Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2年間で約600件システムがリスク管理の対象外だったSBI証券に行政処分

金融庁は、システム障害のリスク管理が不十分であるとの証券取引等監視委員会による勧告を受け、SBI証券に対して金融商品取引法に基づき行政処分を行った。

同社では、「システム運用管理基準」を設けてシステム障害対策を行っているが、システム障害の多くがリスク管理の対象となっておらず、システムリスク管理そのものが実質的に機能していない状況であることが証取委の検査で判明したもの。外部委託先や担当者レベルで対応が行われ、経営陣も実態を把握していなかった。

具体的には、「システム運用管理基準」により管理対象となっていたシステム障害は2008年から188件が発生していたが、管理対象外となったシステム障害は少なくとも592件にのぼり、そのうち33件は顧客の取引に影響を及ぼす障害だった。

管理対象のケースについても、記録内容や書式に不備があり、原因特定や対策の実施などが不明確で、再発防止策などの実施されておらず、長期間未解決の障害も存在。外部のシステム監査の指摘も改善されず、リスク管理が行われていないことから恒常的に障害や管理不備が発生していた。

(Security NEXT - 2010/02/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

特定電子メール法違反で行政処分 - 杉並区のウェブ運営会社に
サイバートラスト、「セキュアIoTプラットフォーム」事業を強化 - ラックとの資本提携も
「教育情報セキュリティポリシーに関するガイドライン」公開 - パブコメに192件の意見
4社に1社が個人端末を業務利用、4割がルールなし
セキュリティ規程違反で職員を懲戒処分 - 理研
関東財務局、顧客情報流出でM2Jに行政処分 - 新規口座開設を当面停止
政府、指針改正で対策を怠った情報流出も懲戒処分対象に
改正個人情報保護法の政令および施行規則案でパブコメ実施
使用済みスマホ、約6割がそのまま保有 - 約2割が業者へ売却
アークン、なりすましが不正アクセスの原因 - 全取締役を処分