サイバーセキュリティ基本方針

経営課題としての認識

金融市場インフラを安全かつ安定的に稼働させることが株式会社日本取引所グループ、株式会社東京証券取引所、株式会社大阪取引所、株式会社東京商品取引所、株式会社JPX総研、日本取引所自主規制法人及び株式会社日本証券クリアリング機構（以下「JPX」という）の社会的責務であるとして認識し、サイバーセキュリティに関連する諸法令を遵守します。
サイバー攻撃等に関するリスクをJPXの重要リスクの一つとして位置付け、経営主導によるサイバーセキュリティ対策を推進します。
サイバー攻撃の完全な防御は不可能との認識の元、サイバー攻撃に対する防御及びレジリエンス(影響極小化・復旧迅速化)を継続的に改善するとともに、先進技術の検証等、将来的な環境変化への対応を着実に推進します。

ガバナンス態勢

国内外の各種ガイドラインを参考にサイバーセキュリティ基準を整備し、戦略の策定や体制の構築及び対策強化を推進します。
サイバーセキュリティの管理及び対策に関する所管組織をそれぞれ明確化し、これらの組織を中心として全社一体的に各種施策を履行します。
取締役会や経営を含めた全社的なコミュニケーション態勢を確立させ、サイバーリスクの評価、モニタリング及び改善といったPDCAサイクルを機能させると共に、環境の変化に応じた適切な経営判断ができるガバナンス態勢を整備します。

インシデントレスポンス態勢

サイバーインシデント発生時の事業継続にあたっては、JPXのBCP(緊急時事業継続計画)に準拠した再開目標を設定します。
サイバー脅威に関する分析やセキュリティ対策を実現するJPX-CSIRTを設置し、脅威の監視・対策の運用を24時間365日体制で実施します。
有事の際に情報連携、意思決定、対外広報、技術的対応等を確実かつ迅速に行えるよう、定期的に演習や訓練を実施します。
リスク発現時等には市場関係者等に適切な情報発信を行い、エコシステム全体の安全性を確保します。

サイバーセキュリティ対策への取り組み

「セキュリティ・バイ・デザイン」の考え方を基本とし、システムやサービスの開発・設計・製造・提供をはじめとする様々な事業活動において、サイバーセキュリティ対策に努めます。
サイバーリスクの特定・発現の未然防止のため、政府やセキュリティベンダ等から脅威インテリジェンスを収集し、JPXに与えうる影響を踏まえて、優先度をつけた対策を実施します。
システムに対する多層的防御体制等を導入し、継続的にTLPT※等を実施することにより技術的な対策の有効性・実効性をテストし、さらなるレジリエンス態勢の強化に取り組みます。

企業文化醸成・人材確保

社内人材の育成及び適切なアウトソースの活用により、セキュリティ人材を確保します。
JPXの役職員のみならず業務支援者を含めJPXで従事する全ての人員を対象に、定期的な教育・訓練を通じてサイバーセキュリティの重要性への理解を促進し、金融市場インフラの安全かつ安定的な稼働に向けて協働して取り組む姿勢の企業文化を定着させます。
加えて、経営層、IT担当者等として果たすべき責務や役割に応じた適切な教育・訓練を実施し、実効性のある態勢を構築します。

サードパーティの安全性確保

市場関係者、上場会社、市場関連サービスに係る協業先及び利用者などJPXビジネスの関係先に加え、ビジネスの源泉となるITサービスの運営に関わる事業パートナー（機器の供給元等）等、JPXを取り巻くサプライチェーンは多岐に亘ることを組織として認識します。
これらの関係先に対し、ウェブサイト等を通じた注意喚起等をはじめとしたサイバー攻撃の脅威及びサイバーセキュリティの意識向上に資する取り組みを実施します。
市場運営において重要な関係先である市場関係者や政府機関等と連携した訓練等を実施し、金融市場全体の信頼性の向上に努めます。

JPXのサイバーセキュリティ管理態勢