SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合: まるちゃんの情報セキュリティ気まぐれ日記

April 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

2024.07.19

SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、今回は、中国企業についてちょっと紹介...

中国語名	英語名	日本名	wikipedia	Edgar	株価
阿里巴巴	Alibaba	アリババ	wikipedia	Edgar	NYSE	SEHK
中兴通讯	ZTE	中興通訊	wikipedia		SZSE	SEHK
新浪	Sina Corporation	新浪	wikipedia	Edgar	Nasdaq
搜狐	Sohu	捜狐	wikipedia	Edgar	Nasdaq
网易	NetEase	網易	wikipedia	Edgar	Nasdaq

20-FのItem 16K. Cybersecurityに

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた（または、与える可能性が合理的に高いか）を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
- どの経営委員会又は役職が負うのか、
- その担当者や委員が有する関連する専門知識
その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

詳細のルールは[PDF] SEC 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

開示内容...

・阿里巴巴 (Alibaba)

・2024.05.23 20-F (Annual report - foreign issuer)

ITEM 16K. CYBERSECURITY	項目 16K. サイバーセキュリティ
Cybersecurity risk management is an important part of our overall risk management efforts. We, including our six major business groups and various other businesses, maintain a comprehensive process for identifying, assessing and managing material risks from cybersecurity threats. In addition to the cybersecurity risk management framework designed by our holding company and implemented across our businesses, certain of our major business groups have also formulated more detailed cybersecurity risk management measures tailored to their operations.	サイバーセキュリティ・リスク・マネジメントは、当社のリスクマネジメント全般の重要な一部である。当グループは、6つの主要事業グループおよびその他のさまざまな事業を含め、サイバーセキュリティの脅威から生じる重大なリスクを特定、アセスメント、マネジメントするための包括的なプロセスを維持している。持株会社によって設計され、当グループの事業全体で実施されているサイバーセキュリティ・リスクマネジメントの枠組みに加えて、当グループの一部の主要事業グループは、それぞれの事業に合わせて、より詳細なサイバーセキュリティ・リスクマネジメント対策を策定している。
The Compliance and Risk Committee of our board of directors is responsible for overseeing our overall compliance and risk management framework, including cybersecurity risk management. Our risk management committee, consisting of senior management team members across legal, finance, security, technology and other departments, oversees the implementation and operation of our compliance and risk management policies and procedures and review risk assessment reports. Among the risk management committee members, the head of security department has over 10 years of experience in the fields of data security and cybersecurity. Our risk management committee reports to the Compliance and Risk Committee on material regulatory developments, risk management measures and risk incidents, including those related to cybersecurity. In case a significant cybersecurity incident occurs, our risk management committee will review the information and issues involved, oversee the remedial procedures to be taken and report to the Compliance and Risk Committee as appropriate.	取締役会のコンプライアンス・リスク委員会は、サイバーセキュリティ・リスクマネジメントを含むコンプライアンスとリスクマネジメントの枠組み全体を監督する責任を負っている。当社のリスクマネジメント委員会は、法務、財務、セキュリティ、テクノロジー、その他の各部門の上級管理職で構成され、当社のコンプライアンスとリスクマネジメントの方針と手続きの実施と運用を監督し、リスクアセスメント報告書をレビューする。リスクマネジメント委員会のメンバーのうち、セキュリティ部門の責任者はデータセキュリティとサイバーセキュリティの分野で10年以上の経験を有している。当社のリスクマネジメント委員会は、サイバーセキュリティに関連するものを含め、重要な規制の動向、リスクマネジメント対策、リスクインシデントについてコンプライアンス・リスク委員会に報告する。重大なサイバーセキュリティインシデントが発生した場合、当社のリスクマネジメント委員会は、関連する情報と問題を検討し、講じるべき改善手順を監督し、必要に応じてコンプライアンス・リスク委員会に報告する。
