« 内部統制関連の書籍 | Main | 帝国データバンク 2009年の上場廃止企業、110社で過去最高ペース「経営破綻」による上場廃止が2008年から急増 »

2009.08.13

東証 三菱UFJ証券株式会社に対する処分について

 東証が三菱UFJ証券株式会社に対する処分を公表していますね。。。取引参加者規程第34条第1項第8号の規定に基づき処分(戒告)だそうです。。。
 また、取引参加者規程第19条の規定に基づき、業務改善報告書の提出も請求したようですね。。。

 業務改善報告書には以下の内容を含まないといけないようです。。。
 ① 情報が流出した顧客等の保護や被害拡大の防止に向けて、必要な措置を講じること
 ② 大量の顧客情報等を流出させ、顧客等に被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
 ③ 今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
 ④ 例えば以下の観点から、情報セキュリティ管理態勢の充実・強化を図ること
  ・部門別のけん制機能の確保
  ・外部委託先を含めた各種手続の運用実態の検証と、その実効性の確保
  ・不正行為を可能とする一連の権限等の特定職員への集中状況の検証と、当該権限等の分断又は幅広い権限等を有する職員への監理・けん制の強化
  ・不正行為の隠蔽の防止
 ⑤ 不正行為の未然防止に向けて、人事管理等のあり方を見直し、適切に実施すること
 ⑥ 上記③乃至⑤への対応状況を含めた同社の情報セキュリティ管理等のあり方について、内部監査の充実・強化や外部監査の活用等により検証し、その結果を踏まえて更なる充実を図ること
 ⑦ 上記①乃至⑥への対応状況について、顧客等への周知を図る観点から、その概要を公表すること
 ⑧ 個人データの安全管理のための実効性のある措置を確保すること
 ⑨ 個人データの安全管理を図るための従業者に対する監督を徹底すること

 
■東京証券取引所
・2009.08.11 三菱UFJ証券株式会社に対する処分について

 こういう不正の防止って難しいですよね。。。

=====
(3) 同社における職員への教育・研修は、今回の事案のような意図的な不正行為を防止する観点が希薄であり、とりわけ、大量の顧客情報等を取り扱うシステム部職員にはより高い倫理観が求められるにも関わらず、そうした点に着目した対応が不足していた。
また、情報セキュリティ管理に関する外部委託先職員への教育・研修も、不足していた。
=====

 とかかれていますが、教育・研修をしたところで、その効果は限定的ですよね。。。きっと。。。。

 殺人はしてはいけないと学校で教えれば、殺人がなくなるわけでもないし。。。みたいな。。。

|

« 内部統制関連の書籍 | Main | 帝国データバンク 2009年の上場廃止企業、110社で過去最高ペース「経営破綻」による上場廃止が2008年から急増 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 東証 三菱UFJ証券株式会社に対する処分について:

« 内部統制関連の書籍 | Main | 帝国データバンク 2009年の上場廃止企業、110社で過去最高ペース「経営破綻」による上場廃止が2008年から急増 »