システムリスク管理基本方針

  • トップ
  • システムリスク管理基本方針

 

システムリスク管理基本方針

 

 当社は、さまざまな業務においてコンピュータシステムを使用しており、それらコンピュータシステムのダウンまたは誤作動、システムの不備及び障害、コンピュータの不正使用等により、当社の顧客及び当社が被るリスクをシステムリスクと認識する。当社は、システムリスクの発生の防止及び最小化、並びにリスク発生による損失の低減を図り、事業の継続性を確保するうえで、システムに対して適切な安全対策を講じ、仮想通貨交換業者の責任として、また経営リスクの一つとして認識し、本システムリスク管理基本方針を策定する。

 

第1条(対象・適用範囲)

 

 本管理方針は、当社が業務上使用及び保有するすべてのコンピュータ、データベース及びネットワーク等の情報システム(以降「情報システム」という。)並びに情報システムに含まれ、または情報システムより出力される情報(以降「情報資産」という。)及び情報システム及び情報資産の利用・管理に係る業務(以降「関連業務」という。)を対象とし、当社役員、すべての従業員(社員、契約社員、パート、アルバイト、常駐する外部委託先からの要員を含む。)、また当社と契約した協力会社及び外部委託先に適用する。

 

第2条(システムリスク管理体制の整備) 

 

 当社では、取得した個人情報を以下の利用目的の達成に必要な範囲内で利用させていただきます。以下に定める利用目的の達成に必要な範囲を超えて個人情報を利用する場合、あらかじめご本人の同意を得た上で行ないます。 

 

1. 当社は、システムリスク管理を推進し、システムリスク事象発生時での迅速な対応と復旧を実現するため、システムリスク管理に関する規程及び関連手続に基づき、システムリスク管理の体制整備を行う。

2. 当社は、取締役会において、システムリスクに対する情報の共有化、対応等を検討し、システムリスクに対して迅速かつ適切な意思決定及び対応の実施を目指す。

3. 取締役会は、システム担当取締役をシステムリスク管理統括責任者として、全社横断的なシステムリスク管理体制の構築を推進する。

4. システムリスクの管理体制は、業務内容の変更、システムの導入・廃棄、その他体制に影響を与えうる事象に応じて適宜見直し、常に有効なシステムリスク管理を実施することを目指す。

 

第3条(システムリスクの特定・分析・評価・対応方針の決定)

 

1. 当社は、システムリスク管理に関する規程に基づき、定期的かつ適宜、当社の情報システム、情報資産、また関連業務に係るシステムリスクを網羅的に調査、特定し、脆弱性及び脅威を分析した上で、当社及びお客様への影響度や対応の必要性等を評価する。

2. システムリスクの特定・分析・評価については、仮想通貨交換業管理部及びシステム管理室が中心となり、関連各部門と連携し全社的な観点から実施し、その結果を取締役会に報告するものとし、その対応方針については取締役会で検討され、その承認をもって決定する。

3. 仮想通貨交換業管理部及びシステム管理室は当該対応方針に基づき、関連各部門と協力し安全対策を策定し、関連各部門が安全対策を速やかに実施できるよう支援する。

4. 対応の実施状況については取締役会で定期的に報告され、全社的なリスク・マネジメントの一環として推進する。

 

第4条(情報セキュリティ管理)

 

 当社は、別途定めたシステムリスク管理に関する規程と併せて、情報資産の機密性・完全性・可用性を適切に維持するため、情報セキュリティの観点からもシステムリスク管理活動を推進する。

 

第5条(サイバーセキュリティ管理)

 

1. 当社は、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティ事案の未然防止と発生時の迅速な復旧対応について、経営上の重大な課題と認識し、サイバーセキュリティ管理態勢を整備する。

2. サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。

 

第6条(外部委託先管理による信頼性の確保)

 

当社は、システムの開発・運用・保守を外部委託業者に委託する場合、外部委託先の選定基準を明確にし、適格性を審査した上、安全かつ正確な委託業務の運用が行なわれるよう、外部委託先におけるシステムリスクの状況把握と評価を行い、適切な安全対策を要請し、委託業務の信頼性の確保を図る。

 

第7条(システムリスクに係る教育・周知徹底)

 

当社の役職員が自らの業務において係るシステムリスクの内容を認知し、適切な対応を実施できるよう、システムリスクに関する啓蒙活動や教育を実施する。

 

第8条(情報システムの最新技術及び金融犯罪の動向に係る調査・研究)

当社は、常に新たなシステムリスクに対応するために、情報システムの最新技術に関する情報、システムに係る金融犯罪の動向等に関する情報を収集するように努め、社内外の関係者に対する情報共有を推進する。

第9条(システムリスクに係る監査)

 

1. 当社は、システムリスクの管理方針、目的、特定・分析・評価・対応、またそのプロセス及び手順の遵守性、有効性、適切性等について定期的かつ適宜監査を実施する。

2. システムに係る監査は内部監査室によって内部監査の一環として実施する他、専門家による第三者的な立場からの外部監査の実施も検討する。

3. 監査において検出された事項は、取締役会で報告され、内部監査規程に則り、改善が完了するまで報告対象とする。

 

第10条(法令・規制の遵守)

 

1. 当社は、情報システムに係る法令・規制に関する情報収集に努め、変更等が行われた場合の各規程、文書類への変更適応、遵守状況を監視する体制を整備する。

2. システム管理室が情報システムに係る法令・規制の変更に対応する。

 

第11条(見直し・改廃)

 

1. 本管理方針及びシステムリスク管理に関する規程の改廃については、取締役会で協議し、承認を得たうえで施行する。

2. 本管理方針及びシステムリスク管理に関する規程の見直しについては、システム管理室で定期的かつ適宜実施し、その内容についても取締役会で協議し、変更時には代表取締役の承認を得ることとする。

 


以上

 

 【お問い合わせ窓口】 

  暗号資産交換業管理部:06‐6599‐9955

  お問い合わせ対応時間:午前10時から午後5時(土日祝除く平日のみ)