CoinBest株式会社(以下、「当社」といいます。)は、情報資産(安全管理の対象となる情報及び当該情報を管理又は保管する仕組み(電子機器及び紙の資料を含むがこれに限られません。)をいいます。以下同様。)の機密性・完全性・可用性を適切に維持するためには情報セキュリティの確保が必要不可欠であることを十分に認識し、又、お客様をはじめ社会からの信頼を常に得ることを情報セキュリティの目標として、当該目標を達成すべく当社が取るべき行動を定めるべく、以下の通り情報セキュリティ方針(以下、「本方針」といいます。)を策定しています。
1.目的
本方針は、当社が行う暗号資産関連取引に係る業務における情報の安全管理のための基本的な事項を定めることを目的としています。
2.情報の安全管理措置
(1)当社は、情報の漏洩、滅失、毀損又は盗難の防止、その他の情報の安全管理のために必要な措置を講じます。
(2)当社は、自らの業務の内容及び方法に応じ、当社が別に定める「システムリスク管理規則」に従い、情報の安全管理のためにシステムリスク管理を行います。
3.緊急時対応等
当社は、当社が別に定める「業務継続計画書」に従い、情報の安全を脅かす緊急事態が生じた場合の対応等を定めます。
4.基本姿勢
(1)当社は、情報の安全管理に関する方針として本方針を示し、計画的に運用します。
(2)当社は、情報の安全管理に要する資源(人的資源を含む。)を適切に配分します。
(3)当社は、情報の安全管理の実施状況を把握し、その有効性について評価します。
(4)当社は、情報の安全管理上、不適合な状況が生じた場合、速やかにこれを是正し、情報の安全管理態勢を継続的に改善します。
(5)当社は、情報セキュリティ対策の遵守、運用状況を記録し、保管します。
5.情報セキュリティの対象範囲及びセキュリティの程度
本方針の対象となる情報資産の範囲及びセキュリティの程度は、以下の通りです。
(1)情報資産の範囲
①情報システム等
②コンピューター、基本ソフトウエア、応用ソフトウエア、ネットワーク、通信機器、記録媒体、システム構成図等
③情報システムに記録された情報
④アクセス記録、文書及び図面等の電磁的記録
⑤これらの情報に接する全てのもの
⑥常勤、非常勤及び臨時を含む職員、委託事業者等
(2)セキュリティの程度
各情報資産及び該当するセキュリティの程度は別途定める「情報資産管理台帳作成基準」等を参照します。
6.組織体制等
(1)当社は、情報の安全管理の目的及び実施体制等の枠組みを示すとともに、当社が保有する全ての情報資産の保護に努め、情報セキュリティに関する法令その他の規範を順守することにより、社会からの信頼を常に得られるよう、非常に安全な情報セキュリティ管理体制を構築します。
(2)当社の経営陣は、業務の仕組みに情報の安全管理のために必要な措置を組み入れ、業務態勢を整備します。
(3)当社の経営陣は、役職員等(情報の安全管理の対象とする業務の一部を外部に委託する場合にあっては、当該外部委託先を含みます。以下、本条において同じ。)を指揮し、情報の安全管理に対する役職員の取組みを支援します。
(4)当社の経営陣は、役職員等に情報の安全管理の重要性を伝達し、かつ、成果達成の意識を高めるために必要な措置の実施に努めます。
7.情報セキュリティ委員会の設置
(1)当社は、情報の機密性、完全性、可用性を維持するために、次の各号の役割を担う情報セキュリティ委員会を設置します。
①リスク管理の環境整備
②情報の安全管理に関する文書の決定
③情報の安全管理に関する施策の策定及び改訂
④発生したセキュリティ問題の検討
⑤情報の安全管理の運用評価に基づく改善
(2)当社は、情報セキュリティ委員会を管掌する役員を任命します。
(3)当社は、情報セキュリティ委員会が有効に機能するために必要な人員その他の経営資源を配備します。
8.情報セキュリティ最高責任者
(1)前条第2項により任命された役員は、情報セキュリティ最高責任者として、情報セキュリティ委員会を運営するほか、次の各号の役割を担います。
①情報管理責任者の監督
②取締役会への情報セキュリティに係るリスク管理状況の報告
③重大インシデント発生時の対応指揮(当局等への外部連絡を含む。)
(2)情報セキュリティ最高責任者は、当社が別に定める「システムリスク管理規則」第6条に規定するシステム統括管理責任者を兼務することができます。
9.情報管理責任者の設置
(1)当社は、部署ごとに情報管理責任者を設置します。
(2)情報管理責任者は、部署等に存在する情報資産を把握し、その利用及び保管方法その他日常業務における情報の安全管理に必要とする事項を取りまとめ、管理状況を記録し、管轄する業務に関わる役職員の情報資産の安全管理を指導します。
(3)情報管理責任者は、管理対象とする情報資産の漏洩、その他情報の安全管理上の問題が発生した場合、直ちに情報セキュリティ最高責任者に報告します。
(4)情報管理責任者は、当社が別に定める「システムリスク管理規則」第7条に規定するシステム管理責任者を兼務することができるものとします。
10.情報セキュリティ対策を徹底したシステムの実現
情報資産に対する不正な侵入、漏洩、改竄、紛失、破壊、利用妨害等が発生しないよう、徹底した対策を反映したシステムを実現します。対策としては、高セキュリティエリアでの作業、情報は知る必要のある人のみに伝え、知る必要のない人には伝えないという原則に基づくアクセス権付与、データベースアクセス権の制限等、データやシステムへのアクセスを徹底的に管理する考え方で臨みます。
11.情報セキュリティに関する内部規程等の整備
(1)本方針に基づいた内部規程である「情報管理マニュアル」を整備し、個人情報だけではなく、情報資産全般の取り扱いについて明確な方針を示すとともに、情報漏洩等に対しては、厳しい態度で臨むことを社内外に周知徹底します。
(2)当社は、本方針に定める規定を実践するための手順その他具体的な行動を明らかにするため、情報セキュリティ対策マニュアルを策定します。
12.モニタリング
当社は、情報資産が適切に管理されていることを定期的にモニタリングし、管理態勢を継続的に見直します。
13.監査体制の整備・充実
本方針及び情報管理マニュアルその他各規程、ルール等への準拠性に対する内部監査を実施できる体制を整備します。又、より客観的な評価を得るために外部監査を行うことに努めます。これらの監査を計画的に実施することにより、従業員等が本方針を順守していることを証明します。
14.情報セキュリティリテラシーの向上
当社は、全役職員にセキュリティ教育・訓練を徹底し、当社の情報資産に関わる全員が、情報セキュリティリテラシーを持って業務を遂行できるようにします。又、刻々と変わる状況に対応できるよう、教育・訓練を継続して行います。
15.業務委託先の管理体制強化
業務委託契約を締結する際には、業務委託先としての適格性を十分に審査し、当社と同等以上のセキュリティレベルを維持するよう要請します。又、これらのセキュリティレベルが適切に維持されていることを確認し続けて行くために、業務委託先を継続的に見直し、契約の強化に努めます。