金融庁は、システム障害のリスク管理が不十分であるとの証券取引等監視委員会による勧告を受け、SBI証券に対して金融商品取引法に基づき行政処分を行った。
同社では、「システム運用管理基準」を設けてシステム障害対策を行っているが、システム障害の多くがリスク管理の対象となっておらず、システムリスク管理そのものが実質的に機能していない状況であることが証取委の検査で判明したもの。外部委託先や担当者レベルで対応が行われ、経営陣も実態を把握していなかった。
具体的には、「システム運用管理基準」により管理対象となっていたシステム障害は2008年から188件が発生していたが、管理対象外となったシステム障害は少なくとも592件にのぼり、そのうち33件は顧客の取引に影響を及ぼす障害だった。
管理対象のケースについても、記録内容や書式に不備があり、原因特定や対策の実施などが不明確で、再発防止策などの実施されておらず、長期間未解決の障害も存在。外部のシステム監査の指摘も改善されず、リスク管理が行われていないことから恒常的に障害や管理不備が発生していた。
(Security NEXT - 2010/02/16 )
ツイート
関連リンク
PR
関連記事
無線LAN接続利用者からSNSのID無断取得で行政指導
不正アクセスでパスワード破られる原因、「フィッシング」「設定甘さ」「関係者」で7割
NTTドコモ、情報漏洩や障害で役員報酬をカット - スマホ環境整備で1600億円を投資
総務省、スマホ不具合など重大事故多発でNTTドコモに行政指導
2010年に国の行政機関や独法で発生した個人情報漏洩は2504件
委託先の持ち出しと判断するも証拠や実行者は依然不明 - アリコ報告書
アリコジャパン、顧客のカード情報漏洩で役員関係者を処分
金融庁、個人情報漏洩でアリコに行政処分 - 漏洩範囲や実行者は未だ不明
迷惑メール送信で2社を行政処分 - 総務省と消費者庁の特電法共管後はじめて
譲渡目的でプリペイド携帯を購入した職員を懲戒免職 - 愛知県
