• (1)システム障害の管理が極めて不適切な状況

  当社のシステム障害の管理の状況を検証したところ、

  • ア発生日時や事象の異なる複数のシステム障害が１件にまとめられ、実際に発生したシステム障害件数よりも大幅に少ない件数が執行役等に報告されており、執行役等もこれを容認していること

  • イ顧客影響数について必要な確認が行われていないこと

  • ウシステム障害の状況等の確認、原因究明、再発防止策等の検討及び執行役等への報告が、社内規程で定められた期限よりも大幅に遅れて行われていること

  など、システム障害の件数、顧客影響数及び原因分析や、改善・再発防止などの実施状況を正確に把握できない状況となっている。

  さらに、

  • エ金融庁長官に報告されるべき多くのシステム障害が報告されていないこと

  • オシステム障害が発生し顧客に影響を及ぼしているにもかかわらず、適時に顧客に告知していない事例が認められること

  から、当社のシステム障害の管理は極めて不適切な状況にあるものと認められた。

• (2)システム開発の管理の不備

  当社は、

  • アシステム開発における品質管理を定めたガイドラインにおいて、基本的なテスト項目に漏れがあることから、開発工程におけるプログラム不具合等をテストで検出できておらず、品質管理が不十分なものとなっており、開発後に顧客に影響を及ぼす多数のシステム障害が発生していること

  • イシステム開発の進捗管理が社内規程で定められたとおりに実施されておらず、また、執行役等には、システム開発の作業内容の報告しか行われず、進捗や遅延の状況を正しく管理、把握できるものとなっていないこと

  から、当社のシステム開発の管理には不備が認められた。

• (3)内部監査が機能していない状況

  システムの実務運営上の問題を検出するだけの知識を有する監査要員が不足しており、また、実際にはシステム開発における品質管理や進捗管理に係る検証を実施していないにもかかわらず、これらについて概ね問題ないことを確認した旨を取締役会等に報告していた。

当社における上記の業務運営の状況は、金融商品取引法第40条第２号に基づく金融商品取引業等に関する内閣府令第123条第１項第14号に掲げる「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当するものと認められる。

• (1)不適切なシステムリスク管理態勢が常態化していた原因を分析し、責任の所在を明確化するとともに、経営管理態勢の見直しを行うこと。

• (2)システム障害に関する管理基準に沿った処理が実施されていなかった事例も含め、過去のシステム障害事例の検証を行い、想定される事案と対応策を類型化すること等により、実効性あるシステムリスク管理態勢を構築すること。

• (3)役職員にシステム開発管理の重要性を認識させるとともに、適切な業務運営を確保するため、規程類・業務手順の見直しや研修等の実施に取り組む等、システム開発管理態勢の強化に取り組むこと。

• (4)システムリスク管理全般の有効性を適切に検証するため、外部システム監査の適切な実施とあわせ、内部監査部門の機能強化を図ること。

• (5)上記（１）から（４）までについて、平成27年６月25日（木）までに、書面で報告すること。