2年間で約600件システムがリスク管理の対象外だったSBI証券に行政処分

金融庁は、システム障害のリスク管理が不十分であるとの証券取引等監視委員会による勧告を受け、SBI証券に対して金融商品取引法に基づき行政処分を行った。

同社では、「システム運用管理基準」を設けてシステム障害対策を行っているが、システム障害の多くがリスク管理の対象となっておらず、システムリスク管理そのものが実質的に機能していない状況であることが証取委の検査で判明したもの。外部委託先や担当者レベルで対応が行われ、経営陣も実態を把握していなかった。

具体的には、「システム運用管理基準」により管理対象となっていたシステム障害は2008年から188件が発生していたが、管理対象外となったシステム障害は少なくとも592件にのぼり、そのうち33件は顧客の取引に影響を及ぼす障害だった。

管理対象のケースについても、記録内容や書式に不備があり、原因特定や対策の実施などが不明確で、再発防止策などの実施されておらず、長期間未解決の障害も存在。外部のシステム監査の指摘も改善されず、リスク管理が行われていないことから恒常的に障害や管理不備が発生していた。

（Security NEXT - 2010/02/16 ）ツイート