情報セキュリティ管理に対する宣言
株式会社SBI証券(以下当社という)の事業活動にとって、社内に蓄積された情報は極めて重要な資産であり、厳格な管理体制を構築する必要があります。当社の情報セキュリティポリシー及びこのポリシーに基づいて定められたスタンダード・基準等は、当社が取り扱う各種情報資産を保護するための対策の拠り所となるものです。
当社は、社員への教育・啓発活動を通して、情報セキュリティ体制を整備し、顧客情報の保護に万全をつくしていきます。
当社の業務に携わる従業者一人ひとりは、日々の業務において、情報セキュリティの責任を強く自覚し、当社の情報資産を有効活用するための管理を徹底し、もって円滑なる企業活動の確保を図る必要があります。
当社のトップマネジメントは、情報セキュリティ管理の重要性を十分に理解し、この情報セキュリティポリシーを支持し、情報セキュリティの維持及び確保について、全社的な管理態勢で取り組むものとします。
株式会社SBI証券
情報セキュリティ管理体制の整備・運用
当社はお客様に安心してご利用いただけるよう、自主的に情報セキュリティ管理体制を整備し、PDCAサイクルによる運用・見直しにより、安全性・信頼性を高め、事件や事故の未然防止に努めております。
情報セキュリティポリシー
1. 目的
情報セキュリティ基本方針(以下本書という)は、当社が情報セキュリティ管理を維持・向上する上で、必要となる基本的な考え方を定めたものであり、当社の情報セキュリティの考え方の根幹となるものである。
2. 定義
本書で用いる主な用語及び定義は次による。
(1)情報セキュリティ
情報セキュリティとは、情報資産の機密性、完全性及び可用性を維持すること。
- 機密性:認可された利用者だけが、情報資産にアクセスできること。
- 完全性:情報資産の内容が、改ざんや破壊されたりせずに、正確であること。
- 可用性:認可された利用者が、必要なときに、情報資産を利用できること。
(2)情報資産
情報及び情報を管理する仕組み(情報システム並びにシステム開発、導入及び運用保守のための資料等)の総称。電子的なデータはもちろん、コンピュータ及び記憶媒体、印刷物等の紙媒体、人の頭の中にある情報、音声などを含めた、すべての情報及び伝達手段。
(3)情報システム
ハードウェア、ソフトウェア、ネットワーク、記憶媒体で構成されるものであって、これら全体で業務処理を行うもの。
3. 本書の位置づけ
本書は、情報セキュリティ文書の最上位に位置する。
4. 適用範囲
本書の適用範囲は、当社が保有するすべての情報資産とする。また、外部委託先にて取り扱う当社情報資産も適用範囲とする。
5. 適用対象者
本書の適用対象者は、当社の組織内にて、直接又は間接に、当社の指揮監督を受けて、当社の業務に従事しているすべての従業者をいう。従業者には、雇用関係にある者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、当社との間の雇用関係にない者(取締役、監査役、派遣社員等)を含む。
6. 管理体制
当社の情報セキュリティの維持・向上を推進するための組織を設置し、それぞれの従業者の職務と権限を明確にする。
なお、情報セキュリティ対策実施の最高責任者は社長とする。
7. 情報セキュリティ対策の策定
情報セキュリティ対策の策定にあたっては、情報資産に対するリスク分析等に基づいて、対策の有効性・費用対効果・運用の容易性等を考慮する。
8. 教育・周知
すべての従業者に対して、本書及び本書に基づき定められたスタンダード・基準等を遵守するよう教育・周知を行う。
9. 遵守義務
すべての従業者は、情報セキュリティ管理の重要性を認識した上で、本書及び本書に基づき定められたスタンダード・基準等を遵守しなければならない。
10. 監査
情報セキュリティの有効性及び妥当性の確認は、自主点検、内部監査、外部監査等により行う。
11. 罰則
本書及び本書に基づき定められたスタンダード・基準等の遵守を、適用対象者が怠った場合、就業規則に基づいた懲戒処分又は法的処分の対象となる場合がある。
12. 改廃
本書の改廃は、リスク管理部が起案し、取締役会が承認する。