平成22年2月12日
金融庁
株式会社SBI証券に対する行政処分について
株式会社SBI証券(以下「当社」といいます。)に対する証券取引等監視委員会による検査の結果、以下のとおり法令違反の事実が認められたとして、平成22年2月5日、行政処分を求める勧告が行われました。
○金融商品取引業にかかる電子情報処理組織の管理が十分でないと認められる状況
当社は、システムリスク管理を社内規程に基づき実施しているが、今回検査において、当社におけるシステムリスク管理態勢について検証したところ、下記のとおり、発生したシステム障害の4分の3以上の事案がリスク管理の対象から漏れており、システムリスク管理そのものが実質的に機能していないに等しい状況が認められた。また、当社がリスク管理の対象としていた事案においても、その実施状況に不備が認められたほか、社内規程等の整備状況にも不備が認められた。
これは、当社経営陣が、システムリスク管理を担当者や外部委託先任せとし、業務の実態把握を行っておらず、また、当社役職員においても、システムリスクについて社内全体で取り組むべき課題とする認識が不足していることに起因するものである。
(1)多数のシステム障害がシステムリスク管理の対象から漏れている状況
当社は、社内規程「システム運用管理基準」(以下「管理基準」という。)の運用を開始した平成20年4月頃から検査基準日までの間、188件のシステム障害について、管理基準に基づくリスク管理を行っていた。
しかしながら、当社におけるシステム障害の発生状況を検証したところ、上記期間内に上記以外のシステム障害が少なくとも592件発生しており、リスク管理の対象から漏れている状況が認められた。また、592件のシステム障害については、管理基準で定められた記録や報告が行われていないため、関連部署及び経営陣が障害発生の事実を認識していない状況が認められた。
なお、592件のシステム障害の中には、ログイン不可や受発注停止といった顧客取引に影響を及ぼす障害が33件認められた。
(2)安全対策に係る整備が不十分な状況
当社がリスク管理の対象としていた上記(1)のシステム障害188件について、その実施状況等を検証したところ、以下のとおり、システムの開発・運用業務の品質維持などの安全対策に不備が認められた。
1システム障害に係る記録や報告書の様式に不備があり、各事案毎の障害原因の特定や分析結果に応じた対策の実施状況等が不明確となっている。また、これらを定期的に集計・分析し、再発防止策を講じるといった対応も実施されていない。
2障害発生から対応完了までの継続管理や未解決障害の消込み管理などが行われておらず、長期間未解決の障害がある。また、障害の再発防止に向けた対策が不十分なため、同一事象のシステム障害が発生している。
(3)システム監査等により指摘を受けた事項に係る改善状況等の不備
当社においては、外部監査機関に委託して実施したシステム監査で指摘を受けた事項について、長期間改善が図られていないものが認められたほか、改善が不十分な結果、リスク管理漏れによる障害や障害管理の不備などが恒常的に発生している状況が認められた。
また、当社監査部が実施した監査等において、管理基準に沿った業務運営が行われているかの検証が行われておらず、システム監査の実効性が確保されていない状況が認められた。
(4)システムリスク管理に係る規程等の不備
当社においては、システムリスク管理に係る基本方針の策定や管理すべきリスクの所在と種類の特定がなされていないなど、システムリスク管理に係る規程等の整備状況に不備が認められた。
(5)顧客取引に多大な影響を及ぼすシステム障害の発生
当社においては、当社が重要障害と位置付けているログイン不可や受発注停止といった顧客取引に多大な影響を及ぼすシステム障害が発生しており、また、これらの中にはシステムリスク管理の対象から漏れ、顧客への影響について十分には実態把握していない事案も認められるなど、投資者保護上、問題のある状況が認められた。
当社における上記の業務の運営の状況は、金融商品取引法第40条第2号に基づく金融商品取引業等に関する内閣府令第123条第1項第14号に規定する「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当するものと認められる。
また、そもそも当社は、大手のインターネット専業証券会社として、耐障害性の強いシステムの開発・運用や障害発生時の適切な対応にかかる十分な態勢を整備することが求められるものであり、上記勧告事由も踏まえ、改善に取り組むことが必要と考えられる。
以上のことから、本日、当社に対し、以下の行政処分を行いました。
○金融商品取引法第51条に基づく業務改善命令
(1)不適切なシステムリスク管理態勢が容認され常態化した原因を究明し、責任の所在を明確化するとともに、経営管理態勢の見直しを行うこと。
(2)システム障害に関する管理基準に沿った処理が実施されていなかった事例も含め、過去のシステム障害事例の検証を行い、想定される事案と対応策を類型化すること等により、実効性あるシステムリスク管理態勢を構築すること。
(3)役職員にシステム管理の重要性を再認識させるとともに、適切な業務運営態勢を確保するため、規程類・業務手順の見直しや研修等の実施等に取り組むこと。
(4)過去の外部システム監査における指摘事項について、適切に対応すること。また、当該指摘事項への対応を含め、システムリスク管理全般の有効性を適切に検証するため、外部システム監査の適切な実施とあわせ、内部監査部門の体制強化を図ること。
(5)上記(1)~(4)への対応状況について、平成22年3月12日(金)まで(及びその後の進捗状況について、平成22年5月31日(月)まで及びその後3月毎)に、書面で報告すること。
お問い合わせ先
金融庁 Tel:03-3506-6000(代表)
監督局証券課(内線2661、3723)