システムリスク管理方針

KOYO証券株式会社(以降、当社)は、さまざまな業務においてコンピュータシステムを使用しており、それらコンピュータシステムのダウンまたは誤動作、システムの不備、コンピュータの不正使用等により、当社のお客様及び当社が損失を被るリスクをシステムリスクと認識します。当社ではシステムリスクの発生の防止及び最少化、並びにリスク発生による損失の低減を図り、事業の継続性を確保するうえで、システムに対して適切な安全対策を講じ、金融機関の責任として、また経営リスクの一つとして認識し、本システムリスク管理方針を策定しこれを遵守します。

第1条(対象・適用範囲)

本管理方針は、当社が業務上使用及び保有するすべてのコンピュータ、データベース及びネットワーク等の情報システム(以降、情報システム)、情報システムに含まれるまたは出力される情報(以降、情報資産)、また情報システム及び情報資産の利用・管理に係る業務(以降、関連業務)を対象とし、当社役員、すべての従業員(社員、契約社員、パート、アルバイト、常駐する外部委託先からの要員を含む)、また当社と契約した協力会社及び外部委託先に適用します。

第2条(システムリスク管理体制の整備)

  1. 当社は、システムリスク管理を推進しシステムリスク事象発生時での迅速な対応と復旧を実現するため、システムリスク管理基本規程及び関連手続に基づき、システムリスク管理の体制整備を行います。
  2. 当社は、各部門の担当者及び取締役により構成される「リスク管理委員会」おいて、システムリスクに対する情報の共有化、対応等を検討し、システムリスクに対して迅速かつ適切な意思決定及び対応の実施を目指します。
  3. リスク管理委員会は、管理本部の本部長をシステムリスク管理統括責任者として、また各関連部門から担当者を任命し、全社横断的なシステムリスク管理体制の構築を推進します。
  4. システムリスクの管理体制は、業務内容の変更、システムの導入・廃棄、その他体制に影響を与えうる事象に応じて適宜見直し、常に有効なシステムリスク管理を実施することを目指します。

第3条(システムリスクの特定・分析・評価・対応方針の決定)

  1. 当社は、システムリスク管理基本規程及び関連手続に基づき、定期的かつ適宜、当社の情報システム、情報資産、また関連業務に係るシステムリスクを網羅的に調査、特定し、脆弱性及び脅威を分析した上で、当社及びお客様への影響度や対応の必要性等を評価します。
  2. システムリスクの特定・分析・評価については、システムグループ及びコンプライアンス部コンプライアンスグループが中心となり、関連各部門と連携し全社的な観点から実施し、その結果をリスク管理委員会に報告するものとし、対応方針についてはリスク管理委員会内で検討され、その承認をもって決定します。
  3. システムグループ及びコンプライアンス部コンプライアンスグループは当該対応方針に基づき、関連各部門と協力し安全対策を策定し、関連各部門が安全対策を速やかに実施できるよう支援します。
  4. 対応の実施状況についてはリスク管理委員会で定期的に報告され、全社的なリスク・マネジメントの一環として推進します。

第4条(情報セキュリティ管理)

当社は、別途定めた情報セキュリティ管理方針及び情報セキュリティ管理規程と併せて、情報資産の機密性・完全性・可用性を適切に維持するため情報セキュリティの観点からもシステムリスク管理活動を推進します。

第5条(サイバーセキュリティ管理)

  1. 当社は、サイバー攻撃が高度化・巧妙化していることを踏まえ、サイバーセキュリティ事案の未然防止と発生時の迅速な復旧対応について、経営上の重大な課題と認識し、サイバーセキュリティ管理態勢を整備します。
  2. サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいいます。

第6条(外部委託先管理による信頼性の確保)

当社は、システムの開発・運用・保守を外部委託業者に委託する場合、外部委託先管理規程に則り、選定基準を明確にし、適格性を審査した上、安全かつ正確な委託業務の運用が行なわれるよう、外部委託先におけるシステムリスクの状況把握と評価を行い、適切な安全対策を要請し、委託業務の信頼性の確保を図ります。

第7条(システムリスクに係る教育・周知徹底)

当社の役職員が自らの業務において係るシステムリスクの内容を認知し、適切な対応を実施できるよう、システムリスクに関する啓蒙活動や教育を実施します。

第8条(情報システムの最新技術及び金融犯罪の動向に係る調査・研究)

当社は、常に新たなシステムリスクに対応するために、情報システムの最新技術に関する情報、システムに係る金融犯罪の動向等に関する情報を収集するように努め、社内外の関係者に対する情報共有を推進します。

第9条(システムリスクに係る監査)

  1. 当社は、システムリスクの管理方針、目的、特定・分析・評価・対応、またそのプロセス及び手順の遵守性、有効性、適切性等について定期的かつ適宜監査を実施します。
  2. システムに係る監査は監査室によって内部監査の一環として実施する他、専門家による第三者的な立場からの外部監査の実施も検討します。
  3. 監査において検出された事項は、リスク管理委員会及び取締役会で報告され、内部監査規程に則り、改善が完了するまで報告対象とします。

第10条(法令・規制の遵守)

  1. 当社は、情報システムに係る法令・規制に関する情報収集に努め、変更等が行われた場合の各規程、文書類への変更適応、遵守状況を監視する体制を整備します。
  2. システムグループが情報システムに係る法令・規制の変更に対応します。

第11条(見直し・改廃)

  1. 本管理方針及びシステムリスクに係る規程の改廃については、リスク管理委員会で協議し、取締役会の承認を得たうえで施行します。
  2. 本管理方針及びシステムリスクに係る規程の見直しについては、システムグループで定期的かつ適宜実施し、その内容についてもリスク管理委員会で協議し、変更時には取締役会の承認を得ることとします。
以上

平成25年10月1日(制定)

平成27年3月1日(改定・施行)

平成28年7月1日(改定・施行)