セキュリティの取り組み

私たちのセキュリティの取り組み

安心してCOIN+をご利用いただくために、セキュリティに取り組みます。
なりすましによる不正利用の防止と、お預かりする大切な個人情報の漏えい、改ざん防止に尽力します。
様々な対策を組み合わせることで、セキュリティ事故の未然防止、万が一セキュリティ事故が発生した際の影響を最小化します。

情報セキュリティ体制

セキュリティ対策の責任者を定め、安全確保の為の部門間連携を行う体制を構築しています。
取締役会がリスク管理専門役員(CRO:Chief Risk Officer)を任命し、社としてリスク管理の責任のありかを明確にしています。その配下のセキュリティ部門がリスク評価や対策策定などの実業務を行います。個人情報管理責任者は、代表取締役が担います。
社内横断で関係部門が連携し、セキュリティ対策を推進・改善する体制を構築しています。またRecruit-CSIRT*と連携し、外部からのサイバー攻撃対策を強化しています。
*Recruit-CSIRT(Cyber Security Incident Response Team)はサイバー攻撃の常時監視と、被害の未然防止・最小化を実現するリクルート社内のセキュリティ専門組織です。

情報セキュリティ体制情報セキュリティ体制

社内教育

従業員および役職者に対して定期的にセキュリティ教育を行っています。
業務での個人情報取り扱いルールや、サイバー攻撃発生時の対応方法などの知識を装着し、常日頃からセキュリティ意識を持って業務を遂行することを目指しています。また社外事例や技術動向の社内発信を行い、対策の有効性確認や適宜見直しに役立てています。

COIN+の不正利用防止対策

ユーザの皆さまにCOIN+をご利用いただく際の脅威のひとつに、他人があなたになりすまして支払いや送金機能を悪用することがあげられます。COIN+は、なりすまし被害の発生につながるサイバー攻撃や不正利用への対策を行っています。

①SMSを用いた二要素認証
SMSを用いた二要素認証SMSを用いた二要素認証

サービス登録時に、スマートフォンとCOIN+アカウントの紐づけを行う目的で、SMSを用いた二要素認証を行います。
登録完了後は電話番号とパスワード入力で利用が可能です。もし未登録のスマートフォンからログインがあった場合はSMSを用いた二要素認証を行い、なりすましを防止します。

②暗証番号入力
暗証番号入力暗証番号入力

チャージや送金の実行時は、暗証番号の入力が必須です。これによりスマートフォンの盗難・紛失時の悪用を防ぎます。また登録されている個人情報の更新時も暗証番号の入力必須とし、他人による情報の書き換えを防ぎます。

*スマートフォンの盗難・紛失時は、警察に遺失物届を提出してください。

③モニタリング
モニタリングモニタリング

専門チームが、不正なログインや取引の兆候を常時モニタリングしています。被害の未然防止と、被害発生時の拡大防止を行います。

これらの安全を保つための取り組みは、継続的に改善しています。改善を積み重ねることで、皆さまに安心してサービスを使っていただけることを目指しています。

個人情報の漏えい、改ざん対策

個人情報の漏えい、改ざんの原因を外部からのサイバー攻撃と内部者による不正持ち出しに分類し、それぞれに対策を取っています。

個人情報の漏えい、改ざん対策個人情報の漏えい、改ざん対策
①外部からのサイバー攻撃対策

サイバー攻撃対策として、情報セキュリティ部門による監視を行います。異常を検知した場合は、関連部署と緊密に連携し、早期回復を行います。対応にあたっては、必要に応じてRecruit-CSIRTと連携を行います。またマルウェアの検知と感染防止も行っています。サイバー攻撃の標的となるシステムの技術的弱点をなくすために、対策実装レビュー、脆弱性検査や修正プログラム適用管理を行っています。

・外部団体との連携
COIN+が保持するご利用者やお取引先の大切な情報を狙うサイバー攻撃は、日々手法が高度化かつ複雑化しています。そのため被害防止策の最新情報を収集し、セキュリティ業務の継続的な改善を行う目的で、Recruit-CSIRTを通じて情報セキュリティの外部団体に加盟し、所轄官公庁と連携しています。

<Recruit-CSIRTが加盟している外部団体>

②内部者による個人情報の不正持ち出し対策

内部の不正持ち出し防止のために、氏名・電話番号・取引履歴などの重要な個人情報は、限られた人だけがアクセスできる専用環境で取り扱います。専用環境の外へ重要な個人情報を持ち出す時は、承認を行います。専用環境の利用徹底の確認、重要な個人情報を含む外部通信の監視、システム管理者の操作ログ点検などを行っています。

ユーザの皆様へ:フィッシング対策のお願い

COIN+を安全に使うために、フィッシングメール・SMSにご注意ください。

フィッシングとは

フィッシングとは、皆さまの電話番号やパスワードなど大切な情報を盗み取る詐欺行為のことです。 COIN+を装ったメールやSMSを送付し、本物そっくりに偽装したウェブサイト(フィッシングサイト)へ誘導し、電話番号やパスワードなどの入力を促します。これらの情報を入手した第三者があなたになりすまして支払いや送金を行ったり、登録している個人情報を盗み取ったりします。フィッシングによる被害は年々増加しています。

被害にあわないために

フィッシング詐欺にあわないために、皆さま自身で行っていただけることがあります。

①パソコンやモバイル端末のOSやアプリを安全に保つ

パソコンやモバイル端末で利用しているアプリやOSは最新のものを利用してください。古いOSやアプリのままだと、マルウェアに感染し偽装メールやSMSを送りつけられる危険性が高まります。またOSやアプリは提供元が指定する公式サイトから入手してください。非公式アプリをインストールすることでパソコンやモバイル端末内の重要情報を盗まれる危険性が高まります。

②メールやSMSの差出人名や組織名に用心する

メールやSMSの差出人(=送信元)の表示は簡単に改ざんすることができます。そのためフィッシングメールは、それらしい差出人名や組織名を利用します。COIN+をかたってはいるものの、初めて見る差出人や組織名の場合はフィッシングメールかもしれないと用心してください。また驚かすような件名である場合も同様です。

③メールやSMS本文にあるリンクはクリックしない

フィッシング詐欺は、偽装サイト(フィッシングサイト)に誘導し、電話番号やパスワードを入力させることで情報を入手します。そのためメールやSMS本文に、電話番号やパスワード、個人情報の入力や更新を促す文面があり、入力先のリンクやURLやボタンが掲載されている場合は決してクリックしないでください。サイトにアクセスする場合は、検索エンジンを用いてアクセスする、あらかじめ登録しておいたブックマークからアクセスする方が安全です。マルウェア感染対策ソフトやブラウザの中には、フィッシングサイトにアクセスしようとすると警告メッセージを表示させる機能をもつものがあります。警告メッセージが出た場合にはアクセスはしないでください。

④ID(電話番号)とパスワードの安全な管理

複数のサービスでID(電話番号)やパスワードを使いまわすと、あるサービスからID(電話番号)やパスワードが盗み取られた場合に、使いまわしている全てのサービスでなりすまし被害を受ける可能性があります。サービスごとに異なるパスワードを設定してください。

もしもの場合の対応

COIN+をかたる疑わしいメールやSMSを受信された場合は、こちらにご連絡ください。

覚えのない支払いや送金を発見した場合は、こちらにご連絡ください。

偽装サイト(フィッシングサイト)で電話番号やパスワードを入力してしまった場合は、お使いのアプリからパスワード情報を更新してください。

以上