情報セキュリティに関する基本方針
-
1. 目的
情報セキュリティに関する基本方針(以下、「本方針」という。)は、当社の保有する情報資産を適切に管理し、情報の機密性、完全性、可用性を維持するための情報セキュリティ管理態勢を構築・整備する上で必要となる基本的な考え方を定めたものである。当社は、暗号資産交換業者として顧客情報の保護及び情報資産の安全管理について社会的信頼を確保する責任を負っており、すべての役職員は、この自覚のもと本方針を十分に理解し、情報セキュリティ管理態勢の充実強化に努める。
-
2. 定義
本方針で用いる主な用語及び定義は次の通り。
情報資産
「情報資産」とは、情報及び情報を管理する仕組みの総称である。電子的なデータはもちろんのこと、コンピュータ、ネットワーク、記憶媒体(取外し可能な記憶媒体を含む)、紙媒体等の情報及び伝達手段のことをいう。
情報セキュリティ
「情報セキュリティ」とは、情報資産の機密性、完全性、可用性を維持することをいう。
機密性:認可された利用者だけが情報資産にアクセスできること
完全性:情報資産の内容が、改ざんや破壊されたりせずに正確であること
可用性:認可された利用者が、必要なときに情報資産を利用できること -
3. 適用範囲
本方針は、当社の責任で管理・運営するシステム、情報資産及び当社の指揮監督を受けて業務に従事しているすべての役職員に適用する。役職員には、当社と雇用関係にある者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、雇用関係にない者(取締役、監査役、派遣社員、常駐業務委託社員等)を含む。
-
4. 遵守義務
すべての役職員は、情報セキュリティ管理の重要性を認識した上で、本方針及び本方針に基づき定められた規程・基準等を遵守しなければならない。
-
5. 管理策の策定
情報セキュリティに関する管理態勢及び管理策は、以下の各項目の要件を充足するように構築しなければならない。
- 情報資産を適切に管理し、情報の機密性、完全性、可用性を維持すること
- 情報セキュリティに係る管理者を定め、その役割・責任を明確にすること
- 暗号資産交換業者が責任を負うべき顧客の重要情報を網羅的に洗い出し、把握・管理すること
- サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティの重要性を認識し、必要な対策を講じること
- 情報資産を扱う業務を外部委託する場合において、外部委託先が遵守すべき情報資産の安全管理に係るセキュリティ要件を提示し、契約書等に明記すること
-
6. 監査
情報セキュリティ管理の有効性及び妥当性の確認は、自主点検、内部監査、外部監査等により行う。
-
7. 体制
取締役会は、情報資産を適切に管理するための方針の策定、組織体制の整備、社内規程の策定、内部管理態勢の整備を行う。また、情報セキュリティ管理態勢のPDCAサイクルによる継続的な改善を図る。
セキュリティ管理責任者は、当社の情報セキュリティに関する対策の立案、運用、監視、見直しを統括する。
セキュリティ管理者は、当社の情報セキュリティ管理策を推進、徹底する。
取締役会は、システムリスク管理委員会を設置し、当社における情報セキュリティに関する事項の検討、審議、報告等の権限及び責任等について定める。
2019年4月
GMOコイン株式会社