SPEQTRA

セキュリティポリシー

1. 基本方針

株式会社SPEQTRA Investment Research(以下「当社」)は、お客様の情報資産の安全性を確保し、適切に管理・運用することが社会的責任であると認識しています。当社は、情報セキュリティに関する法令、規制、契約上の要求事項を遵守し、情報セキュリティマネジメントシステムを確立・実施・維持・継続的に改善することで、お客様に安心してサービスをご利用いただける環境を提供します。

2. 適用範囲

本セキュリティポリシーは、当社が提供するすべてのサービス、システム、および当社が取り扱うすべての情報資産に適用されます。また、当社の全従業員、契約社員、派遣社員、および当社の情報資産にアクセスする全ての関係者に適用されます。

3. 情報セキュリティ体制

当社は、情報セキュリティに関する責任と権限を明確にした体制を構築し、継続的な改善を行います。

  • 情報セキュリティ責任者を任命し、全社的な情報セキュリティ対策の計画・実施・評価・改善を行います
  • 情報セキュリティに関する教育・訓練を定期的に実施し、全従業員のセキュリティ意識と知識の向上を図ります
  • 情報セキュリティに関するインシデント発生時の対応体制と手順を整備します

4. リスク管理

当社は、情報セキュリティリスクを特定・評価し、適切なリスク対応策を実施します。

  • 定期的にリスクアセスメントを実施し、潜在的な脅威と脆弱性を特定します
  • 特定されたリスクに対して、回避・低減・移転・受容の適切な対応策を選択し実施します
  • リスク対応策の有効性を定期的に評価し、必要に応じて見直しを行います

5. 資産管理

当社は、情報資産を適切に分類し、その重要度に応じた管理を行います。

  • 情報資産の棚卸しを定期的に実施し、情報資産台帳を維持・更新します
  • 情報資産の機密性・完全性・可用性に基づき分類し、適切な取扱い手順を定めます
  • 情報資産の廃棄・返却時には、適切な手順に従いデータの消去・破壊を行います

6. アクセス制御

当社は、情報資産への不正アクセスを防止するため、適切なアクセス制御を実施します。

  • 業務上必要最小限の権限のみを付与する「最小権限の原則」を適用します
  • パスワード管理、多要素認証など、適切な認証メカニズムを導入します
  • アクセス権の定期的な見直しと不要となったアクセス権の速やかな削除を行います
  • 特権アカウントの厳格な管理と監視を実施します

7. 暗号化

当社は、機密情報の保護のため、適切な暗号化技術を使用します。

  • 保存データ(データアットレスト)と送信データ(データイントランジット)に適切な暗号化を適用します
  • 暗号鍵の安全な生成・保管・破棄の手順を整備します
  • 業界標準の暗号化アルゴリズムとプロトコルを使用します

8. システム開発・保守

当社は、システム開発・保守においてセキュリティを考慮した設計と実装を行います。

  • セキュリティバイデザインの原則に基づき、設計段階からセキュリティ要件を組み込みます
  • 開発環境と本番環境を分離し、適切なアクセス制御を実施します
  • セキュリティテストを定期的に実施し、脆弱性の早期発見と修正を行います
  • ソースコードの安全な管理とレビューを実施します

9. インシデント対応

当社は、情報セキュリティインシデントの迅速かつ効果的な対応のための体制と手順を整備します。

  • インシデント対応チームを組織し、役割と責任を明確にします
  • インシデントの検知・報告・初期対応・調査・復旧・再発防止の一連の手順を定めます
  • インシデント対応訓練を定期的に実施し、対応能力の向上を図ります
  • インシデントから得られた教訓を文書化し、セキュリティ対策の改善に活用します

10. 事業継続管理

当社は、災害やセキュリティインシデントが発生した場合でも、重要な業務を継続または速やかに復旧するための計画を整備します。

  • 事業影響度分析を実施し、重要業務と復旧目標時間を特定します
  • バックアップの取得と定期的な復元テストを実施します
  • 災害復旧計画を策定し、定期的に訓練と見直しを行います

11. 法令遵守

当社は、情報セキュリティに関連する法令、規制、契約上の要求事項を特定し、遵守します。

  • 個人情報保護法、不正アクセス禁止法などの関連法令を遵守します
  • 知的財産権を尊重し、ライセンス契約を遵守します
  • 法令や規制の変更を監視し、必要に応じて対応します

12. 監査と評価

当社は、情報セキュリティ対策の有効性を定期的に監査・評価し、継続的な改善を行います。

  • 内部監査を定期的に実施し、セキュリティポリシーの遵守状況を確認します
  • 外部の専門家による脆弱性診断やペネトレーションテストを定期的に実施します
  • 監査・評価の結果をもとに、セキュリティ対策の改善計画を立案・実施します

制定日:2025年4月1日

本セキュリティポリシーは、情報セキュリティ環境の変化や技術の進歩に応じて、定期的に見直しを行います。