マネックス証券株式会社に対する行政処分について
平成21年3月24日
金融庁
マネックス証券株式会社に対する行政処分について
マネックス証券株式会社(以下「当社」という。)に対する証券取引等監視委員会による検査の結果、以下のとおり法令違反の事実が認められたとして、平成21年3月13日、行政処分を求める勧告新しいウィンドウで開きますが行われました。
○金融商品取引業に係る電子情報処理組織の管理が十分でないと認められる状況
当社は、金融庁長官から、平成18年6月7日、「証券業に係る電子情報処理組織の管理が十分でないと認められる状況に該当する」との理由で業務改善命令を受け、同命令に基づき、同年7月7日、「証券取引法第56条第1項の業務改善命令に基づく報告について」(以下「改善報告書」という。)を金融庁長官に提出し、外部委託先に対する改善の要請及び当社による当該改善実施状況の継続的確認、並びに当社における改善策の報告を行った。
ところが、当社経営陣は、上記改善策等の実施状況について、電子情報処理組織の管理に係る改善活動の主体であるテクノロジー部からの報告を受けるのみで、(1)各部が行う改善状況を統括的に管理監督する責務を担う部署を定めず、(2)改善活動の具体的な方針を定めず、(3)改善活動の評価基準を定めていなかったことから、改善策等の対応が以下のとおりとなっており、依然として電子情報処理組織の管理が十分でないと認められる状況にある。
1. 外部委託先における改善策の実施状況
当社は、外部委託先の改善項目について、その改善がどのように実施されているかを把握しておらず、多数の改善漏れが発生した。
2. 当社における改善策の実施状況
当社は、改善報告書において、以下の点を改善項目として挙げていたが、その改善状況は十分なものと認められない。また、改善報告書に基づく改善状況を監査する立場の業務改善支援室は、各改善項目に係る実効性のある検証を行っていたものとは認められない。
(1)ASP(アプリケーション・サービス・プロバイダー、外部委託先)管理態勢の強化
当社は、改善報告書において、ASP共通の管理確認リストを作成し、管理レベルを整備するなどとし、「管理確認リスト」を作成して外部委託先の評価を行っていたものの、当社が行っているASPの評価は、ASPによる自己評価であり、当社は、当該自己評価の結果について、裏付資料を徴求するなど、主体的な評価を行っていない。
(2)容量不足に起因するシステム障害防止対策
当社は、改善報告書において、各ASPのキャパシティ管理基準の妥当性の検証等を行うとしていたものの、外部委託先との契約において、キャパシティ管理基準上の閾値を具体的に定めておらず、平成20年4月から同年10月までの間に、容量不足に起因するシステム障害を9件発生させた。
(3)設計ミス又はテスト漏れに起因するシステム障害防止策
当社は、改善報告書において、レビュールールとしての責任の所在及び手続きの明確化等を行うとしていたものの、当該改善項目を適正に実施していないことに起因するシステム障害を発生させた。
(4)運用ミスに起因するシステム障害防止策
当社は、改善報告書において、当社による主体的な当社システムの変更管理の実施、並びに修正範囲、影響範囲及び障害発生時のリカバリー方法等の事前確認等を行うとしていたものの、影響範囲の確認等を行わなかったこと等に起因してシステム障害を発生・拡大させた。
(5)再発防止策の実効性確保
当社は、改善報告書において、システム障害の再発防止策の実施状況についての確認及び検証、並びにコンプライアンス・ミーティングへの報告等を行うとしていたものの、再発防止策の実施状況の確認等が実効的になされているとは認められない。
(6)検証体制の強化
当社は、改善報告書において、システム部門による再発防止策検証会議の開催等を行うとしており、当該会議を実施していたものの、業務改善支援室は、当該会議の審議内容についての検証を行っていない。
(7)外部システム監査
当社は、改善報告書において、外部システム監査を実施するとしていたものの、改善報告書提出以降検査基準日までの間、外部システム監査を全く行っていない。
当社における上記の業務の運営の状況は、金融商品取引法第40条第2号に基づく金融商品取引業等に関する内閣府令第123条第14号に規定する「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当するものと認められる。
また、そもそも当社は、大手のインターネット専業証券会社として、耐障害性の強いシステムの開発・運用や障害発生時の適切な対応にかかる十分な態勢を整備することが求められる。しかしながら、上記のとおり、過去の行政処分を受けて当庁に提出した改善策を適切に実施しておらず、こうした問題を引き起こした態勢を見直すとともに、当該改善策を確実に実施することが必要であると認められる。
以上のことから、本日、同社に対し、以下の行政処分を行いました。
【業務停止命令】
平成21年4月1日(水)から平成21年6月30日(火)までの間、システム整備を伴う新たな業務展開(当庁が個別に認めたものを除く。)の停止。
【業務改善命令】
(1)前回の業務改善命令を受けて当庁に報告した改善策が適切に実行されなかった原因を究明し、経営管理態勢・内部管理態勢の見直しを図るとともに、経営陣を含む責任の所在を明確化すること。
(2)前回の業務改善命令を受けて当庁に報告した改善策について必要な見直しを行い、適切に実施すること。
(3)上記(2)の改善策の一環として、システム全体を対象とする外部システム監査を実施することにより、システム管理の有効性を検証し、その結果を踏まえた態勢整備を行うこと。
(4)上記(2)の改善策の実施に際して、改善状況を適切にモニタリングするために必要な態勢を構築すること。
(5)役職員にシステム管理の重要性を再認識させるとともに、適切な業務運営体制を確保するため、必要な体制整備及び研修等を実施すること。
(6)上記(1)~(5)について、平成21年4月23日(木)まで(上記(2)(3)については、さらに同日後の進捗状況について、平成21年6月30日(火)まで及びその後3月毎)に、及び必要に応じて随時に、書面で報告すること。