Led by our head of security department, our teams of dedicated cybersecurity, data security and technology professionals with extensive industry knowledge are responsible for detecting, tracking and remediating cybersecurity incidents, as well as assessing and mitigating cybersecurity threats, and reporting to the risk management committee as appropriate. As part of our cybersecurity risk management process, we regularly conduct application security assessments and vulnerability testings to prevent potential attacks and maintain a variety of incident response plans. In addition, we monitor industry trends on cybersecurity risks and may also obtain input on our system and network security from external intelligence teams and experts. We require all our employees to undertake data security training and compliance program annually and employees involved in app development and in the security department to take more specialized courses and obtain certification before product release. We operate mostly on our proprietary information systems, and in the few circumstances where we engage third-party service providers, we work closely with them to ensure their compliance with our cybersecurity standards.	当社のセキュリティ部門責任者を筆頭に、サイバーセキュリティ、データセキュリティ、テクノロジーの専門家で構成され、業界に精通したチームが、サイバーセキュリティ・インシデントの検知、追跡、是正、サイバーセキュリティ脅威のアセスメントと低減を担当し、必要に応じてリスクマネジメント委員会に報告する。サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は潜在的な攻撃を防ぐためにアプリケーション・セキュリティ・アセスメントと脆弱性テストを定期的に実施し、さまざまなインシデント対応計画を維持している。さらに、サイバーセキュリティ・リスクに関する業界の動向をモニターし、外部の情報チームや専門家から当社のシステムやネットワーク・セキュリティに関する意見を得ることもある。また、アプリ開発やセキュリティ部門に携わる従業員には、より専門的なコースを受講し、製品リリース前に認定を取得するよう求めている。また、サードパーティーのサービス・プロバイダと契約している数少ない状況においても、それらのプロバイダと緊密に連携し、当社のサイバーセキュリティ標準に準拠していることを確認している。
We are not faced with any risks from cybersecurity threat that have materially affected or are reasonably likely to materially affect us, including our business, results of operations, or financial condition. However, despite the cybersecurity risk management procedures and measures that we have implemented, we still face risks of security breaches and attacks against our systems and network which may adversely affect our operation and result in data loss and leakage. For more information, see “Item 3. Key Information—D. Risk Factors—Risks Related to Our Business and Industry— Security breaches and attacks against our systems and network, and any potentially resulting breach or failure to otherwise protect personal, confidential and proprietary information, could damage our reputation and negatively impact our business, as well as materially and adversely affect our financial condition and results of operations.”	当社は、当社の事業、経営成績または財政状態を含め、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティの脅威によるリスクに直面していない。しかしながら、当社が実施しているサイバーセキュリティ・リスクマネジメントの手順や対策にもかかわらず、当社のシステムやネットワークに対するセキュリティ侵害や攻撃のリスクに依然として直面しており、その結果、当社の経営に悪影響を及ぼし、データの損失や漏洩につながる可能性がある。詳細については、「項目3. 重要な情報-D. リスク要因-当社の事業および業界に関連するリスク-当社のネットワークと情報システムのセキュリティ侵害および攻撃、ならびにその結果として起こりうる個人情報、機密情報および専有情報の侵害または保護の不備は、当社の評判を傷つけ、当社の事業に悪影響を及ぼす可能性があるだけでなく、当社の財政状態および経営成績に重大かつ悪影響を及ぼす可能性がある。" を参照のこと。

