SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03
こんにちは、丸山満彦です。
バイデン政権に変わって、環境問題に取り組むことになったこともあり、SECの審査項目が気候変動リスク関連に焦点を移していくことになっていますが、COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。
● SEC
・2021.03.03 (press) SEC Division of Examinations Announces 2021 Examination Priorities
Enhanced Focus on Climate-Related Risks
・[PDF] 2021 EXAMINATION PRIORITIES - Division of Examinations
Message from the Leadership Team | リーダーシップチームからのメッセージ |
Global Pandemic: Observations and Impacts | 世界的なパンデミック。観察と影響 |
Regulation Best Interest and Form CRS | ベスト・インタレスト規制とフォームCRS |
Importance of Compliance | コンプライアンスの重要性 |
FY2020 Results | 2020年度実績 |
Impact of Examinations | 審査の影響 |
Risk, Technology, and Industry Trends | リスク、テクノロジー、業界の動向 |
Firm and Investor Outreach and Risk Alerts | 企業と投資家への働きかけとリスクアラート |
Informing Policy | 政策への反映 |
The Division of Examinations is a Resource | 審査部は資源である |
THE DIVISION OF EXAMINATIONS FY2021 EXAMINATION PRIORITIES | 審査部の2021年度審査優先事項 |
Introduction | はじめに |
Retail Investors, Including Seniors and Individuals Saving for Retirement | 高齢者や老後のために貯蓄をしている個人を含む個人投資家 |
Standards of Conduct | 行動基準 |
Fraud, Sales Practices, and Conflicts | 詐欺、販売慣行、コンフリクト |
Retail-Targeted Investments | 個人投資家を対象とした投資 |
Information Security and Operational Resiliency | 情報セキュリティと業務回復力 |
Financial Technology (FINTECH) and Innovation, Including Digital Assets | デジタル資産を含む金融テクノロジー(FINTECH)とイノベーション |
Anti-Money Laundering | マネーロンダリング対策 |
The London Inter-Bank Offered Rate (LIBOR) Transition | ロンドン銀行間取引金利(LIBOR)の移行 |
Additional Focus Areas Involving RIAS and Investment Companies | RIASと投資会社に関連するその他の重点分野 |
RIA Compliance Programs | RIAのコンプライアンスプログラム |
Registered Funds, Including Mutual Funds and ETFs | 投資信託とETFを含む登録ファンド |
RIAs to Private Funds | RIAとプライベートファンド |
Additional Focus Areas Involving Broker-Dealers and Municipal Advisors | ブローカー・ディーラーと地方自治体アドバイザーに関連する追加の重点分野 |
Broker-Dealer Financial Responsibility | ブローカー・ディーラーの財務責任 |
Broker-Dealer Trading Practices | ブローカー・ディーラーの取引慣行 |
Municipal Advisors | 地方自治体アドバイザー |
Market Infrastructure | 市場インフラ |
Clearing Agencies | クリアリングエージェンシー |
National Securities Exchanges | 全国証券取引所 |
Regulation Systems Compliance and Integrity (SCI) | レギュレーションシステムのコンプライアンスとインテグリティ(SCI) |
Transfer Agents | 証券代行会社 |
Focus on FINRA and MSRB | 金融規制機関と地方債規則制定委員会を中心に |
FINRA | 金融規制機関 |
MSRB | 地方債規則制定委員会 |
Conclusion | 結論 |
過去分
2020年度 | プレス | [PDF] |
2019年度 | プレス | [PDF] |
2018年度 | プレス | [PDF] |
2017年度 | プレス | [PDF] |
INFORMATION SECURITY AND OPERATIONAL RESILIENCY | 情報セキュリティと業務回復力 |
Information security is critical to the operation of the financial markets and the confidence of its participants. The impact of a breach in information security, including a successful cyber-attack, may have consequences that extend beyond the firm compromised to other market participants and retail investors, who may not be well informed of these risks and the potential consequences. The Division is acutely focused on working with firms to identify and address information security risks, including cyber-attack related risks, and encourages market participants to actively and effectively engage regulators and law enforcement in this effort. | 情報セキュリティは、金融市場の運営と参加者の信頼に不可欠です。サイバー攻撃の成功を含む情報セキュリティ侵害の影響は、侵害された企業だけでなく、他の市場参加者や個人投資家にまで影響を及ぼす可能性があり、これらのリスクや潜在的な影響について十分に知らされていない可能性があります。当部門は、サイバー攻撃関連のリスクを含む情報セキュリティリスクの特定と対処に企業と協力して取り組むことを重視しており、市場参加者が規制当局や法執行機関と積極的かつ効果的に関与することを奨励しています。 |
