システムリスク管理方針
当社は、システムリスク管理が経営の最重要課題の一つであること、かつ暗号資産交換業者及び金融商品取引業者として社会的責任を有することを十分に認識した上で、システムリスクの未然防止及び顕在化した際の損失の最小化を図るべく、情報システムの有効性、信頼性、安全性、効率性、遵守性を確保するための管理態勢に関する基本方針を策定する。
(用語の定義)
第1条 このシステムリスク管理方針(以下、「本管理方針」という。)、及び関連規程等で使用する用語の定義は、次のとおりとする。
- (1)「システムリスク」とは、当社で使用するシステムに係る明らかな異常、不具合、パフォーマンスの低下、誤作動、不正使用等に伴い、顧客や当社が損失を被るリスクであり、その損失は金銭的な損失に限らない。
- (2)「当社で使用するシステム」とは、顧客や当社の金融商品契約の履行、入出金処理、各種データ管理、各種リスク管理、分別すべき財産及び区分すべき財産並びに分離すべき財産の把握、財務状況の把握及び個人データ等の情報管理、取得、利用、加工、保管、保存、移送、送信に使用するシステムをいう。
- (3)「当社で使用するネットワーク」とは、社内LANならびに公衆インターネット網を利用するためのハード機器、通信回線及びソフトウェアまたは電話回線等をいう。
- (4)「システム責任者」とは、当社で使用するシステム全般を統括する責任者をいう。
- (5)「システム障害等」とは、当社で使用するシステムまたは情報資産やサイバーセキュリティ事案のリスクが顕在化し、顧客や当社が損失を被る状態をいう。
- (6)「対応指針」とは、障害発生時等における対応について実施される最善の事後対策を定めることを目的として別に定めるものをいう。
- (7)「コンティンジェンシープラン」とは、システム障害等、不測の事態の発生を想定し、各種業務の中断の範囲と期間を極小化し、迅速かつ効率的に必要な業務の復旧を行うためにあらかじめ策定された緊急時対応計画のことを言い、BCP行動計画と区別するため、当社では主にシステムリスクに関する緊急時対応計画をいう。
(適用範囲)
第2条 本管理方針は、当社で使用するシステム及び当社で使用するネットワーク、並びに情報資産、情報資産に係る業務を対象とし、当社役員、すべての従業員(社員、契約社員、パート、アルバイト、常駐する外部委託先からの要員を含む)、また、当社と契約した協力会社及び外部委託先に適用する。
(規程の整備)
第3条 当社は、システムリスク管理の要件を明確にするため、次のとおり、本管理方針に準拠した規程、基本ガイドライン、マニュアル等を整備する。役職員等は、これらの規程等を遵守しなければならない。
- 2 システム責任者は、システムリスク管理に必要な要件を明確にするために、本管理方針に準拠したシステムリスク管理に関する社内規程、外部委託の管理に関する社内規程、それらに関連する社内規程やガイドライン、マニュアルを策定し、その策定に当たっては、取締役会の承認を得るものとする。
- 3 システム責任者は、役職員等に対して関連法令等のほか、システムリスク管理に関する規程、ガイドライン、マニュアルの周知徹底を図らなければならない。また、これに反するような指示、命令を行ってはならない。
(システムリスクの特定・分析・評価)
第4条 当社は、第3条第2項で策定した規程等に基づき、定期的かつ適宜、当社の情報システム、情報資産に係るリスクの所在や種類を特定し、システムの脆弱性及び脅威を分析した上で、当社及びお客様への影響度や対応の必要性等を評価する。
(外部委託管理)
第5条 当社は、外部の業者にシステムの開発・運用・保守の業務委託を行う場合の基準として、第3条第2項で策定した規程等に則り、委託先の選定基準を定める。外部委託先業者を管理する責任者は、外部委託先業者が、当社の定める選定基準を充足しているか厳正に審査を行った上、業務の外部委託による事故とそれによる損失を未然に防止するよう、外部委託先(必要に応じて取引システムに係る再委託先)におけるシステムリスクの状況把握と評価を行い、適切な安全対策を要請し、委託業務の信頼性の確保を図る。
(システムリスク管理体制の整備)
第6条 当社は、システムリスク管理を有効に機能させるため、責任の所在及び対応部署を明確にし、またシステム障害等が発生した場合に備えて、迅速な対応と復旧を実現するため、システム障害時等における対応指針等の管理体制を整備する。
(システムリスクに係る監査)
第7条 内部監査室は、本管理方針及びそれに基づく規程やガイドライン、マニュアル、関連法令を遵守しているか定期的に監査を実施する。システムリスクに係る監査は、外部の専門家による第三者的な立場からの外部監査の実施も検討する。
(システムリスクに係る教育・訓練)
第8条 当社の役職員が、自らの業務においてかかるシステムリスクの内容を認知し、適切な対応を実施できるよう、システムリスクに関する教育や研修を実施する。
- 2 当社は、システムリスクが顕在化した際の早期復旧、業務継続を図るべく、定期的な訓練を実施する。
(管理方針の改廃)
第9条 本管理方針の改廃は、システム責任者が起案し、取締役会の決定による。