SEBC

 

 

規約・ポリシー

TERMS and POLICY

システムリスク管理方針

株式会社サクラエクスチェンジビットコイン(以下、「当社」といいます。)は、暗号資産交換業者として、当社がお客様に提供する暗号資産取次サービスを適切に行うことによって、当社ならびに暗号資産交換業に対する社会的信頼をより向上させるべく日々努力を続けております。

当社では、以下のようなシステムリスク管理方針を定め、全社一丸となって推進します。

1.システムリスク管理規程の策定と継続的改善

当社は、システムリスクをコンピュータシステムのダウンまたは誤作動等のシステムの不具合等に伴い利用者および当社が損失を被るリスクあるいはコンピュータが不正に使用されることにより利用者や当社が損失を被るリスクと定義し、その管理が当社の経営の最重要課題の一つであると同時に、社会的責任であると認識し、法令およびその他の規範に準拠・適合したシステムリスク管理規程を策定するとともに、当社が使用するシステムの有効性、信頼性、安全性、効率性、遵守性を確保するための管理体制の確立に取り組み、継続的な改善を行います。

2.適用範囲

本方針は、当社で使用するシステム、ネットワークおよび情報資産に係る業務を対象とし、当社の役職員および当社が直接管理するコンピュータシステムの他、外部委託先の事業者において管理・運用されるコンピュータシステムにおけるリスクに対しても適用されます。

3.システムリスク管理体制の整備

当社は、システムリスク管理を有効機能させるため、リスクの 責任の所在、対応部署の明確化、複数の部署による協力体制、そしてシステム障害や情報漏洩等に対する迅速なリスク対応措置とシステム復旧を実現するための継続的管理体制を整備します。

4.「システム統括管理責任者」の配置

当社は、システムリスクの適切な管理を行うため、本方針におけるシステムリスクを管理、指揮するシステム管理の最高責任者として「システム統括管理責任者」を配置します。

5.システムリスク評価

当社は、システム部門および内部統制部門あるいは外部監査により定期的にシステムリスク評価を実施し、特定されたリスクに対して適切な対応策を講じます。脆弱性のあるシステムについては、OSの最新化やセキュリティパッチの適用など必要な対策を適時講じます。

6.リスク顕在化に対する事前・事後の対応

当社は、システムリスクを可能な限り未然に防止することに努めます。また、当社は、システムリスクが顕在化し、利用者および当社が損失を被る等のシステム障害が発生した場合、利用者財産および個人情報保護を最優先とし、早期復旧に努めます。

7.システム障害発生時の対応

当社は、サイバー攻撃を受けた場合の被害拡大を防止するために、攻撃元の IPアドレスの特定と遮断、DDoS 攻撃に対して自動的にアクセスを分散させる機能、システムの全部または一部の一時的停止等の措置を図ることに努めます。また、サイバー攻撃に対する監視体制として、サイバー攻撃を受けた際の報告や広報体制、組織内 CSIRT(Computer SecurityIncident Response Team)等の緊急時対応 および 早期警戒のための体制 、情報共有機関等を通じた情報収集、情報共有体制、サイバーセキュリティに係る人材を育成し 、拡充するための計画を事業継続計画(BCP)として策定します。

8.事業継続計画(BCP)

当社は、事業継続計画(BCP)に加え、システムリスクに関する緊急時対応計画として「コンティンジェンシープラン」を策定し、自社で想定しうるシステム障害等の緊急事態発生時において果たすべき責任および執るべき対応策を具体的に定め、定期的な訓練を行い、その実効性を確保しています。

9.教育研修

当社は、役職員に対し、システムリスク管理の必要性および重要性を認識させるため、情報漏洩の原因となるシステムリスクに関する教育、訓練、研修を定期的に実施します。

10.法令遵守

当社は、システムリスクに関する法令およびその他の規範を遵守します。また、当社のシステムリスク管理規程を、これらの法令およびその他の規範に適合させ運用します。

11.セキュアなシステム開発

当社は、当社のネットワーク構成やシステムの設計段階において、セキュリティを十分考慮することが重要であると認識し、安全性が高くなるようなセキュアコーディング(悪意のある攻撃者やマルウェア等による攻撃への耐性に係るプログラム)のルールなど開発基準を設け、システム設計段階から品質の確保に努めます 。

12.外部委託先の管理および監督

当社は、システムの開発・運用・保守に係る業務を外部に委託する場合には、別途定める外部委託先管理規程に則り、当社と同等以上のシステムリスク管理策が講じられるように委託先とシステムリスク管理に係る要求事項を共有し、その業務について管理・監督を行います。特に、委託業務がクラウドサービスの利用に係る場合には、別途特則を設け、より厳格な選定基準によって委託先を決定いたします。また、当該委託先からの再委託を行う場合でも、委託先を通じて同様の方針の共有ならびに管理・監督を徹底いたします。

附則

1 本方針は、2019年10月1日に制定し、同日より施行します。
2 本方針は、2020年10月27日に一部改定し、同日より施行します。

口座開設はこちら