

情報発信

技術活動、人材育成、啓発など自社で培ったノウハウを、外部のセキュリティ関係者や雑誌・セミナー等で積極的に発信しています。DeNAグループだけではなく、社会全体のセキュリティレベルが向上することに貢献しようと日々努力を続けています。

DeNAグループ各社での取り組み

DeNAの子会社である株式会社DeNAライフサイエンスでは、情報セキュリティマネジメントシステムの適合性評価制度であるISO/IEC 27001:2013(JIS Q27001:2014)(通称:ISMS)の認証を取得しています。

また、DeNAの子会社であるDeSCヘルスケア株式会社は、プライバシーマーク(JIS Q15001:2017)の認証を取得しています。プライバシーマークとは、JIS Q 15001に適合した個人情報保護マネジメントシステムを整備している事業者を評価し、マークを付与する制度です。