一般社団法人日本暗号資産取引業協会(以下「認定協会」という)は、暗号資産に関する利用者財産管理・システム安全管理等の関係の自主規則として、「暗号資産交換業に係る利用者財産の管理等に関する規則・ガイドライン」、「暗号資産交換業に係るシステムリスク管理に関する規則・ガイドライン」、「暗号資産交換業に係る緊急時対応に関する規則・ガイドライン」、「暗号資産交換業に係る情報の安全管理に関する規則・ガイドライン」などの4つの規則・ガイドラインを規定しております。
今回は「暗号資産交換業に係る情報の安全管理に関する規則」(以下「安全管理規則」という)を紹介します。
●安全管理の基本方針
「安全管理規則」第5条によると、会員は、以下の内容を含む情報資産の安全管理に関する基本方針(以下、「情報セキュリティ基本方針」という。)を定め、その概要を公衆縦覧に供しなければなりません。なお、「安全管理規則」において、「情報資産」とは、安全管理の対象となる情報及び当該情報を管理又は保管する仕組み(電子機器及び紙の資料を含むがこれに限られない。)をいいます。
(1) 情報セキュリティの目標
(2) 目標達成のためにとるべき行動
(3) 情報セキュリティが必要な理由
(4) 対象範囲とセキュリティの程度
(5) 外部委託先における情報資産の安全管理に関する方針
(6) 情報セキュリティの責任者
また、会員は、上記により策定する方針に基づく具体的な実施事項及び体制、役割、責任者を明らかにし、これらを業務活動に組み入れ、機能させるために必要となる社内規定を整備しなければならず、会員は、上記の規定を実践するための手順その他具体的な行動を明らかとする情報セキュリティ対策手順書を策定しなければなりません。
さらに会員は、情報セキュリティ対策の遵守、運用状況を記録し、保管しなければなりません。
●リスク管理
「安全管理規則」第12条によると、会員は、情報の安全管理に影響を及ぼす組織内外の状況を把握し、リスクアセスメントを行わなければならず、会員は、リスクアセスメントの結果を踏まえ、情報の安全管理に係るリスクを低減しなければなりません。
また、会員は、リスクアセスメントの結果及び上記による低減後のリスクを用いて情報の安全管理の仕組みに期待された成果との差異を特定し、当該仕組みの適切性、妥当性、有効性を検証しなければなりません。
さらに。会員は、上記の検証結果を利用し、情報の安全管理の改善を継続して行わなければなりません。
次回へ続く
トップニュース
2024/7/4 |
||
2024/7/1 |
||
2023/10/5 |
||
2023/10/12 |