SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

こんにちは、丸山満彦です。

SECの審査項目は民主党の重点政策項目に連動しますから、気候変動リスク関連やESG等は引き続きですね。。。COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。そして、バイデン政権が力を入れることにした暗号資産も重点項目になっていますね。。。

重点項目は次の5つですね。。

A. Private Funds	A. プライベート・ファンド
B. Environmental, Social, and Governance (ESG) Investing	B. 環境・社会・ガバナンス (ESG) 投資
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS	C. 行動基準：ベスト・インタレスト規制、受託者責任、フォームCRS
D. Information Security and Operational Resiliency	D. 情報セキュリティと業務回復力
E. Emerging Technologies and Crypto-Assets	E. 先端技術と暗号資産

 

● SEC

・2021.03.31(press) SEC Division of Examinations Announces 2022 Examination Priorities

Enhances Focus on Private Funds, ESG, and Operational Resiliency

「情報セキュリティと業務回復力」と「先端技術と暗号資産」の部分。。。

Information Security and Operational Resiliency – The Division will review broker-dealers’, RIAs’, and other registrants’ practices to prevent interruptions to mission-critical services and to protect investor information, records, and assets. Examinations will continue to review whether firms have taken appropriate measures to safeguard customer accounts and prevent account intrusions; oversee vendors and service providers; address malicious email activities, such as phishing or account intrusions; respond to incidents, including those related to ransomware attacks; identify and detect red flags related to identity theft; and manage operational risk as a result of a dispersed workforce. In addition, the Division will again be reviewing registrants’ business continuity and disaster recovery plans, with particular focus on the impact of climate risk and substantial disruptions to normal business operations.

情報セキュリティと業務回復力 - 当局は、ブローカー・ディーラー、RIA、およびその他の登録者の、基幹業務の中断を防ぎ、投資家の情報、記録、資産を保護するための業務慣行を審査します。審査は、会社が顧客口座の保護と口座侵入の防止、ベンダーやサービス・プロバイダーの監督、フィッシングや口座侵入などの悪質な電子メールへの対処、ランサムウェア攻撃に関するものを含む事故への対応、個人情報窃盗に関するレッドフラグの特定と検出、従業員の分散による運用リスク管理などのために適切な措置を講じているかどうかを引き続き審査します。さらに、当局は、気候変動リスクと通常の事業運営への大幅な中断の影響に特に重点を置いて、登録者の事業継続と災害復旧計画を再度見直す予定です。

Emerging Technologies and Crypto-Assets – The Division will conduct examinations of broker-dealers and RIAs that are using emerging financial technologies to review whether the unique risks these activities present were considered by the firms when designing their regulatory compliance programs. RIA and broker-dealer examinations will focus on firms that are, or claim to be, offering new products and services or employing new practices to assess whether operations and controls in place are consistent with disclosures made and the standard of conduct owed to investors and other regulatory obligations; advice and recommendations, including by algorithms, are consistent with investors’ investment strategies and the standard of conduct owed to such investors; and controls take into account the unique risks associated with such practices. Examinations of market participants engaged with crypto-assets will continue to review the custody arrangements for such assets and will assess the offer, sale, recommendation, advice, and trading of crypto-assets.

新興技術と暗号資産 - 当局は、先端の金融技術を利用しているブローカーディーラーとRIAに対して調査を行い、これらの活動がもたらす固有のリスクが、規制遵守プログラムを設計する際に考慮されていたかどうかを検証します。RIAやブローカー・ディーラーの審査では、新しい商品やサービスを提供している、あるいはそう主張している会社に焦点を当て、その業務や管理が、開示された内容や投資家に負うべき行動基準、その他の規制義務と一致しているか、アルゴリズムによるものも含めて助言や推奨が投資家の投資戦略やそうした投資家に負うべき行動基準と一致しているか、そうした業務に関連する独自のリスクが管理者によって考慮されているかが審査されることになります。暗号資産に関わる市場参加者の審査では、引き続き当該資産のカストディの取り決めを確認し、暗号資産の提供、販売、推奨、助言、取引について評価する予定です。

 

