セキュリティ基本方針

令和元年8月14日
令和8年1月20日改訂
トレイダーズ証券株式会社

当社は、情報の適切な管理が重要な経営課題と位置付け、情報セキュリティ及びサイバーセキュリティ(以下「セキュリティ」という。)に関する当社の統治指針として『セキュリティ基本方針』を定める。当社は、本方針に基づき、セキュリティリスクの極小化及びインシデント発生時のレジリエンス確保を図るために、必要な規程体系を整備する。また、それに基づく実効性のある統制と運営を行い、その状況を客観的に評価・監査することで、セキュリティ・ガバナンス体制の継続的な最適化を図る。

目的

本方針は、当社の情報資産を、事故、災害、犯罪、サイバー攻撃などのさまざまな脅威から守るため、情報資産の機密性・完全性・可用性の確保に継続的に努め、リスクを合理的に低減し、ステークホルダーに対する説明責任を果たすことを目的とする。

用語の定義

本方針における用語の定義は、次に定めるとおりとする。
  1. 「情報セキュリティ」は、当社が保有する情報資産の機密性、完全性及び可用性を侵害する行為(窃取、漏えい、改竄、破壊、消去及び消失その他の脅威)から防護することをいう。
  2. 「サイバーセキュリティ」は、当社が保有する情報資産の情報の機密性・完全性・可用性を電磁的方式による侵害行為から保護することをいう。
  3. 「情報資産」は、当社の企業活動において入手及び知りえた情報、当社が業務上保有する全ての情報並びにこれらの関連資産をいい、データ、文書、情報記憶媒体、情報処理装置、ソフトウェア、情報システム、ネットワーク機器、クラウドサービスのアカウントなどを含む。

セキュリティ・ガバナンス体制の確立

経営陣は、社会的要請や法的要求事項、および事業環境を踏まえ、次に定める役割と権限を明確化した体制を構築し、その実効性を監督する。

  1. 最高情報責任者(CIO : Chief Information Officer)
    情報システムの企画、構築及び運営を統括する。CISOが定めるガバナンス基準に基づき、情報セキュリティ対策の実装及び運用プロセスの確立を統括する。
  2. 最高情報セキュリティ責任者(CISO : Chief Information Security Officer)
    情報セキュリティ及びサイバーセキュリティに関する戦略、統制及び対策を統括する。組織横断的なセキュリティリスク監視体制を整備し、その有効性を評価するとともに、必要に応じて是正措置を指示する権限を持つ。また、事業継続や顧客情報の保護、法令遵守に重大な影響を及ぼす、または及ぼすおそれのある緊急性が高いセキュリティ脅威に対しては、システムの一時停止、ネットワークの遮断、緊急パッチの適用その他の即時対応措置を、事前承認を要さずに実施する権限を有する。ただし、実施後速やかに経営陣及び関係部門に報告し、事後承認を得るものとする。

規程体系の整備

当社は、本方針を下位文書へ具体化するため、セキュリティに関する規程及び手順を整備し、組織内に浸透させることで、情報資産に対する適切かつ実効性のある統制を行う。

監査による保証

当社は、業務の遂行におけるコンプライアンスを徹底し、独立した立場からの監査を実施することで、セキュリティ対策の妥当性及び有効性を検証する。監査は、現状のリスク管理態勢を客観的に評価し、その継続的な改善機会を特定することにより、当社のセキュリティ態勢の向上に資することを目的とする。

セキュリティ対策の実装

  1. 当社は、守るべき情報資産を特定し、その所在及び内容を把握するとともに、情報システムやネットワーク構成などを踏まえ、情報セキュリティ上のリスクを評価、分析し、組織的・物理的・人的・技術的統制措置の観点から当該リスクに応じた情報セキュリティ対策を講じる。
  2. 当社は、情報システムやネットワーク構成などを踏まえ、サイバーセキュリティ上のリスクを評価、分析し、侵入防止、早期検知、封じ込め、影響の極小化及び迅速な復旧を実現するための、多層的かつ統合的な技術的の措置を講じる。これには、境界防御、エンドポイント保護、ネットワーク監視、アクセス制御、データ保護、脅威インテリジェンスの活用等を含むが、これらに限定されない。
  3. 当社は、対策を着実に実施するための計画を策定し、その成果を定量的・定性的に評価し、継続的に最適化するためのマネジメントシステムを確立する。ただし、脅威環境の急激な変化や重大な脆弱性の発見等、緊急性が高い状況においては、CISOの判断により、事業継続及び法令遵守の観点から合理的と認められる範囲において、計画の事前策定を経ずに、暫定的な措置を講じることができる。この場合、事後速やかに評価を行い、必要に応じて計画に反映する。

リテラシーの強化と文化醸成

  1. 当社は、役職員に対して、セキュリティリテラシーの向上を図るとともに、当社の情報資産の適切な管理を実行するための教育・訓練を継続的に実施する。
  2. 当社は、外部のセキュリティに関する情報共有活動に積極的に参加し、当社の情報セキュリティ及びサイバーセキュリティ対策に活用する。

サプライチェーン・ガバナンス

当社は、外部委託を行う場合は、委託先の適格性を十分に審査し、当社のセキュリティ基準の遵守を求める。また、委託先のセキュリティレベルが維持されていることを定期的な評価や監査を通じて統制する。

インシデント対応と事業継続

当社は、セキュリティリスクが顕在化(以下「セキュリティインシデント」といいます。)した場合に備え、有事における即応性と復旧能力を維持・強化する。

  1. 報告体制及び初動対応手順を記した社内諸規程を整備し、役職員及び業務委託先に周知徹底し、定期的かつ実践的な訓練を行う。
  2. サイバー攻撃などを想定して、CISOの指揮のもと、専門チーム(CSIRT : Computer Security Incident Response Team)を組織する。
  3. セキュリティインシデントに関して、官公庁への届出及び関係者への通知を状況に応じ適切に行える体制を組織する。

以上