SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)
こんにちは、丸山満彦です。
SECの審査項目は民主党の重点政策項目に連動しますから、気候変動リスク関連やESG等は引き続きですね。。。COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。そして、バイデン政権が力を入れることにした暗号資産も重点項目になっていますね。。。
重点項目は
2023 | |
New Investment Adviser and Investment Company Rules | 新投資顧問・投資会社規則 |
RIAs to Private Funds | プライベート・ファンド向けRIA(登録投資顧問) |
Retail Investors and Working Families | 個人投資家とワーキングファミリー |
Environmental, Social, and Governance (ESG) | 環境・社会・ガバナンス(ESG) |
Information Security and Operational Resiliency | 情報セキュリティと業務回復力 |
Emerging Technologies and Crypto-Assets | 先端技術と暗号資産 |
2022 | |
A. Private Funds | A. プライベート・ファンド |
B. Environmental, Social, and Governance (ESG) Investing | B. 環境・社会・ガバナンス (ESG) 投資 |
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS | C. 行動基準:ベスト・インタレスト規制、受託者責任、フォームCRS |
D. Information Security and Operational Resiliency | D. 情報セキュリティと業務回復力 |
E. Emerging Technologies and Crypto-Assets | E. 先端技術と暗号資産 |
2021 | |
Retail Investors, Including Seniors and Those Saving for Retirement, Through Reg. BI and Fiduciary Duty Compliance | 高齢者や老後のために貯蓄をしている個人を含む個人投資家 |
Information Security and Operational Resiliency | 情報セキュリティと業務回復力 |
Financial Technology (Fintech) and Innovation, Including Digital Assets | デジタル資産を含む金融テクノロジー(FINTECH)とイノベーション |
Anti-Money Laundering Programs | マネーロンダリング対策 |
The London Inter-Bank Offered Rate (LIBOR) Transition | ロンドン銀行間取引金利(LIBOR)の移行 |
Focus Areas Relating to Investment Advisers and Investment Companies | RIASと投資会社に関連するその他の重点分野 |
と言う感じのようですね。。。
● SEC
・2023.02.07 (press) SEC Division of Examinations Announces 2023 Priorities
「ESG」、「情報セキュリティと業務回復力」、「先端技術と暗号資産」の部分。。。
Environmental, Social, and Governance (ESG) – The Division will continue its focus on ESG-related advisory services and fund offerings, including whether funds are operating in the manner set forth in their disclosures. In addition, the Division will assess whether ESG products are appropriately labeled and whether recommendations of such products for retail investors are made in the investors’ best interests. | 環境・社会・ガバナンス(ESG):当部門はESG関連のアドバイザリーサービスとファンドの提供に引き続き注力し、ファンドが開示に定められた方法で運営されているかどうかも含めて調査する。さらに、ESG商品が適切に表示されているか、個人投資家にそのような商品を推奨することが投資家の最善の利益となるかを評価する。 |
Information Security and Operational Resiliency – The Division will review broker-dealers’, RIAs’, and other registrants’ practices to prevent interruptions to mission-critical services and to protect investor information, records, and assets. Reviews of broker-dealers and RIAs will include a focus on the cybersecurity issues associated with the use of third-party vendors, including registrant visibility into the security and integrity of third-party products and services and whether there has been an unauthorized use of third-party providers. | 情報セキュリティと業務回復力 : 当局は、ブローカー・ディーラー、RIA、およびその他の登録者の、基幹業務の中断を防ぎ、投資家の情報、記録、および資産を保護するための実務を審査する。ブローカーディーラーとRIAの審査では、第三者製品やサービスのセキュリティと整合性に対する登録者の可視性、第三者プロバイダの不正使用の有無など、第三者ベンダーの使用に関連するサイバーセキュリティの問題に焦点が当てられる。 |
