Financial Services Agency

サクソバンク証券株式会社に対する行政処分について 令和2年9月18日 関東財務局 1．サクソバンク証券株式会社（本店：東京都港区、法人番号8010401082810）（以下「当社」という。）に対し、令和2年7月31日付で金融商品取引法（昭和23年法律第25号）第56条の2第1項及び個人情報の保護に関する法律（平成15年法律第57号）第40条第1項の規定に基づく報告を求めたところ、以下の事実が認められた。 当社の顧客の個人情報等を管理する外部委託先が第三者による不正アクセスを受け、38,026名分に及ぶ多数の個人情報（氏名、生年月日、住所、電子メールアドレス等（750名分の運転免許証、パスポート、個人番号カード等といった本人確認書類等の画像データを含む。））が漏えいした状況において、システムリスク管理や外部委託先管理に関して、十分な再発防止策が講じられていない。 2．以上のことから、本日、当社に対し、金融商品取引法第51条の規定に基づき、以下の行政処分を行った。 【業務改善命令】 (1)今回発生した事案について、徹底した事案の解明及び深度ある原因分析を行ったうえで、個人情報の安全管理措置義務と外部委託先の監督義務を履行するため、システムリスク管理及び外部委託先管理に関して、適正かつ確実な業務運営を確保するための態勢を構築すること。 (2)今回発生した事案について、引き続き、顧客に適切に周知・説明を行うとともに、顧客からの問い合わせには、万全の対応を行うこと。 (3)本件に係る責任の所在の明確化を図ること。 (4)上記(1)から(3)までについて、その対応・実施状況を令和2年10月19日（月曜）までに書面で報告するとともに、その後の進捗状況を当面の間、随時、書面で報告すること。