Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2年間で約600件システムがリスク管理の対象外だったSBI証券に行政処分

金融庁は、システム障害のリスク管理が不十分であるとの証券取引等監視委員会による勧告を受け、SBI証券に対して金融商品取引法に基づき行政処分を行った。

同社では、「システム運用管理基準」を設けてシステム障害対策を行っているが、システム障害の多くがリスク管理の対象となっておらず、システムリスク管理そのものが実質的に機能していない状況であることが証取委の検査で判明したもの。外部委託先や担当者レベルで対応が行われ、経営陣も実態を把握していなかった。

具体的には、「システム運用管理基準」により管理対象となっていたシステム障害は2008年から188件が発生していたが、管理対象外となったシステム障害は少なくとも592件にのぼり、そのうち33件は顧客の取引に影響を及ぼす障害だった。

管理対象のケースについても、記録内容や書式に不備があり、原因特定や対策の実施などが不明確で、再発防止策などの実施されておらず、長期間未解決の障害も存在。外部のシステム監査の指摘も改善されず、リスク管理が行われていないことから恒常的に障害や管理不備が発生していた。

(Security NEXT - 2010/02/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

官報公表破産者情報の掲載サイトに停止命令 - 個情委
中小企業の1割、Windows 10への移行「考えていない」
小学校職員を懲戒処分、個人情報持ち出しや紛失書類の偽造で - 仙台市
Facebookに行政指導、不正な情報取得や不正アクセス問題で
GMOペパボ、不正アクセスで調査報告 - 原因はシステムとマネジメント体制の不備
金融庁、仮想通貨取引事業者7社に行政処分 - 2社には業務停止命令も
金融庁、コインチェックに業務改善命令 - 顧客対応や原因調査が不十分
特定電子メール法違反で行政処分 - 杉並区のウェブ運営会社に
サイバートラスト、「セキュアIoTプラットフォーム」事業を強化 - ラックとの資本提携も
「教育情報セキュリティポリシーに関するガイドライン」公開 - パブコメに192件の意見