・捜狐 (SOHU)

・2024.03.18 20-F (Annual report - foreign issuer)

ITEM 16K. CYBERSECURITY	項目16K. サイバーセキュリティ
Risk Management and Strategy	リスクマネジメントと戦略
We recognize the importance of safeguarding the confidentiality, integrity, and availability of our data and information systems, and have designed and maintained a comprehensive program for identifying, assessing, and managing material risks from cybersecurity threats, as that term is defined in Item 16K of Form 20-F. Our cybersecurity risk management program is composed of the following key elements:	当社はデータおよび情報システムの機密性、完全性、可用性を保護することの重要性を認識しており、Form 20-FのItem 16Kで定義されているサイバーセキュリティの脅威による重大なリスクを特定、アセスメント、管理するための包括的なプログラムを設計、維持している。当社のサイバーセキュリティ・リスクマネジメント・プログラムは、以下の主要要素で構成されている：
• Governance Structure. Our Board of Directors, supported by our Audit Committee, oversees our company’s overall risk management, including cybersecurity risks, and receives and reviews, on an as-needed basis, presentations and reports on material cybersecurity issues from our Chief Executive Officer and our Chief Financial Officer, who are designated as the individuals primarily responsible for overseeing the day-to-day operations of our cybersecurity risk management program.	- ガバナンス構造。当社の取締役会は、監査委員会の支援を受けて、サイバーセキュリティ・リスクを含む当社のリスクマネジメント全体を監督し、当社のサイバーセキュリティ・リスクマネジメント・プログラムの日常業務を監督する主な責任者として指定されている最高経営責任者（CEO）および最高財務責任者（CFO）から、重要なサイバーセキュリティ問題に関するプレゼンテーションと報告を必要に応じて受け取り、レビューする。
To support our Chief Executive Officer and our Chief Financial Officer in their risk management responsibilities for our Sohu segment, we have established two cross-departmental working groups, the Technology and Security Coordination Group (the “IT Coordination Group”) and the Personal Information Protection and Compliance Working Group (the “PI Working Group”). The IT Coordination Group, which is headed by two of our senior managers, is responsible for monitoring and managing risks related to our data and information systems relating to our Sohu segment, and reports to our Chief Executive Officer. The PI Protection Working Group, consisting of the heads of certain of our business divisions and of our in-house legal and Internal Audit teams, is responsible for monitoring and managing risks related to our collection, storage, and use of personal information that may arise in our Sohu segment, and reports to our Chief Financial Officer.	最高経営責任者（CEO）と最高財務責任者（CFO）の捜狐部門のリスクマネジメント責任をサポートするため、当社は部門横断的な2つのワーキンググループ、技術・セキュリティ調整グループ（以下「IT調整グループ」）と個人情報保護・コンプライアンスワーキンググループ（以下「PIワーキンググループ」）を設置した。人の上級管理職が率いるIT調整グループは、捜狐セグメントに関連するデータや情報システムに関するリスクの監視とマネジメントを担当し、最高経営責任者に報告する。個人情報保護ワーキンググループは、当社の一部のディビジョンの責任者、社内の法務チームおよび内部監査チームで構成され、当社の捜狐セグメントで発生する可能性のある個人情報の収集、保存、使用に関するリスクの監視および管理を担当し、当社の最高財務責任者に報告する。
For our Changyou segment, we have established a cybersecurity working group (the “Changyou Cybersecurity Group”) that is headed by Changyou’s Chief Technology Officer. The Changyou Cybersecurity Group is responsible for monitoring and managing cybersecurity risks relating to the Changyou segment, and reports, in coordination with Changyou’s Chief Executive Officer and our Internal Audit team, to our Chief Executive Officer and our Chief Financial Officer.	当社のChangyouセグメントについては、Changyouの最高技術責任者が率いるサイバーセキュリティ・ワーキンググループ（「Changyouサイバーセキュリティ・グループ」）を設置している。Changyouサイバーセキュリティ・グループは、Changyouセグメントに関連するサイバーセキュリティ・リスクのモニタリングとマネジメントを担当し、Changyouの最高経営責任者（CEO）および内部監査チームと連携して、当社の最高経営責任者（CEO）および最高財務責任者（CFO）に報告する。
• Internal Policies and Procedures. As part of our cybersecurity risk management program, our management, in coordination with our Board of Directors and our cybersecurity staff, including the IT Coordination Group, the PI Working Group, and the Changyou Cybersecurity Group, has developed and adopted a comprehensive set of internal policies, standards, and processes governing our cybersecurity functions, and regularly reviews and updates these policies, standards, and processes based on evolving regulatory requirements and industry standards and best practices.	・内部方針と手続きサイバーセキュリティ・リスク・マネジメント・プログラムの一環として,当社の経営陣は,当社の取締役会およびIT調整グループ,PIワーキング・グループ,Changyouサイバーセキュリティ・グループを含むサイバーセキュリティ・スタッフと連携して,当社のサイバーセキュリティ機能を管理する包括的な内部方針,標準,およびプロセスを策定・採用し,進化する規制要件や業界標準,ベストプラクティスに基づいて,これらの方針,標準,およびプロセスを定期的に見直し,更新している。
