システムリスク管理基本方針

2019年4月1日改定
楽天ウォレット株式会社

当社は、システムリスク管理が経営の最重要課題の一つであること、かつ仮想通貨交換業者として社会的責任を有することを十分に認識した上で、システムリスクの未然防止及び顕在化した際の損失の最小化を図るべく、情報システムの有効性、信頼性、安全性、効率性、遵守性を確保するための管理態勢に関するシステムリスク管理方針(以下、「本方針」という。)を定める。当社は、リスク管理基本方針及びリスク管理規定に基づき、当社における事業継続性及び情報セキュリティ保持への責任を果たし、事業の安全性、効率性及び信頼性を確保するために、情報及び情報システム(以下あわせて「情報資産」という。)を重要な経営資産と位置づけ、本方針に基づき、必要な規定及び手順書を整備し、それに基づく適切な運用を行い、かつ、その運用状況について絶えず評価及び見直しを行うことで、システムリスク管理態勢の確立・向上に向けた継続的な整備を行う。

(適用範囲)
第1条 本方針は、当社で使用するシステム及び当社で使用するネットワーク、並びに情報資産、情報資産に係る業務を対象とし、当社役員、すべての従業員(社員、契約社員、パート、アルバイト、常駐する外部委託先からの要員を含む)、また、当社と契約した協力会社及び外部委託先に適用する

(システムリスク管理の体制整備)
第2条 当社は、システムリスク管理の状況把握及び情報資産に対するリスク管理を推進し、システムリスク事象発生時に、迅速な対応と復旧を行うため、システムリスク事象発生時における対応指針等の管理体制を整備する。

(規程の整備)
第3条 当社は、システムリスク管理の要件を明確にするため、次のとおり、本方針に準拠した規程、マニュアル等を整備する。役職員等は、これらの規程等を遵守しなければならない。
2 情報システム管理者は、システムリスク管理に必要な要件を明確にするために、本方針に準拠した「システムリスク管理規程」、「委託先管理規程」等の関連規程やマニュアルを策定するものとする。
3 情報システム管理者は、役職員等に対して関連法令等のほか、システムリスク管理に関する規程、マニュアルの周知徹底を図らなければならない。

(システムリスクの特定・分析・評価)
第4条 当社は、システムリスク管理規程に基づき、定期的かつ適宜、当社の情報システム、情報資産に係るリスクの所在や種類を特定し、システムの脆弱性及び脅威を分析した上で、当社及びお客様への影響度や対応の必要性等を評価する。

(システムリスク管理及び情報セキュリティに係る教育・訓練)
第5条 当社の役職員が、自らの業務においてかかるシステムリスク管理態勢及び情報セキュリティに関し、適切な対応を実施できるよう、システムリスク及び情報セキュリティに関する教育や研修を実施する。
2 当社は、システムリスクが顕在化した際の早期復旧、業務継続を図るべく、定期的な訓練を実施する。

(情報システム信頼性の向上)
第6条 当社は、情報システムの信頼性、安全性、有効性及び機能性を保持するために、情報システムの立案段階から計画性を持ち、一貫した管理方法に基づき、開発、運用及び保守の各段階において的確な対策を講じる。

(事業継続性の確保)
第7条 当社は、当社が扱う情報の漏えい、紛失、改ざん及び不正アクセス並びに情報システムの中断及び信頼性損失等の情報資産に影響を及ぼす可能性のあるシステムリスクとその影響範囲を定期的に把握及び想定し、事業継続性を堅持するために持続的なリスク管理を行う。また、災害、トラブル及び想定外のリスク事象の発生時においても、影響範囲を最小化するためのシステム管理及びシステム運用をめざし、万が一システムが中断した場合でも早期に復旧可能な措置を講じる。

(情報セキュリティ対策の充足)
第8条 当社は、情報資産の機密性、保全性、可用性を適切に維持するため、情報セキュリティに関する管理態勢・規定・手順書を整備し、それに基づく情報セキュリティ管理の適切な運用を行う。それらの状況を評価し、必要に応じて適切な予防処置及び是正処置を講じることにより、情報セキュリティの充足を図る。

(外部委託先管理態勢の整備)
第9条 当社は、システム開発、システム運用又はその保有する情報資産管理を外部に業務委託する場合、選定基準、評価等の手続を明確にし、外部委託先の適格性を十分に審査した上で、当該外部委託先に当社と同等以上のシステムリスク管理を行う事を求める。また、そのシステムリスク管理が適切に維持されていることを確認し続けていくために、当該外部委託先のシステムリスク管理態勢を継続的に検証し、業務委託における信頼性の確保に努める。

(情報システムのモニタリング)
第10条 当社は、情報資産管理及び情報セキュリティ保持の観点から、情報システムに対するモニタリング態勢・環境の構築を行うとともに、定期的に分析及び評価を実施し、必要に応じて是正措置を講じる。

(監査体制の整備)
第11条 当社は、本方針及びそれに基づく規程やガイドライン、関連法令を遵守しているか、そのリスクの程度に応じた頻度、手法等で監査を実施する。当該監査の結果を踏まえ、必要に応じて適切な是正措置を講じることにより、システムリスク管理の継続的な改善に努める。


以上