・[PDF] 2022 EXAMINATION PRIORITIES - Division of Examinations

Division of Examinations’ Leadership Message	審査局長のメッセージ
Fiscal Year 2021	2021年度
A Word About “Compliance”	コンプライアンス について
Final Notes	最終事項
DIVISION OF EXAMINATIONS – 2022 EXAMINATION PRIORITIES	審査部 - 2022年審査の優先順位
I. Significant Focus Areas	I. 重要な重点分野
A. Private Funds	A. プライベート・ファンド
B. Environmental, Social, and Governance (ESG) Investing	B. 環境・社会・ガバナンス (ESG) 投資
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS	C. 行動基準：ベスト・インタレスト規制、受託者責任、フォームCRS
D. Information Security and Operational Resiliency	D. 情報セキュリティとオ運用の強靭性
E. Emerging Technologies and Crypto-Assets	E. 先端技術と暗号資産
II. Investment Adviser and Investment Company Examination Program	II. 投資顧問・投資会社審査プログラム
A. Registered Investment Advisers	A. 登録投資顧問会社
B. Registered Investment Companies, Including Mutual Funds and ETFs	B. 投資信託、ETFを含む登録投資会社
III. Broker-Dealer and Exchange Examination Program	III. ブローカー・ディーラーおよび取引所審査プログラム
A. Microcap, Municipal, Fixed Income, and Over-The-Counter Securities	A. マイクロキャップ、地方債、フィクスト・インカム、店頭売買有価証券
B. Broker-Dealer Operations	B. ブローカー・ディーラー業務
C. National Securities Exchanges	C. 全国証券取引所
D. Security-Based Swap Dealers (SBSDs)	D. セキュリティ・ベース・スワップ・ディーラー(SBSDs)
E. Municipal Advisors	E. 自治体アドバイザー
F. Transfer Agents	F. 名義書換代理人
IV. Clearance and Settlement Examination Program	IV. 清算・決済審査プログラム
V. Regulation Systems Compliance and Integrity	V. 規制システムのコンプライアンスとインテグリティ
VI. FINRA	VI. FINRA
VII. MSRB	VII. MSRB
VIII. The London Inter-Bank Offered Rate (LIBOR) Transition	VIII. ロンドン銀行間取引金利（LIBOR）の変遷
IX. Anti-Money Laundering	IX. マネーロンダリング対策
X. Conclusion	X. 結論

 

 

過去分

2021年度	プレス	[PDF]
2020年度	プレス	[PDF]
2019年度	プレス	[PDF]
2018年度	プレス	[PDF]
2017年度	プレス	[PDF]

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

---

この部分については、

D. Information Security and Operational Resiliency	D. 情報セキュリティと業務回復力
E. Emerging Technologies and Crypto-Assets	E. 先端技術と暗号資産

こちらに。。。↓

 

 