• Risk Identification, Assessment and Management.	・リスクの特定,アセスメント,マネジメント。
To identify potential cybersecurity threats and incidents, we use various tools and technologies, such as a traffic spectrometry detection system (or an “NIDS”), web application firewalls (or “WAFs”), host intrusion prevention systems (or “HIDSs”), honeypot systems, and terminal anti-virus software; perform penetration testing and vulnerability scanning of our information systems and applications on a regular basis; and take appropriate security measures, such as encryption, de-identification, and network segmentation, to ensure the safety of our sensitive business data and personal information.	潜在的なサイバーセキュリティの脅威とインシデントを検知するために、当社はトラフィックスペクトロメトリー検知システム（または「NIDS」）、ウェブアプリケーションファイアウォール（または「WAF」）、ホスト侵入防止システム（または「HIDS」）、ハニーポットシステム、端末アンチウイルスソフトウェアなど、さまざまなツールや技術を使用している；当社の情報システムとアプリケーションの侵入テストと脆弱性スキャンを定期的に実施する。当社の機密ビジネスデータと個人情報の安全を確保するため、暗号化、非識別化、ネットワークセグメンテーションなどの適切なセキュリティ対策を講じる。
As part of our dynamic response strategy, cybersecurity threats and incidents identified in our Sohu segment or our Changyou segment through our cybersecurity risk management program are first evaluated by the IT Coordination Group and/or the PI Working Group, or by the Changyou Cybersecurity Group, as the case may be, and are then classified in categories by security severity based on their actual or potential business and operational impact, and prioritized for timely remediation based on their classifications. Identified cybersecurity threats and incidents that meet our pre-established reporting thresholds are required to be timely reported to the Chief Executive Officer and the Chief Financial Officer, who may in turn report to the Board of Directors, if they deem it to be necessary.	当社のダイナミックな対応戦略の一環として、当社のサイバーセキュリティリスクマネジメントプログラムを通じて捜狐セグメントまたは常用セグメントで特定されたサイバーセキュリティの脅威とインシデントは、まずITコーディネーショングループおよび/またはPIワーキンググループ、または場合によっては常用サイバーセキュリティグループによって評価され、その後、実際のまたは潜在的なビジネスおよび業務への影響に基づき、セキュリティの重大度別にカテゴリー分類され、その分類に基づいてタイムリーな修復の優先順位が付けられる。識別されたサイバーセキュリティ上の脅威およびインシデントのうち、当社が事前に設定した報告基準を満たすものは、最高経営責任者および最高財務責任者に適時に報告することが義務付けられており、最高経営責任者および最高財務責任者は、必要と判断した場合、取締役会に報告することができる。
• Third-Party Risk Management. When determining the selection and oversight of third-party service providers, we gather information from candidates that are expected to share or receive data, have access to or integrate with our systems, and/or process our employee, business, or customer data, in order to help us evaluate potential risks associated with their security controls. Our contracts with third-party service providers generally require such service providers to, among other things, maintain security controls to protect our confidential information and data, notify us of material data breaches that may impact our data, and take remedial measures in a timely manner. We also conduct ongoing monitoring throughout the duration of our contracts, and re-assess continuing qualifications of each of our existing service providers, including the effectiveness of their internal controls, annually (or sooner at the time of contract renewal) or in the event of any identified cybersecurity incident or any significant changes to such service provider’s security controls.	・サードパーティリスク管理。サードパーティ・サービス・プロバイダの選定と監視を決定する際,当社は,データを共有または受領する,当社のシステムにアクセスまたは統合する,および/または当社の従業員,事業,顧客データを処理すると予想される候補者から情報を収集し,そのセキュリティ管理に関連する潜在的リスクの評価に役立てる。当社とサードパーティ・サービス・プロバイダとの契約では,一般的にサードパーティ・サービス・プロバイダに対し,当社の機密情報およびデータを保護するためのセキュリティ管理者を維持すること,当社のデータに影響を及ぼす可能性のある重大なデータ侵害が発生した場合は当社に通知すること,適時に改善措置を講じることなどを求めている。また,契約期間を通じて継続的なモニタリングを実施し,年1回(または契約更新時),または識別されたサイバーセキュリティインシデントが発生した場合,または当該サービスプロバイダーのセキュリティ管理に重大な変更があった場合に,内部統制の有効性を含め,既存の各サービスプロバイダーの継続的な資格を再評価している。
