スパークス・グループ株式会社

サイバーセキュリティ基本方針

1.サイバーセキュリティ基本方針の策定および開示

スパークス・グループ(以下、「当社グループ」といいます)は、「(投資を通じて)世界を豊かに、健やかに、そして幸せにする」というパーパスの実現に向け、1989年の創業以来、「世界で最も信頼・尊敬されるインベストメントカンパニーになる」というビジョンを掲げ、日々「良い投資」の実践に邁進しています。
当社グループでは、企業のデジタルテクノロジーの活用が社会インフラの維持、ライフラインの確保、消費者の保護、持続的な成長や多様な働き方につながるとして、デジタルビジネスの安全性やガバナンスが、ESG の観点からも重要だと考えられていることから、経営者自らが漏えい、改ざんなどの様々な脅威にさらされる当社グループの全てのステークホルダーの情報資産を保全・保護することを通じて、企業としての社会的な責任を果たすとともに、当社グループのサイバーセキュリティに関する考え方、対応方針などについてステークホルダーの皆様と共有するため、本方針を策定しました。

2.経営者によるセキュリティリスク管理体制の構築

当社グループでは、セキュリティ対策を適切且つ確実に実施するため、体制と責任を明確にし、セキュリティ・マネジメント体制の下、適切な情報提供と積極的な情報収集をします。
在京グループでは、取締役会などの経営直下に情報セキュリティ管理責任者 [Chief Information Officer: CIOに相当する] およびサイバーセキュリティ管理責任者 [Chief Information Security Officer: CISOに相当する] を設置しています。さらにセキュリティなどのシステムリスクの管理を担う専門部会を設置しています。社内DX化に伴うクラウドサービス活用の拡がりを考慮し、この専門部会は、利用部門と経営者の仲介役として、取締役会などの経営者側で審議・決裁すべき課題点の共有や利用者へ注意喚起などを実施しています。
なお、当社グループの持株会社であるスパークス・グループ株式会社の取締役会の直下に配置したグループリスク管理委員会に四半期ごとにセキュリティを含むシステムリスクの状況などの報告を求めており、当社グループの保有するリスクを全体的に管理し、当社グループの健全性・適切性を担保することに務めています。

3.セキュリティリスクの把握と対応計画の策定

当社グループでは、システムごとの所管部門により、監督官庁などが提供する脆弱性情報などを参考に当社グループの系列会社・取引先・外部委託先・クラウドサービスなどのサプライチェーンを含むリスクを分析しています。加えて定期的にセキュリティリスクの管理部門がその状況を把握したうえで全社的な評価を行っています。この分析結果をもとに経常的な対策に加えて、次年度の重点的な対策(既存対策の見直しなど)を立案しており、経営者は、対策計画および予算化の審議・決裁・進捗報告などを通じて、リスクの把握および適切な対応の実施に務めています。なお、リスク分析の結果から当社グループで許容できないリスクについては、サイバー保険や外部の専門家の活用を行っており、これらの対策は既に経常的な対策として予算化しています。
在京グループでは、システムリスクの管理を担う専門部会でのセキュリティ対策の計画案・進捗報告・インシデントなどの報告を通じて、経営者は、当社グループのステークホルダーが直面している脅威を把握するとともに、適宜、適切なタイミングで必要な対策を実施することに務めています。

4.セキュリティ対策のための資源(予算、人員等)の確保

当社グループでは、セキュリティリスク所管部門が、リスク分析の結果をもとに、経営環境や事業規模等に応じ、年度等定期的に、また随時セキュリティ対策のために必要と考える外部サービスや外部専門家の利用、適切な知識・経験を有する人材の採用等を検討し、その規模・性質などによって必要とされる意思決定機関の承認を受けています。
在京グループでは、セキュリティの重要性を理解してもらうために、全役職員に対し、セキュリティ教育プログラムを実施しています。具体的には、標的型攻撃メール訓練やセキュリティ関連のeラーニングを実施、サイバー攻撃への注意喚起を周知し、サイバー犯罪への対策に関する知識の共有化を図っています。

5.緊急対応体制の整備

当社グループでは、事業継続を脅かすあらゆる潜在リスクに対応する危機管理を実施するため、事業継続計画(Business Continuity Plan: BCP)を定めており、セキュリティに関する緊急対応もこのBCP体制を活用しています。
在京グループでは、BCP/CSIRT(Computer Security Incident Response Team in BCP)という名称で経営者を含むBCPメンバー対策本部に加えて、システムリスクを所管する部門で構成されており、影響範囲や損害の特定、被害拡大防止を図るための初動対応、復旧対応、再発防止策の検討、社外への適時開示を速やかに実施する体制を構築しています。また、定期的にBCP/CSIRTの訓練を実施しており、実践力の強化を図っています。

6.改訂

当社グループでは、事業拡大に伴って発生する新たなセキュリティリスクへの対応や、事業を展開する各国および各地域の法令・通達等の要求事項の変更等により、必要に応じて当該方針を適宜見直します。

制定