Over the past year, the increase in remote operations in response to the pandemic has increased concerns about, among other things, endpoint security, data loss, remote access, use of third-party communication systems, and vendor management. The Division will review whether firms have taken appropriate measures to: (1) safeguard customer accounts and prevent account intrusions, including verifying an investor’s identity to prevent unauthorized account access; (2) oversee vendors and service providers; (3) address malicious email activities, such as phishing or account intrusions; (4) respond to incidents, including those related to ransomware attacks; and (5) manage operational risk as a result of dispersed employees in a work-from-home environment. In particular, EXAMS will also focus on controls surrounding online and mobile application access to investor account information, the controls surrounding the electronic storage of books and records and personally identifiable information maintained with third-party cloud service providers, and firms’ policies and procedures to protect investor records and information. |
過去1年間、パンデミックの影響で遠隔地での業務が増加したことにより、エンドポイントセキュリティ、データ損失、リモートアクセス、サードパーティ製通信システムの利用、ベンダー管理などに関する懸念が高まっています。部門は、企業が以下のような適切な対策を講じているかどうかを検証します。 (1)不正な口座アクセスを防ぐための投資家の身元確認を含む顧客口座の保護と口座侵入の防止、 (2)ベンダーやサービスプロバイダーの監督、 (3)フィッシングや口座侵入などの悪質な電子メール活動への対応、 (4)ランサムウェア攻撃を含むインシデントへの対応、 (5)在宅勤務の環境で従業員が分散していることによる運用リスクの管理、 などの対策を講じているかどうかを検証する予定です。特に、投資家の口座情報へのオンライン及びモバイルアプリケーションからのアクセスに関する管理、第三者のクラウドサービスプロバイダーで管理されている帳簿や記録、個人を特定できる情報の電子保存に関する管理、投資家の記録や情報を保護するための会社の方針や手順にも焦点を当てていきたいと考えています。 |
In light of substantial disruptions to normal business operations in the past year, the Division will again be reviewing registrants’ business continuity and disaster recovery plans. Building on the efforts noted above concerning our business continuity plan outreach related to the pandemic, the Division will shift its focus to whether such plans, particularly those of systemically important registrants, account for the growing physical and other relevant risks associated with climate change. The scope of these examinations will be similar to the post-Hurricane Sandy work of the Division and other regulators,20 with a heightened focus on the maturation and improvements to these plans over the intervening years. As climate-related events become more frequent and more intense, we will review whether systemically important registrants are considering effective practices to help improve responses to large-scale events. | 昨年、通常の業務が大幅に中断されたことを受けて、当局は登録企業の事業継続計画および災害復旧計画を再度検討します。前述のパンデミックに関連した事業継続計画への働きかけを踏まえ、当部門は、特にシステム上重要な登録企業の事業継続計画が、気候変動に関連して増大する物理的リスクやその他の関連リスクを考慮しているかどうかに焦点を移します。これらの審査の範囲は、ハリケーン・サンディの後に当部や他の規制当局が行った調査と同様で[20]、その後の数年間に行われたこれらの計画の成熟と改善に重点が置かれることになります。気候関連の事象がより頻繁に、より激しくなる中で、システム上重要な登録企業が、大規模な事象への対応を改善するための効果的な手法を検討しているかどうかを検証します。 |
20 See Joint SEC, FINRA, and CFTC Business Continuity Planning Observations (August 7, 2013) available at https://www.sec.gov/about/offices/ocie/jointobservations-bcps08072013.pdf. | 20 Joint SEC, FINRA, and CFTC Business Continuity Planning Observations (August 7, 2013) を参照。 https://www.sec.gov/about/offices/ocie/jointobservations-bcps08072013.pdf |
« 全米商工会議所 「情報の透明性および個人データ管理法」への支持声明書を公表していますね。。。 | Main | ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表 »
Comments