• Training. We have various cybersecurity education and training programs designed to promote awareness of, and reinforce, our information technology and security policies, standards, and practices among our employees in general and employees of certain business divisions that are particularly susceptible to cybersecurity threats.	・トレーニング当社は,当社の従業員全般,およびサイバーセキュリティの脅威の影響を特に受けやすい特定の事業部門の従業員の間で,当社の情報技術およびセキュリティの方針,標準,慣行に対する認識を促進し,これを強化することを目的としたさまざまなサイバーセキュリティ教育およびトレーニングプログラムを実施している。
• Continuous Review. We engage third-party professionals, on an as-needed basis, to perform assessments, and independent reviews of our security control procedures and their effectiveness. The Chief Financial Officer provides reports on the results of such third-party assessments and reviews to our Audit Committee at its regularly scheduled or special meetings.	・継続的レビュー。当社は,必要に応じてサードパーティの専門家にアセスメントを依頼し,当社のセキュリティ管理手順とその有効性について独立したレビューを実施している。最高財務責任者は,そのようなサードパーティによる評価とレビューの結果について,定期的または臨時の監査委員会で報告を行っている。
As of the date of this annual report, we have not had any cybersecurity incident (as such term is defined in Item 16K of Form 20-F), nor have we identified any risks from cybersecurity threats, including those resulting from any previous cybersecurity incidents, that have materially adversely affected, or are reasonably likely to materially adversely affect, our company or our business operations or financial condition. Although our cybersecurity risk management program, as described above, is designed to help prevent, detect, respond to, and mitigate the impact of cybersecurity incidents, we cannot assure you that a future cybersecurity incident would not materially adversely affect our business operations or our results of operations or financial condition. For information regarding cybersecurity risks that are facing us and their potential impact on our related business, see Item 3. Key Information - Risk Factors - Risks Related to Our Business “- Data security breaches relating to our platforms could damage our reputation and expose us to penalties and legal liability” and “- Our network operations may be vulnerable to hacking, viruses, and other disruptions, which may make our products and services less attractive and reliable, and third-party online payment platforms that we partner with and cloud-based servers that we lease from third-party operators may be susceptible to security breaches, which may damage our reputation and adversely affect our business” and “- Risks related to Changyou.com Limited - Risks related to Changyou’s Business -Breaches in the security of Changyou’s server network, or cloud-based servers that it leases from third-party operators, could cause disruptions in its service or operations, facilitate piracy of its intellectual property, or compromise confidential information of its game players and its business.”	この年次報告書の日付現在、当社はサイバーセキュリティインシデント（この用語はForm 20-FのItem 16Kで定義されている）を起こしておらず、また、過去のサイバーセキュリティインシデントに起因するものを含め、当社または当社の事業運営や財務状況に重大な悪影響を及ぼした、あるいは及ぼす可能性があると合理的に考えられるサイバーセキュリティ脅威によるリスクを特定していない。上記のとおり、当社のサイバーセキュリティ・リスク管理プログラムは、サイバーセキュリティ・インシデントの予防、検知、対応、および影響の軽減を支援するように設計されているが、将来のサイバーセキュリティ・インシデントが当社の事業運営や業績、財務状況に重大な悪影響を及ぼさないことを保証するものではない。当社が直面しているサイバーセキュリティ・リスクとその関連事業への潜在的影響については、項目3. 主要な情報-リスク要因-事業に関するリスク「-当社のプラットフォームに関連するデータセキュリティ侵害は、当社の評判を傷つけ、当社を罰則や法的責任にさらす可能性がある、また、当社が提携するサードパーティーのオンライン決済プラットフォームや、サードパーティーの事業者からリースするクラウドベースのサーバーは、セキュリティ侵害の影響を受けやすく、当社の評判を傷つけ、事業に悪影響を及ぼす可能性がある」、「-Changyou.com Limitedに関するリスク-Changyou. com Limited - Changyouの事業に関するリスク - Changyouのサーバーネットワーク、またはサードパーティから借りているクラウドベースのサーバーのセキュリティ違反は、サービスや業務の中断を引き起こし、知的財産の違法コピーを促進し、またはゲームプレーヤーの機密情報とそのビジネスを危険にさらす可能性がある。"
Governance	ガバナンス
