リスク管理サイバーセキュリティ基本方針

市場の中核インフラとして、的確なリスク管理態勢の下、市場の効率性、利便性及び安全性の向上を追求し、市場の持続的な発展に資することが株式会社日本証券クリアリング機構（以下「JSCC」という）の社会的責務であるとして認識し、サイバーセキュリティに関連する諸法令を遵守します。
サイバー攻撃等に関するリスクをJSCCの重要リスクの一つとして位置付け、経営主導によるサイバーセキュリティ対策を推進します。
サイバー攻撃の完全な防御は不可能との認識の元、サイバー攻撃に対する防御及びレジリエンス(影響極小化・復旧迅速化)を継続的に改善するとともに、先進技術の検証等、将来的な環境変化への対応を着実に推進します。

国内外の各種ガイドラインを参考にサイバーセキュリティ基準を整備し、戦略の策定や体制の構築及び対策強化を推進します。
サイバーセキュリティの管理及び対策に関する所管組織をそれぞれ明確化し、これらの組織を中心として全社一体的に各種施策を履行します。
取締役会や経営を含めた全社的なコミュニケーション態勢を確立させ、サイバーリスクの評価、モニタリング及び改善といったPDCAサイクルを機能させると共に、環境の変化に応じた適切な経営判断ができるガバナンス態勢を整備します。

サイバーインシデント発生時の事業継続にあたっては、JSCCのBCP(緊急時事業継続計画)に準拠した再開目標を設定します。
サイバー脅威に関する分析やセキュリティ対策を実現するJPX-CSIRTと連携し、脅威の監視・対策の運用を24時間365日体制で実施します。
有事の際に情報連携、意思決定、対外広報、技術的対応等を確実かつ迅速に行えるよう、定期的に演習や訓練を実施します。
リスク発現時等には清算参加者等に適切な情報発信を行い、エコシステム全体の安全性を確保します。

「セキュリティ・バイ・デザイン」の考え方を基本とし、システムやサービスの開発・設計・製造・提供をはじめとする様々な事業活動において、サイバーセキュリティ対策に努めます。
サイバーリスクの特定・発現の未然防止のため、政府やセキュリティベンダ等から脅威インテリジェンスを収集し、JSCCに与えうる影響を踏まえて、優先度をつけた対策を実施します。
システムに対する多層的防御体制等を導入し、継続的にTLPT※等を実施することにより技術的な対策の有効性・実効性をテストし、さらなるレジリエンス態勢の強化に取り組みます。
※ Threat-Led Penetration Testing（脅威ベースのペネトレーションテスト）

社内人材の育成及び適切なアウトソースの活用により、セキュリティ人材を確保します。
JSCCの役職員のみならず業務支援者を含めJSCCで従事する全ての人員を対象に、定期的な教育・訓練を通じてサイバーセキュリティの重要性への理解を促進し、金融市場インフラの安全かつ安定的な稼働に向けて協働して取り組む姿勢の企業文化を定着させます。
加えて、経営層、IT担当者等として果たすべき責務や役割に応じた適切な教育・訓練を実施し、実効性のある態勢を構築します。

清算参加者、指定市場開設者、資金決済銀行及びその他関係機関などJSCCビジネスの関係先に加え、ビジネスの源泉となるITサービスの運営に関わる事業パートナー（機器の供給元等）等、JSCCを取り巻くサプライチェーンは多岐に亘ることを組織として認識します。
これらの関係先に対し、ウェブサイト等を通じた注意喚起等をはじめとしたサイバー攻撃の脅威及びサイバーセキュリティの意識向上に資する取り組みを実施します。
清算業務の運営において重要な関係先である清算参加者や政府機関等と連携した訓練等を実施し、金融市場全体の信頼性の向上に努めます。