Financial Services Agency

12. Februar 2010 Verwaltungsverfahren der Financial Services Agency gegen SBI SECURITIES Co., Ltd. Als Ergebnis einer Inspektion durch die Securities and Exchange Surveillance Commission gegen SBI SECURITIES Co., Ltd. (im Folgenden als „unser Unternehmen“ bezeichnet), wurde die folgenden Rechtsverstoßtatsachen erkannt und ein Verwaltungsverfahren empfohlen, das am 5. Februar 2010 in einem neuen Fenster geöffnet wird. ○ Situation, in der erkannt wird, dass das Management des elektronischen Informationsverarbeitungssystems im Zusammenhang mit dem Geschäft mit Finanzinstrumenten unzureichend ist. Wie unten beschrieben, wurden jedoch mehr als drei Viertel der aufgetretenen Systemausfälle keinem Risikomanagement unterzogen, und es wurde erkannt, dass das Systemrisikomanagement selbst praktisch nicht funktionsfähig war. Darüber hinaus wurden Mängel im Umsetzungsstand der Fälle festgestellt, in denen die Gesellschaft dem Risikomanagement unterworfen war, sowie Mängel im Entwicklungsstand interner Regelungen. Dies ist darauf zurückzuführen, dass die Unternehmensleitung das Systemrisikomanagement den Verantwortlichen überlassen und Auftragnehmer ausgelagert hat und die tatsächliche Situation des Unternehmens nicht erfasst hat, was auf mangelndes Bewusstsein zurückzuführen ist. (1) Situationen, in denen viele Systemausfälle nicht dem Systemrisikomanagement unterliegen Bis zum Referenzdatum wurden 188 Systemausfälle auf der Grundlage von Managementstandards verwaltet. Als wir jedoch das Auftreten von Systemausfällen in unserem Unternehmen untersuchten, traten während des oben genannten Zeitraums mindestens 592 andere Systemausfälle als die oben genannten auf, und es wurde erkannt, dass sie nicht dem Risikomanagement unterliegen. Darüber hinaus wurde in Bezug auf die 592 Fälle von Systemausfällen festgestellt, dass die zuständigen Abteilungen und das Management sich der Tatsache nicht bewusst waren, dass es zu Ausfällen gekommen war, da Aufzeichnungen und Berichte nicht wie von den Managementstandards vorgeschrieben erstellt wurden. Von den 592 Systemfehlern wurden 33 Fehler identifiziert, die sich auf Kundentransaktionen auswirkten, wie z. (2) Unzureichende Entwicklung von Sicherheitsmaßnahmen Bezüglich der 188 Systemausfälle, die oben unter (1) beschrieben wurden und die dem Risikomanagement der Gesellschaft unterlagen, stellte sich nach Prüfung des Umsetzungsstands usw. die Entwicklung und der Betrieb des Systems wie folgt dar. Mängel wurden bei Sicherheitsmaßnahmen wie der Aufrechterhaltung der Arbeitsqualität festgestellt. 1Es gibt Mängel im Format der Aufzeichnungen und Berichte im Zusammenhang mit Systemausfällen, und der Umsetzungsstatus von Gegenmaßnahmen gemäß der Identifizierung von Ausfallursachen und Analyseergebnissen für jeden Fall ist unklar. Darüber hinaus wurden Maßnahmen wie das regelmäßige Sammeln und Analysieren dieser Daten sowie das Ergreifen von Maßnahmen zur Verhinderung eines erneuten Auftretens nicht umgesetzt. 