Our full Board of Directors, supported by our Audit Committee, oversees our overall risk management, which includes risks arising from cybersecurity threats, and is responsible for ensuring that we have maintained adequate and effective policies and processes to identify and assess cybersecurity risks that we face and to provide resources necessary to manage and mitigate cybersecurity threats and incidents. Our Chief Executive Officer, supported by our Chief Financial Officer, meets with our Board of Directors at its regularly scheduled meetings to discuss our information security and cybersecurity programs and our key cybersecurity initiatives and related priorities and controls. In the event that a material cybersecurity threat or incident is identified, our Chief Executive Officer will report the threat or incident to our Board of Directors and will continue to provide ongoing updates regarding the threat or incident until it has been resolved.	当社の全取締役会は、リスクアセスメント委員会の支援を受けて、サイバーセキュリティの脅威から生じるリスクを含む当社のリスクマネジメント全体を監督し、当社が直面するサイバーセキュリティのリスクを特定および評価し、サイバーセキュリティの脅威およびインシデントを管理および軽減するために必要なリソースを提供するための適切かつ効果的な方針およびプロセスを維持していることを確認する責任を負う。当社の最高経営責任者は、最高財務責任者の支援を受け、定期的に開催される取締役会において、当社の情報セキュリティおよびサイバーセキュリティ・プログラム、当社の主要なサイバーセキュリティ・イニシアチブ、関連する優先事項および統制について協議する。サイバーセキュリティに関する重大な脅威またはインシデントが特定された場合、最高経営責任者はその脅威またはインシデントを取締役会に報告し、脅威またはインシデントが解決されるまで、その脅威またはインシデントに関する継続的な最新情報を提供し続ける。
At its regularly-scheduled meetings our Audit Committee receives from our Chief Financial Officer and head of our Internal Audit assessment reports regarding our general enterprise risk and internal controls, which may include an evaluation of risks from a cybersecurity threat or incident if such a threat or incident is identified and meets our pre-established reporting threshold. Our Audit Committee will receive ongoing updates regarding any such threat or incident until it has been resolved, and the Chairman of our Audit Committee may choose to report any such cybersecurity threat or incident to our full Board of Directors and management’s and any third-party assessments after they have been reviewed by our Audit Committee.	当社の監査委員会は、定期的に開催される会議において、当社の最高財務責任者（CFO）および内部監査責任者から、当社のエンタープライズリスク全般および内部統制に関する評価報告を受ける。当社のアセスメント委員会は、そのような脅威またはインシデントが解決されるまで、そのような脅威またはインシデントに関する継続的な最新情報を受け取る。当社のアセスメント委員会の委員長は、そのようなサイバーセキュリティの脅威またはインシデントが当社のアセスメント委員会によってレビューされた後、当社の取締役会全体、経営陣、およびサードパーティによる評価に報告することを選択できる。
Our Chief Executive Officer and our Chief Financial Officer are designated as the individuals primarily responsible for overseeing the day-to-day operations of our cybersecurity risk management program. As previously discussed, the IT Coordination Group and the PI Working Group were established to address cybersecurity threats and to respond to cybersecurity incidents associated with our Sohu segment. The IT Coordination Group, which reports directly to our Chief Executive Officer, is focused on the security of our data and information systems, while the PI Protection Working Group, which reports directly to our Chief Financial Officer, is focused on protection of personal information. The Changyou Cybersecurity Group was established to address cybersecurity threats and to respond to cybersecurity incidents associated with our Changyou segment, and reports to our Chief Executive Officer and our Chief Financial Officer in coordination with Changyou’s Chief Executive Officer and our Internal Audit team. Through ongoing communications with these teams, our Chief Executive Officer and our Chief Financial Officers are informed about and monitor the prevention, detection, mitigation, and remediation of cybersecurity threats and incidents, and report risks from cybersecurity threats and cybersecurity incidents to our Audit Committee and/or our full Board of Directors when pre-established reporting thresholds are met.	当社の最高経営責任者（CEO）と最高財務責任者（CFO）は、当社のサイバーセキュリティ・リスクマネジメント・プログラムの日常業務を監督する主な責任者として指定されている。前述したように、IT調整グループとPI作業部会は、サイバーセキュリティの脅威に対処し、当社の捜狐セグメントに関連するサイバーセキュリティインシデントに対応するために設立された。最高経営責任者（CEO）直属のIT調整グループはデータおよび情報システムのセキュリティに重点を置き、最高財務責任者（CFO）直属のPI防御ワーキンググループは個人情報の保護に重点を置いている。Changyouサイバーセキュリティ・グループは、サイバーセキュリティの脅威に対処し、Changyouセグメントに関連するサイバーセキュリティ・インシデントに対応するために設立され、Changyouの最高経営責任者および内部監査チームと連携して、最高経営責任者および最高財務責任者に報告する。これらのチームとの継続的なコミュニケーションを通じて、当社の最高経営責任者と最高財務責任者は、サイバーセキュリティの脅威とインシデントの予防、検知、低減、修復に関する情報を入手し、監視し、事前に設定された報告基準を満たした場合に、当社の監査委員会および/または取締役会にサイバーセキュリティの脅威とサイバーセキュリティのインシデントによるリスクを報告する。
