仮想通貨事業者が遵守するべき情報セキュリティ対策とは【仮想通貨法のガイドラインから読み解く】

仮想通貨事業者は「情報セキュリティ対策」が必須

２０１７年から施行される仮想通貨法案。内閣府令及びガイドラインも発表されました。

参考ブログ：
仮想通貨法の内閣府令及びガイドラインを弁護士が解説！仮想通貨交換業への登録のためにすることとは？
金融庁のガイドラインにみる仮想通貨の範囲・仮想通貨交換業者の該当性のポイント
【仮想通貨法の内閣府令・金融庁ガイドライン】事業者が利用者に対する情報提供措置とは？

その中で、仮想通貨事業者が遵守するべきものとして、情報セキュリティ対策があります。

仮想通貨法の内閣府令でも、次のようにされています。

仮想通貨交換業者は、その取り扱う個人である仮想通貨交換業の利用者に関する情報の安全管理 、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい 、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。（内閣府令１３条）

では、具体的にどのような体制を整備すればよいのでしょうか？金融庁から出されているガイドラインをもとに、みていきましょう！

仮想通貨事業者の情報セキュリティリスクとは

仮想通貨事業者は、その運営に当たり、高度な情報システムを有していることが通常です。
その分、重要情報に対する不正アクセス、漏えい等のリスクが大きくなっているともいえます。

ガイドラインでも、次のように具体的な対策が詳細に規定されています。

システムが安全かつ安定的に稼動することは資金決済システム及び 仮想通貨交換業者に対する信頼性を確保するための大前提であり、システムリスク管理態勢の充実強化は極めて重要である。

企業の内部対策

会社は、システムリスクの重要性を十分に認識した上で、システムを統括管理する役員（責任者）を定めていることが必要です。
この責任者は、システムや情報管理を分かっているものであることが望ましいとされています。

社内規則の制定

システムリスク管理の基本方針が定められているか。システムリスク管理の基本方針には、セキュリティポリシー（組織の情報資産を適切に保護するための基本方針） 及び外部委託先に関する方針が含まれているかが大事になります。

これらは、個人情報保護法のもとでも、企業はプライバシーポリシーなどを作成し公表する必要がありますが、仮想通貨事業者は、その他の事業者に比べて、さらに重要な情報を持っていますので、こういった社内規則を策定することが必要なのです。

情報セキュリティ対策

コンピュータシステムの不正使用防止対策、不正アクセス防止対策、コンピュータ ウィルス等の不正プログラムの侵入防止対策等を実施しているか。

洗い出した利用者の重要情報について、重要度判定やリスク評価を実施しているか。
また、それぞれの重要度やリスクに応じ、以下のような情報管理ルールを策定しているか。

1. 情報の暗号化・マスキングのルール
2. 情報を利用する際の利用ルール
3. 記録媒体等の取扱いルール

個人情報の漏えい事件で、大規模な漏えいが起こる原因は外部からの不正アクセスです。事業者としては、その対策をする必要があります。

障害発生時の対応プラン策定

万が一、障害が発生した場合に、被害を最小限に抑えるために、緊急時の体制を定めておく必要があります。
ガイドラインでも、以下の観点から、対応プランを定める必要があるのです。

• システム障害等が発生した場合に、利用者に対し、無用の混乱を生じさせないよう 適切な措置を講じているか
• システム障害等の発生に備え、最悪のシナリオを想定した上で、必要な対応を 行う態勢となっているか
• システム障害等の発生に備え、外部委託先を含めた報告態勢、指揮・命令系統が明確になっているか

システム障害等が発生した場合の対応

実際にシステム障害などが起こった場合には、仮想通貨事業者は、金融庁に対して、「障害発生等報告書」を提出する必要があります。

また、復旧時、原因解明時には改めてその旨報告が必要です。仮に、障害原因の解明がされていない場合でも１か月以内に現状につい て報告を求められます。

上記報告がされない、遅れた場合には、金融庁から指導が入ります。そうならないように、日頃からシステム障害を想定した体制作りが大事なのです。

事業者は、金融庁の監督があることを理解する

仮想通貨事業者は、法施行後は、金融庁の監督のもと、事業をすることになります。
ということは、金融庁に対して、きちんと内部体制を整えていることをアピールする必要があります。

ガイドラインの記述を参考に、しっかりとした内部体制を作りましょう！

Tweet