Emerging Technologies and Crypto-Assets – The Division will conduct examinations of broker-dealers and RIAs that are using emerging financial technologies or employing new practices, including technological and on-line solutions to meet the demands of compliance and marketing and to service investor accounts. Examinations of registrants will focus on the offer, sale, recommendation of, or advice regarding trading in crypto or crypto-related assets and include whether the firm (1) met and followed their respective standards of care when making recommendations, referrals, or providing investment advice; and (2) routinely reviewed, updated, and enhanced their compliance, disclosure, and risk management practices. | 先端技術と暗号資産:当部門は、コンプライアンスとマーケティングの要求を満たし、投資家口座にサービスを提供するための技術的およびオンラインソリューションを含む、新興金融技術の使用または新しい手法を採用しているブローカーディーラーおよびRIAの調査を実施する。登録者に対する審査は、暗号または暗号関連資産の提供、販売、推奨、または取引に関する助言に焦点を当て、会社が(1)推奨、紹介、または投資助言を行う際にそれぞれの注意基準を満たし、それに従っているか、(2)日常的にコンプライアンス、開示、リスクマネジメントを見直し、更新、強化したかどうかを含むものとする。 |
・[PDF] 2023 EXAMINATION PRIORITIES - Division of Examinations
MESSAGE FROM THE LEADERSHIP TEAM | リーダーシップチームからのメッセージ |
DIVISION OF EXAMINATIONS – 2023 EXAMINATION PRIORITIES | 審査部門 - 2023年審査の優先順位 |
I. Notable New and Significant Focus Areas | I. 注目すべき新規・重要な重点分野 |
A. Compliance with Recently Adopted Rules Under the Investment Advisers | A. 最近採用された投資顧問法及び投資会社法の規則への対応 |
Act of 1940 and Investment Company Act of 1940 | 1940年投資顧問法及び1940年投資会社法の下で最近採択された規則の遵守 |
B. Registered Investment Advisers to Private Funds | B. プライベートファンドへの登録投資アドバイザー |
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS | C. 行動基準 ベスト・インタレスト規制、受託者責任、及びフォーム CRS |
1. Regulation Best Interest and Fiduciary Duty | 1. ベストインタレスト規制とフィデューシャリー・デューティー |
2. Form CRS | 2. フォームCRS |
D. Environmental, Social, and Governance Investing | D. 環境・社会・ガバナンス投資 |
II. Information Security and Operational Resiliency | II. 情報セキュリティと業務回復力 |
III. Crypto Assets and Emerging Financial Technology | III. 暗号資産と新たな金融技術 |
IV. Investment Advisers and Investment Companies | IV. 投資顧問会社及び投資会社 |
A. Focus Areas for Examinations of Registered Investment Advisers | A. 登録投資顧問の審査における重点分野 |
B. Focus Areas for Registered Investment Companies, Including Mutual Funds and ETFs | B. 登録投資会社(ミューチュアル・ファンド及びETFを含む)の重点分野 |
V. Broker-Dealer and Exchange Examination Program | V. ブローカー・ディーラー及び証券取引所審査プログラム |
A. Broker-Dealers | A. ブローカー・ディーラー |
B. National Securities Exchanges | B. 国内証券取引所 |
C. Security-Based Swap Dealers | C. セキュリティベースドスワップディーラー |
D. Municipal Advisors | D. 地方自治体アドバイザー |
E. Transfer Agents | E. 名義書換代理人 |
VI. Clearance and Settlement | VI. 清算と決済 |
VII. Regulation Systems Compliance and Integrity | VII. 規制システムのコンプライアンスと完全性 |
VIII. Financial Industry Regulatory Authority (FINRA) and Municipal Securities Rulemaking Board (MSRB) | VIII. 金融業界規制機構(FINRA)および地方証券規則制定委員会(MSRB)について |
IX. Anti-Money Laundering | IX. マネーロンダリング防止 |
X. The London Interbank Offered Rate Transition | X. ロンドン銀行間取引金利の変遷 |
XI. Conclusion | XI. おわりに |
2022年度 | プレス | [PDF] |
2021年度 | プレス | [PDF] |
2020年度 | プレス | [PDF] |
2019年度 | プレス | [PDF] |
2018年度 | プレス | [PDF] |
2017年度 | プレス | [PDF] |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)