Our Chief Executive Officer Charles Zhang, having served as such since 1996, and also having served as the Chairman of the Board of Sogou before the completion of Tencent/Sohu Sogou Share Purchase and the Chairman of the Board of Changyou before the completion of the Changyou Merger, has extensive experience and expertise in Internet company management and operations and plays a key role in shaping our cybersecurity risk management policies, standards, and processes and in our cybersecurity risk management. Our Chief Financial Officer Joanna Lv has extensive experience and expertise in our enterprise risk management and internal controls in general, and in understanding and managing privacy and compliance issues related to personal information of our customers and employees in particular.	当社の最高経営責任者（CEO）であるチャールズ・チャンは、1996年以来その任にあり、またTencent/Sohu Sogouの株式買収完了前はSogouの取締役会長、Changyouの合併完了前はChangyouの取締役会長を務めており、インターネット企業のマネジメントと運営に関する豊富な経験と専門知識を有し、当社のサイバーセキュリティリスクマネジメント方針、標準、プロセスの策定とサイバーセキュリティリスクマネジメントにおいて重要な役割を果たしている。最高財務責任者のジョアンナ・ルヴは、エンタープライズ・リスクマネジメントと内部統制全般、特に顧客と従業員の個人情報に関するプライバシーとコンプライアンス問題の理解と管理について豊富な経験と専門知識を有している。
Tian Yang, one of the co-heads of our IT Coordination Group, has a Ph.D. in computer application technology from the Chinese Academy of Sciences and a Bachelor of Science in computer science and technology from Tsinghua University, and has extensive expertise and research experience in the fields of search engine, personalized recommendations, computational advertising, and artificial intelligence. Yudong Zhang, the other co-head of our IT Coordination Group, has a Bachelor of Science in electrical engineering from Nanjing University of Technology and holds multiple professional certifications, such as Cisco Certified Network Expert (or “CCIE”) and Cisco Certified Senior Network Security Engineer (or “CCSP”). Prior to joining us, Mr. Zhang worked for telecommunications service providers and system integrators and has extensive experience in managing network and security risks, including risks related to cybersecurity threats.	当社のITコーディネーション・グループの共同責任者の一人であるティエン・ヤンは、中国科学院でコンピューター応用技術の博士号を取得し、清華大学でコンピューター科学技術の理学士号を取得しており、検索エンジン、パーソナライズド・レコメンデーション、計算広告、人工知能の分野で豊富な専門知識と研究経験を有している。ITコーディネーション・グループのもう一人の共同責任者である張裕東は、南京理工大学で電気工学の理学士号を取得し、シスコ認定ネットワーク・エキスパート（CCIE）やシスコ認定シニア・ネットワーク・セキュリティ・エンジニア（CCSP）といった複数の専門資格を保有している。当社入社以前は、電気通信サービス・プロバイダやシステム・インテグレーターに勤務し、サイバーセキュリティの脅威に関するリスクを含む、ネットワークおよびセキュリティ・リスクのマネージメントに豊富な経験を持つ。
Xiaojian Hong, head of the Changyou Cybersecurity Group, was one of the principal founders of our MMORPG business, played a key role in building our MMORPG software development division, and was responsible for strategic planning for technology framework design and module development for our MMORPG business. Mr. Hong serves as Changyou’s Chief Technology Officer, and has extensive experience in the security, efficiency, and stability of online games software and operations. Mr. Hong has a bachelor’s degree in engineering from University of Science and Technology Beijing.	Changyouサイバーセキュリティグループの責任者であるXiaojian Hongは、当社のMMORPG事業の主要な創設者の一人であり、当社のMMORPGソフトウェア開発部門の構築において重要な役割を果たし、当社のMMORPG事業の技術フレームワーク設計およびモジュール開発の戦略計画の責任者であった。ホン氏はChangyouの最高技術責任者を務めており、オンラインゲームソフトウェアと運営のセキュリティ、効率性、安定性において豊富な経験を持つ。ホン氏は北京科学技術大学で工学の学士号を取得している。

