ユナイテッドワールド証券株式会社に対する検査結果に基づく勧告について

平成20年5月13日

証券取引等監視委員会

  • 1.勧告の内容

    証券取引等監視委員会は、ユナイテッドワールド証券株式会社(東京都港区、資本金12億1,790万円、役職員96名)を検査した結果、下記のとおり、当該金融商品取引業者に係る法令違反の事実が認められたので、本日、内閣総理大臣及び金融庁長官に対して、金融庁設置法第20条第1項の規定に基づき、行政処分を行うよう勧告した。

  • 2.事実関係

    • (1) システムリスク管理態勢の不備

      ユナイテッドワールド証券株式会社(以下「当社」という。)のシステムリスク管理態勢は、以下のとおり、極めて杜撰であることが認められた。

      • マル1 前回検査指摘事項に対する対応の不備

        当社は、平成16年に実施された内閣府沖縄総合事務局による検査において、システムリスク管理態勢の不備についての指摘を受け、その改善策を策定しているものの、実施されていない改善策等が認められ、以下のとおり、当該不備が改善されていない状況が認められた。

        • イ システムリスク管理態勢全般

          改善策として、リスク管理委員会を設置することとし、取締役会においてこれを決議しているにもかかわらず、委員会メンバーの選任等を行っておらず、委員会は一度も開催されていない。

        • ロ システム障害管理態勢

          • (イ)システム障害の定期的な分析等

            改善策として、システム障害を定期的に分析し、システムの品質改善策を委託先と協議するとしているが、障害発生状況の分析及び委託先との協議とも一度も実施していない。また、障害への対応を確認できない状況となっている。

          • (ロ)取締役会等への報告等

            改善策として、システム障害発生時には、障害発生状況を分析し、再発防止策を策定した上で取締役会に報告するとしているが、取締役会への報告は行われているものの、障害記録に記載漏れがあり、障害発生状況の分析を行っておらず、再発防止策も策定していない。

          • (ハ)当局報告

            改善策として、当局への報告態勢を整備して再発を防止するとしているが、報告すべき障害がシステム担当から当局への報告担当に伝達されていないことから、依然として当局あての報告漏れが多数発生している。

        • ハ リスク評価の実施状況

          • (イ)PDCAサイクル等

            改善策として、PDCAサイクルを実行する態勢を確立するなどとしているが、これらについて何ら実施されておらず、リスクの所在や種類の特定がなされていない。

          • (ロ)セキュリティスタンダード作成

            改善策として、セキュリティスタンダードを作成するなどとしているが、これを作成しておらず、システムやシステム関連設備等の重要性・脆弱性評価もなされていない。

          • (ハ)機密情報管理

            改善策として、情報資産の洗い出し及び区分を行うとしているが、これらは未だ行われていない。

        • ニ 危機管理態勢

          • (イ)取締役会承認

            改善策として、システムコンティンジェンシープランは取締役会の承認を受けるとしているが、取締役会の承認を受けていない。

          • (ロ)実効性の維持

            改善策として、システムコンティンジェンシープランに基づく訓練を行うとしているが、訓練は一度も実施されていない。また、組織変更等に伴う見直しもされておらず、システムコンティンジェンシープランは実効性を欠いた不十分なものとなっている。

        • ホ システム監査

          改善策として、外部システム監査を実施し、内部監査部門がチェックするとしているが、外部システム監査等の結果は内部監査部門に伝達されておらず、チェックする態勢となっていない。

      • マル2 その他

        上記マル1のほか、以下のシステムリスク管理態勢の不備が認められた。

        • イ システム監査

          • (イ)内部システム監査

            監査担当者がシステムの専門家でないなど、内部システム監査は、実効性のないものとなっている。

          • (ロ)外部システム監査

            外部システム監査において、安全対策に関する重要な指摘を受けているにもかかわらず、その対応がなされていない。

        • ロ 安全対策の整備

          安全対策としての品質管理の主要な項目である設計レビュー及びテスト結果レビューについて、これらが実施されていないなど、品質管理が不十分な状況が認められた。

        • ハ 障害発生時の対応

          • (イ)顧客への対応

            当社は、顧客の注文を市場に発注できないなどのシステム障害が発生した場合においては、免責事項を理由に、損失補てん等の是正措置は、原則として行わないこととしている。しかしながら、他の証券会社から取次ぎを受けた顧客に対しては、当該他の証券会社を介して損失補てん等の是正措置を行っており、顧客間で不平等な取扱いをしていた。

          • (ロ)原因分析等

            当社は、システム障害発生時における対応手順を定めていなかったことなどから、的確でない複数の復旧作業により、システム障害をさらに拡大させているが、障害を拡大させた原因となる復旧作業の特定を行っておらず、当該システム障害の発生原因の分析が不十分なものとなっている。

      当該金融商品取引業者の上記の業務の状況は、金融商品取引法第40条第2号に基づく金融商品取引業等に関する内閣府令第123条第14号に規定する「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当すると認められる。

    • (2) 分別管理に係る顧客分別金信託額が不足している状況

      当社は、平成19年5月、顧客の預り金の一部を顧客分別金として信託していなかったことから、顧客分別金必要額に比して顧客分別金信託額が不足する状況となり、これを同年11月に認識したにもかかわらず、その状況を継続させ、検査基準日(平成20年2月5日)の直近差替計算基準日(同月1日)現在においても顧客分別金信託額が不足していた。

      当該金融商品取引業者が行った上記の行為は、金融商品取引法第43条の2第2項(平成19年9月29日以前の行為については、平成18年法律第65号による改正前の証券取引法第47条第3項)に違反する。

    • (3) 取引の相手方が取引の名義人等になりすましている疑いがある場合における顧客等の本人確認の未済

      当社は、平成17年5月、同18年10月及び同19年5月、電子メールアドレス等が同一である顧客口座の名寄せを行い、取引の相手方が取引の名義人等になりすましている疑いのある「異姓異住所」口座等を多数抽出したにもかかわらず、必要な本人確認態勢を整備していなかったことから、これらの口座におけるその後の取引に際し、金融機関等による顧客等の本人確認等及び預金口座等の不正な利用の防止に関する法律(以下「本人確認法」という。)に基づく本人確認を行っていなかった。

      当該金融商品取引業者が行った上記の行為は、本人確認法第3条第1項及び第2項に違反すると認められる。

 

サイトマップ

ページの先頭に戻る