heading

情報セキュリティ基本方針

Home > coinbookについて > 情報セキュリティ基本方針

情報セキュリティ基本方針

 株式会社coinbook(以下、「当社」といいます。)は、情報資産(安全管理の対象となる情報及び当該情報を管理又は保管する仕組み(電子機器及び紙の資料を含むがこれに限られません。)をいいます。以下同様。)の機密性・完全性・可用性を適切に維持するためには情報セキュリティの確保が必要不可欠であることを十分に認識し、また、お客様資産の保護はもちろんのこと、利用者をはじめ社会からの信頼を常に得ることを情報セキュリティの目標として、当該目標を達成すべく当社がとるべき行動を明確化し、情報セキュリティ基本方針(以下、本方針とします。)を以下のように定めます。

1. 目的

・ 本方針は、当社が行う暗号資産関連取引に係る業務における情報の安全管理のための基本的な事項を定めることを目的としています。

2. 情報の安全管理措置

・ 当社は、情報の漏えい、滅失、毀損又は盗難の防止その他の情報の安全管理のために必要な措置を講じます。

・ 当社は、自らの業務の内容及び方法に応じ、別途定めるシステムリスク管理に関する基本方針に従い、情報セキュリティ管理のためにシステムリスク管理を行います。

3. 基本姿勢

・ 当社は、情報の安全管理に関する方針として本方針を取締役会での決議で定め、計画的に運用します。

・ 当社は、情報の安全管理に要する資源(人的資源を含む。)を適切に配分します。

・ 当社は、情報の安全管理の実施状況を把握し、その有効性について評価します。

・ 当社は、情報の安全管理上、不適合な状況が生じた場合には、速やかにこれを是正し、情報の安全管理態勢を継続的に改善していきます。

・ 当社は、情報セキュリティ対策の遵守、運用状況を記録し、保管します。

4. 情報セキュリティの対象範囲及びセキュリティの程度

・ 本方針の対象となる情報資産の範囲及びセキュリティの程度を定義し、適切な情報セキュリティ管理に努めます。

5. 組織体制等

・ 当社は、情報の安全管理の目的及び実施体制等の枠組みを示すとともに、当社が保有する全ての情報資産の保護に努め、情報セキュリティに関する法令その他の規範を遵守することにより、社会からの信頼を常に得られるよう、安全な情報セキュリティ管理体制を構築します。

・ 当社の経営陣は、業務の仕組みに情報の安全管理のために必要な措置を組み入れ、業務態勢を整備します。

・ 当社の経営陣は、役職員等(情報の安全管理の対象とする業務の一部を外部に委託する場合にあっては、当該外部委託先を含みます。)を指揮し、情報の安全管理に対する役職員の取り組みを支援します。

・ 当社の経営陣は、役職員等に情報の安全管理の重要性を伝達し、かつ、成果達成の意識を高めるために必要な措置の実施に努めます。

6. 統合リスク管理委員会の設置

・ 当社は、情報の機密性、完全性、可用性を維持するために、最高技術責任者が参加する統合リスク管理委員会を設置し、次の各号に関する討議を行います。

1 リスク管理の環境整備

2 情報の安全管理に関する文書の決定

3 情報の安全管理に関する施策の策定及び改訂

4 発生した、もしくは発生する恐れのあるセキュリティ問題の検討

5 情報の安全管理の運用評価に基づく改善

・ 最高技術責任者は、情報の安全管理に必要な人員その他の経営資源を統合リスク管理委員会に提言し、情報の安全管理を推進するものとします。

7. 情報セキュリティ最高責任者

・ 当社は最高技術責任者を選出し、システムリスクを管掌する代表取締役の下、情報セキュリティ最高責任者として次の各号の役割を担うものとします。

1 情報管理責任者の監督

2 統合リスク管理委員会への、情報セキュリティに係るリスク管理状況の報告

・ 情報セキュリティに係るリスク管理状況は、統合リスク管理委員会より、定期的に取締役会へ報告されます。

8. 情報管理責任者の設置

・ 当社は、部署ごとに情報管理責任者を設置します。

・ 情報管理責任者は、部署等に存在する情報資産を把握し、その利用及び保管方法その他日常業務における情報の安全管理に必要とする事項を取りまとめ、管理状況を記録し、管轄する業務に関わる役職員の情報資産の安全管理を指導します。

・ 情報管理責任者は、管理対象とする情報資産の漏えいその他情報の安全管理上の問題が発生した場合には、直ちに情報セキュリティ最高責任者に報告します。

9. 情報セキュリティ対策を徹底したシステムの実現

・ 情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害等が発生しないよう、徹底した対策を反映したシステムを実現することを目標とします。また、当社業務の対策としては、高セキュリティエリアでの作業、情報は知る必要のある人のみに伝え、知る必要のない人には伝えないという原則に基づくアクセス権付与、データベースアクセス権の制限等、データやシステムへのアクセスを徹底的に管理します。

10. 情報セキュリティに関する内部規程等の整備

・ 当社は、本方針に基づく社内規程・業務標準・マニュアル等を整備し、個人情報だけではなく、情報資産全般の取り扱いについて明確な方針を示すとともに、情報漏えい等に対しては、厳しい態度で臨むことを社内外に周知徹底します。

・ 当社は、本方針に定める規程を実践するための具体的な行動を定義し、従業員等が本方針に従い業務を遂行できるようにします。

11. 監査体制の整備・充実

・ 本方針および関連する規程等への準拠性に対する内部監査を実施できる体制を整備していきます。また、より客観的な評価を得るために外部監査を行うことに努めます。

12. 情報セキュリティリテラシーの向上

・ 当社は、全役職員にセキュリティ教育・訓練を徹底し、当社の情報資産に関わる全員が、情報セキュリティリテラシーを持って業務を遂行できるようにします。また、刻々と変わる状況に対応できるよう、教育・訓練を継続して実施します。

13. 外部委託先の管理

・ 外部委託契約を締結する際には、外部委託先としての適格性を十分に審査し、当社と同等以上のセキュリティレベルを維持するよう要請していきます。また、これらのセキュリティレベルが適切に維持されていることを確認し続けていくために、外部委託先を継続的に見直し、契約の強化に努めます。

以上
2021年4月22日