・網易 (NETEASE)

・2024.04.25 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity	項目16K サイバーセキュリティ
Cybersecurity Risk Management and Strategy	サイバーセキュリティリスクマネジメントと戦略
We have developed and implemented a cybersecurity risk management program intended to protect the confidentiality, integrity, and availability of our critical systems and information. Our cybersecurity risk management program is integrated into our overall enterprise risk management program and shares common methodologies, reporting channels and governance processes that apply across the risk management program to other risk areas.	当社は、重要なシステムおよび情報の機密性、完全性、可用性を保護することを目的としたサイバーセキュリティ・リスクマネジメント・プログラムを策定し、実施している。当社のサイバーセキュリティ・リスク・マネジメント・プログラムは、当社のエンタープライズ・リスク・マネジメント・プログラム全体に統合されており、リスク・マネジメント・プログラム全体で他のリスク領域に適用される共通の方法論、報告経路、ガバナンス・プロセスを共有している。
Key elements of our cybersecurity risk management program include the following:	サイバーセキュリティ・リスクマネジメント・プログラムの主な要素は以下のとおりである：
● risk assessments designed to help identify material cybersecurity risks to our IT systems and information;	・当社のITシステムと情報に対する重要なサイバーセキュリティ・リスクを特定するために設計されたリスクアセスメント
● an information security office, supported by security teams of business units, principally responsible for managing (1) our cybersecurity risk assessment processes, (2) our security controls, and (3) our response to cybersecurity incidents;	・事業部門のセキュリティ・チームがサポートする情報セキュリティ・オフィスは、主に (1) 当社のサイバーセキュリティ・リスクアセスメント・プロセス、(2) 当社のセキュリティ管理、(3) 当社のサイバーセキュリティ・インシデントへの対応を管理する；
● the use of external service providers, where appropriate, to assess, test or otherwise assist with aspects of our security processes;	・必要に応じて外部サービスプロバイダを利用し、当社のセキュリティプロセスのアセスメント、テスト、その他の支援を行う；
● cybersecurity awareness training of our employees, including incident response personnel and senior management;	・インシデント対応要員および上級管理職を含む、当社従業員のサイバーセキュリティ意識向上およびトレーニング ● 情報セキュリティインシデント管理ポリシー
● an information security incident management policy that includes procedures for responding to cybersecurity incidents; and	・サイバーセキュリティインシデントへの対応手順を含む、情報セキュリティインシデント管理ポリシー。
● a security review process, where appropriate, to assess the risks associated with the use of key third-party service providers, suppliers, and vendors based on our assessment of their criticality to our operations and respective risk profile.	・主要なサードパーティ・サービス・プロバイダー、サプライヤー、ベンダーの使用に関連するリスクを評価するためのセキュリティ・レビュー・プロセス（必要に応じて）。
As of the date of the filing of this annual report, we have not experienced any material cybersecurity incidents or identified any material cybersecurity threats that have affected or are reasonably likely to materially affect us, our business strategy, results of operations or financial condition. We face certain ongoing risks from cybersecurity threats that, if realized, could potentially materially affect us. See Item 3.D. “Key Information—Risk Factor—Risks Related to Our Operations Overall—Cybersecurity and the threat environment remain a dynamic and ever-changing landscape with new threats and increasingly sophisticated attacks continually emerging. Successful security breaches can lead to unauthorized access to our network, systems and, in turn, confidential information which may include personal and sensitive information. This could materially adversely affect our business, results of operations and financial condition and expose us to liability claims.”	本アニュアルレポートの提出日現在、当社は重大なサイバーセキュリティインシデントを経験しておらず、また、当社、当社の事業戦略、経営成績、財務状況に重大な影響を及ぼした、あるいは及ぼす可能性があると合理的に判断される重大なサイバーセキュリティ脅威を特定していない。当社はサイバーセキュリティの脅威による特定の継続的リスクに直面しており、それが実現した場合、当社に重大な影響を及ぼす可能性がある。項目3.D. 「主要情報-リスク要因-当社の事業全般に関するリスク-サイバーセキュリティと脅威環境は、新たな脅威や巧妙化する攻撃が絶えず出現しており、ダイナミックで変化し続ける状況にある。セキュリティ侵害が成功した場合、当社のネットワークとシステムの不正アクセス、ひいては個人情報や機密情報を含む機密情報への不正アクセスにつながる可能性がある。これは、当社の事業、業績、財務状況に重大な悪影響を及ぼし、賠償請求にさらされる可能性がある。"
Cybersecurity Governance	サイバーセキュリティ・ガバナンス
Our board of directors considers cybersecurity risk as part of its risk oversight function and has also designated the audit committee to oversee cybersecurity and other information security risks. The audit committee reviews our cybersecurity management and strategy periodically and receives regular reports from the management on our cybersecurity risks. In addition, our management updates the audit committee, where it deems appropriate, regarding cybersecurity incidents it considers to be significant.	当社の取締役会は、リスク監督機能の一環としてサイバーセキュリティ・リスクを検討しており、また、サイバーセキュリティ・リスクおよびその他の情報セキュリティ・リスクを監督する監査委員会を指名している。監査委員会は当社のサイバーセキュリティ・マネジメントと戦略を定期的にレビューし、当社のサイバーセキュリティ・リスクについて経営陣から定期的な報告を受けている。さらに、経営陣は、重要であると判断したサイバーセキュリティインシデントについて、適切と判断した場合には監査委員会に報告する。
At the management level, we have established an information security committee, which is responsible for implementing a global information security program which is aligned with our strategy, establishing and promoting the corresponding policies and procedures, and, as necessary, and assisting in ensuring adequate and timely disclosure of information security incidents and certain threats to our company’s management and board of directors, in accordance with our information security incident management policy.	経営レベルでは、情報セキュリティ委員会を設置しており、同委員会は、当社の戦略に沿ったグローバルな情報セキュリティ・プログラムの実施、対応する方針と手続きの確立と推進、および必要に応じて、当社の情報セキュリティ・インシデント管理方針に従って、当社の経営陣および取締役会に対する情報セキュリティ・インシデントおよび特定の脅威の適切かつタイムリーな開示を確保するための支援を行う責任を負っている。
Our information security committee is comprised of members of senior management and senior personnel, including our chief executive officer, the head of our information security office who has experience in dealing with cybersecurity issues, and other members of management, leaders of business units and the legal, IT and other departments.	当社の情報セキュリティ委員会は、最高経営責任者（CEO）、サイバーセキュリティ問題への対応経験を持つ情報セキュリティ室長、その他の経営陣、事業部門のリーダー、法務、IT、その他の部門を含む上級管理職および上級職員のメンバーで構成されている。
Our information security committee reports to the audit committee on the state of information security risks on periodic basis, as well as on an as-needed basis in the case of information security incidents it deems significant.	当社の情報セキュリティ委員会は、定期的に情報セキュリティリスクの状況について監査委員会に報告し、また重要であると判断した情報セキュリティインシデントが発生した場合には必要に応じて報告する。