情報セキュリティ方針SECURITY POLYCY

株式会社Xtheta(以下、「当社」という。)は、当社の企業理念に基づいて、当社がお客様に提供する仮想通貨取引サービスによって、当社並びに仮想通貨交換業に対する社会的信頼をより向上させるべく日々努力を続けております。 ITの急速な発展とともに、ITを通じた様々なサービス提供が可能となり、仮想通貨をはじめとする重要な情報のやり取りを、ネットワークを介して行うことが可能になりました。 仮想通貨交換業が今後とも発展を続けるためには、当社が提供する仮想通貨取引サービスを通じて知りえたお客さまの情報及び、当社が保有する情報システム・情報資産を、不正アクセス、犯罪、過失、災害などの様々な脅威から保護するため、必要な経営資源を投入し、物理的、技術的なセキュリティを強化していくことが必要です。さらに、すべての役員および従業員がセキュリティに対する高い意識をもって行動することで、お客さまとの信頼関係を維持し、当社の事業目的の実現に努めていかなければなりません。 当社では以下のような取り組みを通じてお客様の資金管理、個人情報保護、詐欺や不正防止への取り組みなど、より安心して当社サービスをご利用いただける配慮と対策を行っております。常にセキュリティへの取り組みを最適化し、最先端のセキュリティ技術と不正対策防止に努めており、お客様の資産保護を行います。 ここに、情報セキュリティ方針を定め、全社一丸となって推進します。

1.情報セキュリティ管理規程の策定と継続的改善
当社は、情報セキュリティの取り組みを、仮想通貨交換業における重要課題のひとつと認識し、法令及びその他の規範に準拠・適合した情報セキュリティ管理規程を策定します。更に、全社における情報セキュリティ管理体制を確立し、これを着実に実施します。加えて組織的、人的、物理的及び技術的な情報セキュリティを維持し、継続的に改善していきます。
2.情報資産の保護と継続的管理
当社は、当社の扱う情報資産の機密性、完全性及び可用性に対する脅威から情報資産を適切に保護するため、安全な管理策を講じます。また、事業継続のために、適切な管理措置を講じます。
3.技術と管理による個人情報保護
当社のシステムは、業界標準暗号化システムであるSSL技術、ファイヤーウォールによるウェブサーバーへの不正アクセスのモニタリング、適時IP制限等の施策を行うことにより、お客様のデータへの不正アクセスを防いでいます。また、お客様の取引情報は高機密レベルの個人情報です。当社では、管理者のアクセスモニタリングの下、厳格な権限設定がされており、徹底したプライバシー対策を取っております。すべてのお客様はプライバシーを保って安心してXthetaでの取引をしていただけます。
4.SSLによるフィッシング対策
当社のSSL証明書は、国際規準の「Web Trust認定」を取得し、セコムルート証明を採用しております。厳格に定められた規定により日本国内以外での法人の取得は困難である為、海外からの不正(サイトの複製や改ざん)をほぼ遮断することができます。また、256bitの強力な暗号化により通信の安全性、フィッシング詐欺防止を行い、お客様の重要な情報が無防備にさらされることを防ぎます。
5.本人確認プロセスの厳格化
当社では政府公機関が発行する写真付きID及び住所確認書類によって、すべてのお客様を一人ずつ所在確認した上で、住所確認用の書面を発行します。その際、返送された場合のアカウントの開設を全て見送り、所在の不明な個人による不正アカウント開設を防ぎます。これらの本人確認プロセスは、第三者のなりすまし操作、詐欺や不正利用を防止し、すべてのユーザーが安心して取引をしていただける環境を確保します。
6.システムコントロールの分離管理の徹底
近年、クラウドハッキングなどの事件も多発し、たとえ堅牢なセキュリティー防御システムやモニタリングシステムを導入しても、早ければ数カ月、遅くとも数年でセキュリティーホールを見破られ突破されるケースは少なくありません。そこで当社では先進の個人情報セパレート対策を施し、例えセキュリティーホールが発見され、侵入されたとしてもお客様情報を断片的にしか収取出来ない仕組みを取り、完全なる顧客データの漏洩を防ぎます。
7.セキュリティー監視セクションのレベル分け
社内監視も厳格なルールを策定し、個人情報を扱えるセクションと扱える情報の属性を分類し、属性毎にアクセス権限を付与することで情報が断片化し、全ての個人情報へのアクセスが非常に困難になります。更に個人情報へアクセスできる部門を限定し、ごく限られた数名の管理者のみにその権限を付与しております。セキュリティー監視責任者を厳密に特定することで、個人情報の外部への流出を最大限防ぐ対策を行っております。
8.資産分別管理
お客様からご依頼いただき保有する資産は全て専用口座にて保有し入口(入金)と出口(出金)を厳格に監視、管理しております。お客様資産と当社資産や別の保有資産と混同しないよう、常に分別管理を行い、お客様の資産の監視を行っております。
9.盗難対策
仮想通貨の秘密鍵は、常時の流動資金は別に、すべてインターネットから隔離されたコールドストレージ(オフライン保存領域)にて保存しています。また、常時の流動資産に関しましても、オンラインの上のストレージをセパレートすることにより、秘密キーの漏洩のリスクを最小限にとどめる策を講じております。
10.個人情報の取扱いについて
当社ではオンライン上の個人情報をセコムのサービスを導入または規定をクリアした上で、個人情報の漏洩に関して万全の対策を行っております。厳しい審査基準をクリアし、更に情報漏洩に備える準備が整っており万が一の時の保証も万全です。
11.本人確認をより厳格なものにする二段階認証
重要な操作の前後において、二段階認証サービスをご利用いただきます。ログインパスワードの他に、ワンタイムパスワードを自動生成しメールにて送付を行います。このように二段階認証をご提供することで、成りすましによる専用口座への不正アクセスを最大限防ぐことが可能になります。
12.その他の対策
Cookieのセキュアオプション:secureオプションを取得することにより、COOKIE変数の値やセッションにおいて、ユーザとサーバの間は暗号化通信の実施を保証します。クロスサイトスクリプティング対策:Frame構造を使用しない仕様を心がけ、特定のタグや文字列をサニタイズ、そのタイミングはHTML出力直前に行います。
13.セキュリティーバッチのアップデート
サーバ、ローカルPC含めお客様の資産へアクセスする端末のセキュリティーソースのアップデートを常時行っております。脆弱性が発見された場合、その対策が行われるまで一時的に全ネットワークを遮断する等の緊急措置を行います。
14.法令・規範の遵守
当社は、情報セキュリティに関する法令及びその他の規範を遵守します。また、当社の情報セキュリティ管理規程を、これらの法令及びその他の規範に適合させます。これらに違反した場合には、就業規則等に照らして、然るべき処分を行います。
15.教育・訓練
当社は、当社役員及び従業員へ情報セキュリティの意識向上を図るとともに、情報セキュリティに関する教育・訓練を行います。
16.事故発生予防と発生時の対応
当社は、情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、再発防止策を含む適切な対策を速やかに講じます。
17.委託先の管理・監督
当社は、業務を委託する場合には、当社と同等の情報セキュリティの管理策が講じられるように、委託先と情報セキュリティ方針を共有し、その管理・監督を行います。また、再委託にあたっても、委託先を通じて同様の方針の共有ならびに管理・監督の手続きを徹底します。