D. Information Security and Operational Resiliency	D. 情報セキュリティと業務回復力
Applying information security controls is critical to ensuring business continuity.  Vigilant protection of data is also critical to the operation of the financial markets and the confidence of its participants. Failing to prevent unauthorized access, use, disclosure, disruption, modification, inspection, recording or destruction of sensitive records may have consequences that extend beyond the firm compromised to other market participants and retail investors. Accordingly, the Division will review broker-dealers’ and RIAs’ practices to prevent interruptions to mission-critical services and to protect investor information, records, and assets.	事業継続を確保するためには、情報セキュリティ管理の適用が不可欠です。また、金融市場の運営とその参加者の信頼にとって、データの慎重な保護は不可欠です。機密性の高い記録への不正アクセス、使用、開示、破壊、改ざん、閲覧、記録、破壊を防止できなければ、被害を受けた会社のみならず、他の市場参加者や個人投資家にも影響が及ぶ可能性がある。従って、当部門は、基幹業務の中断を防ぎ、投資家の情報、記録、資産を保護するために、ブローカー・ディーラーやRIAの実務を検証していく予定です。
Specifically, EXAMS will continue to review whether firms have taken appropriate measures to: (1) safeguard customer accounts and prevent account intrusions, including verifying an investor’s identity to prevent unauthorized account access; (2) oversee vendors and service providers; (3) address malicious email activities, such as phishing or account intrusions; (4) respond to incidents, including those related to ransomware attacks;  (5) identify and detect red flags related to identity theft; and (6) manage operational risk as a result of a dispersed workforce in a work-from-home environment. In the context of these examinations, the Division will focus on, among other things, broker-dealers’ and RIAs’ compliance with Regulations S-P and S-ID, where applicable.	具体的には、EXAMSは、会社が以下のような適切な措置を講じているかどうかを引き続き審査する。(1) 顧客口座の保護、口座への不正アクセスを防ぐための投資家の本人確認、(2) ベンダーやサービス・プロバイダーの監督、(3) フィッシングや口座侵入などの悪質なメールへの対処、(4) ランサムウェア攻撃に関するものを含む事故への対応、(5) 個人情報の盗難に関するレッドフラグの特定と検出、(6) 在宅勤務による分散した労働力に伴う業務リスクの管理、などです。これらの審査では、特にブローカー・ディーラーと投資助言者 (RIA) の規則S-PとS-ID（該当する場合）の遵守に焦点を当てます。
The Division will again be reviewing registrants’ business continuity and disaster recovery plans, with particular focus on the impact of climate risk and substantial disruptions to normal business operations. As the Division described last year, these efforts build on previous examinations and outreach in this area. In some cases, particularly in regard to systemically important registrants, examinations will account for certain climate related risks. The scope of these examinations will include a focus on	また、気候変動リスクや通常業務の大幅な中断の影響に特に重点を置いて、登録者の事業継続計画および災害復旧計画を審査する予定です。昨年、当局が説明したように、これらの取り組みは、この分野でのこれまでの審査やアウトリーチに基づくものです。場合によっては、特にシステム上重要な登録者に関して、審査は、特定の気候関連リスクを考慮することになります。これらの審査の範囲には、以下が含まれます。
the maturation and improvements to business continuity and disaster recovery plans over the years as well as these registrants' resiliency as organizations to anticipate, prepare for, respond to, and adapt to both sudden disruptions and incremental changes stemming from climate-related situations.	事業継続計画および災害復旧計画の長年にわたる成熟と改善、ならびに、気候関連状況に起因する突然の混乱と漸進的変化の両方を予測、準備、対応、適応する組織としてのこれらの登録者の回復力です。
DID YOU KNOW?	知っていますか？
The Division will again be reviewing registrants’ business continuity and disaster recovery plans, with particular focus on the impact of climate risk and substantial disruptions to normal business operations.	当局では、気候変動リスクや通常の事業運営に対する実質的な中断の影響を特に重視し、登録者の事業継続計画および災害復旧計画を再度審査することにしています。
E. Emerging Technologies and Crypto-Assets	E. 先端技術と暗号資産
The Division has observed a significant increase in the number of RIAs choosing to provide automated digital investment advice to their clients (often referred to as “robo-advisers”), continued growth in the use of mobile apps by broker-dealers, and a proliferation of the offer, sale, and trading of crypto-assets. The Division will conduct examinations of broker-dealers and RIAs that are using developing financial technologies to review whether the unique risks these activities present were considered by the firms when designing their regulatory compliance programs.	当局では、自動化されたデジタルによる投資助言を顧客に提供することを選択するRIA（しばしば「ロボアドバイザー」と呼ばれる）が著しく増加していること、ブローカー・ディーラーによるモバイルアプリの利用が引き続き拡大していること、暗号資産の提供、販売、取引の普及が見られることを確認しています。当部門は、発展途上の金融技術を利用しているブローカー・ディーラーやRIAに対して調査を行い、これらの活動がもたらす固有のリスクが、規制遵守プログラムを設計する際に考慮されていたかどうかを検証します。
RIA and broker-dealer examinations will focus on firms that are, or claim to be, offering new products and services or employing new practices (e.g., fractional shares, “Finfluencers,” or digital engagement practices) to assess whether: (1) operations and controls in place are consistent with disclosures made and the standard of conduct owed to investors and other regulatory obligations; (2) advice and recommendations, including by algorithms, are consistent with investors’ investment strategies and the standard of conduct owed to such investors; and (3) controls take into account the unique risks associated with such practices.	RIAおよびブローカー・ディーラーの審査では、新しい商品やサービスを提供している、あるいはそう主張している会社や、新しい業務（例えば、端株、「Finfluencers」、デジタル・エンゲージメント業務）を採用している会社に焦点を当て、その有無を評価することになります。(1) 開示内容や投資家に対する行動規範、その他の規制義務と整合しているか、(2) アルゴリズムを含む助言・推奨が投資家の投資戦略や投資家に対する行動規範と整合しているか、(3) 当該業務に伴う固有のリスクを考慮した管理をしているか、などを評価します。
Examinations of market participants engaged with crypto-assets will continue to review the custody arrangements for such assets and will assess the offer, sale, recommendation, advice, and trading of crypto-assets. In particular, EXAMS will review whether market participants involved with crypto-assets: (1) have met their respective standards of conduct when recommending to or advising investors with a focus on duty of care and the initial and ongoing understanding of the products (e.g., blockchain and cryptoasset feature analysis); and (2) routinely review, update, and enhance their compliance practices (e.g., crypto-asset wallet reviews, custody practices, anti-money laundering reviews, and valuation procedures), risk disclosures, and operational resiliency practices (i.e., data integrity and business continuity plans). In addition, the Division will conduct examinations of mutual funds and ETFs offering exposure to crypto-assets to assess, among other things, compliance, liquidity, and operational controls around portfolio management and market risk.	暗号資産に関わる市場参加者の審査では、引き続き当該資産のカストディ体制を確認し、暗号資産の提供、販売、推奨、助言、取引について評価する予定です。特に、EXAMSは暗号資産に関わる市場参加者について、以下の点を検証します。(1) 注意義務、商品の初期および継続的な理解（例：ブロックチェーンおよび暗号資産の特徴分析）に重点を置いて投資家に推奨または助言する際に、それぞれの行動基準を満たしているか、(2) コンプライアンス実践（例：暗号資産ウォレットレビュー、カストディ実践、アンチマネーロンダリングレビュー、評価手順）、リスク開示、運用回復力実践（例：データ整合性および事業継続計画）の日常的見直し、更新、強化を行っているかどうかを検証します。さらに、暗号資産に投資する投資信託やETFの審査も行い、コンプライアンス、流動性、ポートフォリオ管理および市場リスクに関する運用管理などを評価する予定です。
DID YOU KNOW?	知っていますか？
The Division will conduct examinations of broker-dealers and RIAs that are using developing financial technologies to review whether the unique risks these activities present were considered by the firms when designing their regulatory compliance programs.	同局は、発展途上の金融技術を利用しているブローカー・ディーラーやRIAに対し、これらの活動が持つ固有のリスクが、規制遵守プログラムを設計する際に考慮されたかどうかを検証するための調査を実施する予定です。