一般社団法人日本暗号資産取引業協会(以下「認定協会」という)は、顧客財産管理・システム安全管理等の自主規則として、暗号資産関連デリバティブ取引業に係る顧客財産の管理に関する規則・ガイドライン、暗号資産関連デリバティブ取引業に係るシステムリスク管理に関する規則・ガイドライン、暗号資産関連デリバティブ取引業に係る緊急時対応に関する規則・ガイドライン、暗号資産関連デリバティブ取引業に係る情報の安全管理に関する規則・ガイドラインなどの4つの規則を規定しております。
今回は認定協会の「暗号資産関連デリバティブ取引業に係る情報の安全管理に関する規則・ガイドライン 」(以下「安全管理規則」という)を紹介します。
情報セキュリティ方針
「安全管理規則」第5条によると、会員は、以下の情報資産の安全管理に関する基本方針(以下、「情報セキュリティ基本方針」という。)を定め、その概要を公衆縦覧に供しなければなりません。なお、「安全管理規則」において、「情報資産」とは、安全管理の対象となる情報及び当該情報を管理又は保管する仕組み(電子機器及び紙の資料を含むがこれに限られない。)をいいます。
(1) 情報セキュリティの目標
(2) 目標達成のためにとるべき行動
(3) 情報セキュリティが必要な理由
(4) 対象範囲とセキュリティの程度
(5) 外部委託先における情報資産の安全管理に関する方針
(6) 情報セキュリティの責任者
また、会員は、上記により策定する方針に基づく具体的な実施事項及び体制、役割、責任者を明らかにし、これらを業務活動に組み入れ、機能させるために必要となる社内規定を整備しなければなりません。会員は、上記の規定を実践するための手順その他具体的な行動を明らかとする情報セキュリティ対策手順書を策定しなければならず、情報セキュリティ対策の遵守、運用状況を記録し、保管しなければなりません。
リスク管理
「安全管理規則」第12条によると、会員は情報の安全管理に影響を及ぼす組織内外の状況を把握し、リスクアセスメントを行う必要があります。会員はリスクアセスメントの結果を踏まえ、情報の安全管理に係るリリスクを低減し、低減後のリスクを用いて情報の安全管理の仕組みに期待された成果との差異を特定し、当該仕組みの適切性、妥当性、有効性を検証しなければなりません。
また、会員は上記の検証結果を利用し、情報の安全管理の改善を継続して行う必要があります。ちなみに、会員がリスク管理を行うために、リスク受容基準、情報セキュリティアセスメントを実施するための基準などを定める必要もあります。
(次回へ続く)
トップニュース
 |
2023/10/5 |
 |
 |
2023/10/12 |
 |
 |
2023/9/12 |
 |
 |
2023/9/6 |
 |
 |
2023/9/6 |
 |
 |
2023/6/12 |
 |