Financial Services Agency

12 février 2010 Action administrative de l'Agence des services financiers contre SBI SECURITIES Co., Ltd. À la suite d'une inspection par la Securities and Exchange Surveillance Commission contre SBI SECURITIES Co., Ltd. les faits suivants de violation de la loi ont été reconnus et une recommandation a été faite pour demander une action administrative, qui s'ouvrira dans une nouvelle fenêtre le 5 février 2010. ○ Situation dans laquelle il est reconnu que la gestion du système de traitement électronique de l'information liée à l'activité sur instruments financiers est insuffisante Cependant, comme décrit ci-dessous, plus des trois quarts des défaillances du système survenues n'ont pas fait l'objet d'une gestion des risques, et il a été reconnu que la gestion des risques du système elle-même était pratiquement non fonctionnelle. En outre, des lacunes ont été constatées dans l'état de mise en œuvre des cas où la Société était soumise à la gestion des risques, ainsi que des lacunes dans l'état de développement des règlements internes. Cela est dû au fait que la direction de la Société a laissé la gestion des risques du système au responsable et aux sous-traitants, et n'a pas saisi la situation réelle de l'entreprise. (1) Situations où de nombreuses défaillances du système ne font pas l'objet d'une gestion du risque système Jusqu'à la date de référence, 188 défaillances du système étaient gérées selon des normes de gestion. Cependant, lorsque nous avons examiné l'occurrence des pannes de système dans notre entreprise, au moins 592 pannes de système autres que celles ci-dessus se sont produites au cours de la période ci-dessus, et il a été reconnu qu'elles n'étaient pas soumises à la gestion des risques. De plus, concernant les 592 cas de défaillances du système, il a été constaté que les services concernés et la direction n'étaient pas au courant du fait que des défaillances s'étaient produites, car les enregistrements et les rapports n'avaient pas été établis conformément aux normes de gestion. Sur les 592 défaillances du système, 33 défaillances affectant les transactions des clients, telles que l'impossibilité de se connecter et la suspension des commandes et de la réception des commandes, ont été identifiées. (2) Développement insuffisant des mesures de sécurité Concernant les 188 défaillances du système décrites au (1) ci-dessus, qui ont fait l'objet d'une gestion des risques par la Société, après examen de l'état de mise en œuvre, etc., le développement et le fonctionnement du système ont été les suivants. Des lacunes ont été constatées dans les mesures de sécurité telles que le maintien de la qualité du travail. 1Il existe des lacunes dans le format des enregistrements et des rapports liés aux défaillances du système, et l'état de mise en œuvre des contre-mesures en fonction de l'identification des causes de défaillance et des résultats d'analyse pour chaque cas n'est pas clair. De plus, des mesures telles que la collecte et l'analyse régulières de celles-ci et la prise de mesures pour prévenir leur récurrence n'ont pas été mises en œuvre. 2Il y a des pannes non résolues pendant une longue période de temps, car la gestion continue de l'apparition des pannes à l'achèvement de la réponse et de la gestion de l'effacement des pannes non résolues n'est pas effectuée. De plus, en raison de mesures insuffisantes pour empêcher la récurrence des pannes, des pannes système du même événement se sont produites. (3) Etat insuffisant des améliorations liées aux points relevés par les audits système, etc.. Dans notre société, il n'y a pas eu d'amélioration depuis longtemps sur les points pointés lors des audits système confiés à un organisme d'audit externe. en raison d'une amélioration insuffisante, des défaillances dues à des omissions dans la gestion des risques et à une gestion inadéquate des défaillances se produisaient constamment. En outre, dans les audits, etc. menés par le service d'audit de la société, il n'y avait aucune vérification pour savoir si les opérations commerciales étaient menées conformément aux normes de gestion, et il a été reconnu que l'efficacité des audits du système n'était pas assurée. (4) Lacunes dans la réglementation, etc., liées à la gestion des risques du système La Société n'a pas établi de politiques de base liées à la gestion des risques du système, ni identifié les emplacements et les types de risques qui devraient être gérés. . (5) Survenance d'une défaillance du système qui a un impact significatif sur les transactions des clients Au sein de notre entreprise, nous avons connu une défaillance du système qui a un impact significatif sur les transactions des clients, comme l'impossibilité de se connecter et la suspension des commandes et commandes. De plus, certains de ces cas n'ont pas fait l'objet d'une gestion des risques du système et la situation réelle concernant l'impact sur les clients n'a pas été entièrement comprise. Le statut des opérations commerciales ci-dessus de notre société est basé sur l'article 123, paragraphe 1, point 14 de l'ordonnance du Cabinet sur les finances "Situation dans laquelle la gestion du système de traitement électronique de l'information est jugée insuffisante". En outre, en tant que grande société de valeurs mobilières exclusivement Internet, la Société est tenue de développer et d'exploiter des systèmes à forte tolérance aux pannes et de développer un système suffisant pour réagir de manière appropriée en cas de panne. travailler à l'amélioration. Sur la base de ce qui précède, les mesures administratives suivantes ont été prises contre notre société aujourd'hui. ○ Ordre d'amélioration des activités basé sur l'article 51 de la loi sur les instruments financiers et les échanges (1) Enquêter sur la cause de l'acceptation et de la normalisation d'un système de gestion des risques inapproprié, clarifier la responsabilité et revoir le système de gestion des affaires. (2) Enquêter sur les cas de défaillance du système passés, y compris les cas où le traitement n'a pas été effectué conformément aux normes de gestion des défaillances du système, et classer les cas possibles et les contre-mesures pour garantir l'efficacité. Construire un système de gestion des risques du système. (3) Réaffirmer l'importance de la gestion du système pour les dirigeants et les employés, et assurer un système d'exploitation commercial approprié, revoir les réglementations et les procédures commerciales, et mettre en œuvre la formation, etc. (4) Répondre de manière appropriée aux problèmes signalés lors des audits externes antérieurs du système. En outre, afin de vérifier de manière appropriée l'efficacité de la gestion des risques du système en général, y compris la réponse aux éléments indiqués, des audits externes du système doivent être menés de manière appropriée et le système du service d'audit interne doit être renforcé. (5) Avant le 12 mars 2010 (vendredi) pour l'état des réponses aux points (1) à (4) ci-dessus (et avant le 31 mai 2010 (lundi) pour l'état d'avancement après cela, et trois jours par la suite) mensuel) en cours d'écriture.