株式会社ＳＢＩ証券に対する検査結果に基づく勧告について

２．事実関係

• ○　金融商品取引業に係る電子情報処理組織の管理が十分でないと認められる状況

  株式会社ＳＢＩ証券（以下「当社」という。）は、システムリスク管理を社内規程に基づき実施しているが、今回検査において、当社におけるシステムリスク管理態勢について検証したところ、下記のとおり、発生したシステム障害の４分の３以上の事案がリスク管理の対象から漏れており、システムリスク管理そのものが実質的に機能していないに等しい状況が認められた。また、当社がリスク管理の対象としていた事案においても、その実施状況に不備が認められたほか、社内規程等の整備状況にも不備が認められた。

  これは、当社経営陣が、システムリスク管理を担当者や外部委託先任せとし、業務の実態把握を行っておらず、また、当社役職員においても、システムリスクについて社内全体で取り組むべき課題とする認識が不足していることに起因するものである。

• (1) 多数のシステム障害がシステムリスク管理の対象から漏れている状況

  当社は、社内規程「システム運用管理基準」（以下「管理基準」という。）の運用を開始した平成２０年４月頃から検査基準日までの間、１８８件のシステム障害について、管理基準に基づくリスク管理を行っていた。

  しかしながら、当社におけるシステム障害の発生状況を検証したところ、上記期間内に上記以外のシステム障害が少なくとも５９２件発生しており、リスク管理の対象から漏れている状況が認められた。また、５９２件のシステム障害については、管理基準で定められた記録や報告が行われていないため、関連部署及び経営陣が障害発生の事実を認識していない状況が認められた。

  なお、５９２件のシステム障害の中には、ログイン不可や受発注停止といった顧客取引に影響を及ぼす障害が３３件認められた。

• (2) 安全対策に係る整備が不十分な状況

  当社がリスク管理の対象としていた上記(1)のシステム障害１８８件について、その実施状況等を検証したところ、以下のとおり、システムの開発・運用業務の品質維持などの安全対策に不備が認められた。

  • 　システム障害に係る記録や報告書の様式に不備があり、各事案毎の障害原因の特定や分析結果に応じた対策の実施状況等が不明確となっている。また、これらを定期的に集計・分析し、再発防止策を講じるといった対応も実施されていない。

  • 　障害発生から対応完了までの継続管理や未解決障害の消込み管理などが行われておらず、長期間未解決の障害がある。また、障害の再発防止に向けた対策が不十分なため、同一事象のシステム障害が発生している。

• (3) システム監査等により指摘を受けた事項に係る改善状況等の不備

  当社においては、外部監査機関に委託して実施したシステム監査で指摘を受けた事項について、長期間改善が図られていないものが認められたほか、改善が不十分な結果、リスク管理漏れによる障害や障害管理の不備などが恒常的に発生している状況が認められた。

  また、当社監査部が実施した監査等において、管理基準に沿った業務運営が行われているかの検証が行われておらず、システム監査の実効性が確保されていない状況が認められた。

• (4) システムリスク管理に係る規程等の不備

  当社においては、システムリスク管理に係る基本方針の策定や管理すべきリスクの所在と種類の特定がなされていないなど、システムリスク管理に係る規程等の整備状況に不備が認められた。

• (5) 顧客取引に多大な影響を及ぼすシステム障害の発生

  当社においては、当社が重要障害と位置付けているログイン不可や受発注停止といった顧客取引に多大な影響を及ぼすシステム障害が発生しており、また、これらの中にはシステムリスク管理の対象から漏れ、顧客への影響について十分には実態把握していない事案も認められるなど、投資者保護上、問題のある状況が認められた。

当社における上記の業務の運営の状況は、金融商品取引法第４０条第２号に基づく金融商品取引業等に関する内閣府令第１２３条第１項第１４号に規定する「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当するものと認められる。