令和元年8月14日
令和2年8月13日改訂
トレイダーズ証券株式会社
当社は、情報の適切な管理が重要な経営課題であることを認識し、お客さまに安心して当社のサービスをご利用いただくために、セキュリティに関する当社の取り組み方針として『セキュリティ基本方針』を宣言し、本方針を遵守いたします。
▼目的
本方針は、当社の情報資産を、事故、災害、犯罪などのさまざまな脅威から守るため、情報資産のセキュリティの確保に積極的に取り組み、社会の信頼に応えることを目的とします。
▼情報セキュリティの定義
本方針における用語の定義は、次に定めるところによるものとします。
- 「情報セキュリティ」は、当社が保有する情報資産の機密性、完全性及び可用性を侵害する行為(窃取、漏えい、改竄、破壊、消去及び消失その他の脅威)から防護することをいいます。
- 「サイバーセキュリティ」は、当社が保有する情報資産の情報の機密性・完全性・可用性を電磁的方式による侵害行為から保護することをいいます。
- 「情報資産」は、当社の企業活動において入手及び知りえた情報、当社が業務上保有する全ての情報並びにこれらの関連資産をいい、情報記憶媒体、情報利用手段、情報保管手段、情報システム、ネットワークなどを含みます。
▼セキュリティ管理体制の整備
当社は、保有する全ての情報資産の保護及び適切な管理を行うため、「最高情報セキュリティ責任者(CISO : Chief Information Security Officer)」を設置し、セキュリティ管理体制を整備、維持します。
▼セキュリティ規程の整備
当社は、情報セキュリティ及びサイバーセキュリティに関する社内規程及びルールを整備し、社内に周知徹底し情報資産の保護及び適切な管理を行います。
▼監査体制の整備
当社は、業務の遂行においてセキュリティに関する法令、社内規程及びルールが遵守され、有効に機能しているかを検証するため、定期的かつ必要に応じてセキュリティ監査を実施します。
▼セキュリティ対策の実施
- 当社は、守るべき情報資産を特定し、その所在及び内容を把握するとともに、情報システムやネットワーク構成などを踏まえ、情報セキュリティ上のリスクを評価、分析し、組織的・物理的・人的安全管理措置の観点から当該リスクに応じた情報セキュリティ対策を講じます。
- 当社は、情報システムやネットワーク構成などを踏まえ、サイバーセキュリティ上のリスクを評価、分析し、入口対策、出口対策及び内部対策の措置を講じます。
- 当社は、情報セキュリティ対策及びサイバーセキュリティ対策を着実に実施するための計画を策定し、その実行を評価し継続的に改善するためのプロセス(PDCAサイクル)を整備します。
▼セキュリティリテラシーの向上
- 当社は、役職員に対して、セキュリティリテラシーの向上を図るとともに、当社の情報資産の適切な管理を実行するための教育・訓練を継続的に実施します。
- 当社は、外部のセキュリティに関する情報共有活動に積極的に参加し、当社の情報セキュリティ及びサイバーセキュリティ対策に活用します。
▼業務委託先の管理体制強化
当社は、情報システムやネットワークなどの開発、運用及び管理に関する業務を委託する場合は、業務委託先の適格性を十分に審査し、当社のセキュリティに関する指針などを周知し、当該指針などに基づく適切なセキュリティの確保を求めます。また、業務委託先のセキュリティレベルが適切に維持されていることを確認するために、定期的な委託先評価又は監査などを実施します。
▼セキュリティインシデント対応
当社は、情報セキュリティ又はサイバーセキュリテイリスクが顕在化(以下「セキュリティインシデント」といいます。)した場合に備え、次の体制を整備、維持します。
- 報告体制及び初動対応手順を記した「コンティンジェンシープラン」を整備し、役職員及び業務委託先に周知徹底し、定期的かつ実践的な訓練を行います。
- セキュリティインシデントに対応するために、CISOの指揮のもと、専門チーム(CSIRT : Computer Security Incident Response Team)を組織します。
- セキュリティインシデントに関して、官公庁への届出及び関係者への通知を状況に応じ適切に行える体制を組織します。
以上