2Es gibt über einen langen Zeitraum ungelöste Fehler, da kein kontinuierliches Management vom Auftreten von Fehlern bis zum Abschluss der Reaktion und das Clearing-Management von ungelösten Fehlern durchgeführt wird. Darüber hinaus sind aufgrund unzureichender Maßnahmen zur Verhinderung des erneuten Auftretens von Fehlern Systemfehler des gleichen Ereignisses aufgetreten. (3) Unzureichender Stand der Verbesserungen im Zusammenhang mit Sachverhalten, auf die bei Systemprüfungen usw. hingewiesen wurde In unserem Unternehmen wurden seit langem keine Verbesserungen in Bezug auf Sachverhalte vorgenommen, auf die bei Systemprüfungen hingewiesen wurde, die einer externen Prüforganisation anvertraut wurden. aufgrund unzureichender Verbesserung kam es ständig zu Ausfällen aufgrund von Versäumnissen im Risikomanagement und unzureichendem Ausfallmanagement. Darüber hinaus wurde bei den von der Revisionsabteilung der Gesellschaft durchgeführten Prüfungen usw. nicht überprüft, ob die Geschäftstätigkeit in Übereinstimmung mit den Managementstandards geführt wurde, und es wurde erkannt, dass die Wirksamkeit von Systemprüfungen nicht sichergestellt war. (4) Mängel bei Vorschriften usw. in Bezug auf das Systemrisikomanagement Das Unternehmen hat weder grundlegende Richtlinien in Bezug auf das Systemrisikomanagement festgelegt, noch hat es die Standorte und Arten von Risiken identifiziert, die verwaltet werden sollten . (5) Auftreten eines Systemausfalls, der erhebliche Auswirkungen auf Kundentransaktionen hat In unserem Unternehmen ist ein Systemausfall aufgetreten, der erhebliche Auswirkungen auf Kundentransaktionen hat, wie z. Darüber hinaus wurden einige dieser Fälle nicht dem Systemrisikomanagement unterzogen, und die tatsächliche Situation in Bezug auf die Auswirkungen auf Kunden wurde nicht vollständig verstanden. Der Status der oben genannten Geschäftstätigkeiten in unserem Unternehmen basiert auf Artikel 123, Absatz 1, Punkt 14 der Finanzverordnung des Kabinettsbüros „Situation, in der die Verwaltung des elektronischen Informationsverarbeitungssystems als unzureichend angesehen wird“. Darüber hinaus ist die Gesellschaft als großes reines Internet-Wertpapierunternehmen verpflichtet, Systeme mit hoher Fehlertoleranz zu entwickeln und zu betreiben und ein ausreichendes System zu entwickeln, um im Fehlerfall angemessen zu reagieren, was in Anbetracht der Gründe für erforderlich gehalten wird an der Verbesserung arbeiten. Auf der Grundlage des Vorstehenden wurden heute die folgenden administrativen Maßnahmen gegen unser Unternehmen ergriffen. ○ Anordnung zur Geschäftsverbesserung gemäß § 51 des Finanzinstrumente- und Börsengesetzes (1) Untersuchung der Ursache für die Annahme und Normalisierung eines unangemessenen Systemrisikomanagementsystems, Klärung der Verantwortlichkeit und Überprüfung der Sache des Geschäftsverwaltungssystems. (2) Untersuchen Sie frühere Fälle von Systemausfällen, einschließlich Fällen, in denen die Verarbeitung nicht gemäß den Managementstandards für Systemausfälle durchgeführt wurde, und kategorisieren Sie mögliche Fälle und Gegenmaßnahmen, um die Wirksamkeit sicherzustellen. Bauen Sie ein Systemrisikomanagementsystem auf. (3) Um die Bedeutung des Systemmanagements gegenüber Führungskräften und Mitarbeitern zu bekräftigen und ein angemessenes Geschäftsbetriebssystem sicherzustellen, Vorschriften und Geschäftsverfahren zu überprüfen und Schulungen durchzuführen usw. (4) angemessen auf Probleme reagieren, die in früheren externen Systemprüfungen aufgezeigt wurden. Darüber hinaus sind zur angemessenen Überprüfung der Wirksamkeit des Systemrisikomanagements im Allgemeinen, einschließlich der Reaktion auf die angegebenen Punkte, externe Systemprüfungen in geeigneter Weise durchzuführen und das System der internen Revisionsabteilung zu stärken. (5) Bis zum 12. März 2010 (Freitag) für den Status der Antworten auf (1) bis (4) oben (und bis zum 31. Mai 2010 (Montag) für den Fortschrittsstatus danach und drei Tage danach) monatlich) schriftlich.