・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03
この部分については、
II. Information Security and Operational Resiliency | II. 情報セキュリティと業務回復力 |
III. Crypto Assets and Emerging Financial Technology | III. 暗号資産と新たな金融技術 |
こちらに。。。↓
II. INFORMATION SECURITY AND OPERATIONAL RESILIENCY | II. 情報セキュリティと業務回復力 |
The Division will continue to review broker-dealers’ and RIAs’ practices to prevent interruptions to missioncritical services and to protect investor information, records, and assets. The current risk environment related to cybersecurity is considered elevated given the larger market events, geopolitical concerns, and the proliferation of cybersecurity attacks, particularly ransomware attacks. Given these risks and concerns, cybersecurity remains a perennial focus area for registrants, including RIAs, broker-dealers, investment companies, municipal advisors, transfer agents, exchanges and clearing agencies. | 当部門は、基幹業務の中断を防ぎ、投資家の情報、記録、資産を保護するために、ブローカー・ディーラーとRIAの実務を引き続き検証していきます。現在のサイバーセキュリティに関するリスク環境は、より大きな市場イベント、地政学的懸念、サイバーセキュリティ攻撃(特にランサムウェア攻撃)の急増を考慮すると、高まると考えられる。このようなリスクや懸念を考慮すると、サイバーセキュリティは、RIA、ブローカーディーラー、投資会社、地方自治体アドバイザー、証券代行業者、取引所、清算機関などの登録者にとって、長年にわたり焦点となる分野であることに変わりはない。 |
The Division will focus on firms’ policies and procedures, governance practices, and response to cyber-related incidents, including those related to ransomware attacks, and broker-dealers’ and RIAs’ compliance with Regulations S-P and S-ID, where applicable. The focus on policies and procedures will include a review as to whether they are reasonably designed to safeguard customer records and information—both information residing in registrants’ systems and stored through a third-party provider—as well as whether the location of such records has been properly disclosed to the Commission, where required. | 当部門は、企業の方針と手続き、ガバナンスの実践、ランサムウェア攻撃に関するものを含むサイバー関連事件への対応、およびブローカーディーラーとRIAの規則S-PとS-IDの遵守(該当する場合)に焦点を当てる。方針と手続きの焦点には、それらが、登録者のシステム内に存在する情報および第三者プロバイダーを通じて保管される情報の両方である顧客の記録と情報を保護するために合理的に設計されているかどうか、また、必要に応じて、そうした記録の場所が委員会に適切に開示されているかどうかについての審査が含まれる。 |
Examinations of broker-dealers and RIAs will continue to look at firms’ practices to prevent account intrusions and safeguard customer records and information, including personally identifiable information, while recognizing that personnel may continue to | ブローカーディーラーとRIAの審査では、口座への侵入を防ぎ、個人を特定できる情報を含む顧客の記録と情報を保護するための会社の実務を引き続き調査するが、一方で、担当者が引き続きリモート環境で情報にアクセスする可能性があることを認識している。 |
access information in a remote environment. Additional focus will be on the cybersecurity issues associated with the use of third-party vendors, including registrant visibility into the security and integrity of third-party products and services. The Division’s focus will also include reviewing whether there has been an unauthorized use of third-party providers, particularly for transition assistance when departing RIA personnel attempt to migrate client information to another firm. | その一方で、担当者が遠隔地から情報にアクセスする可能性があることも認識している。さらに、第三者の製品やサービスのセキュリティと完全性に関する登録者の可視性など、第三者ベンダーの使用に関連するサイバーセキュリティの問題にも焦点が当てられるでしょう。また、特に、退職するRIAの担当者が顧客情報を別の会社に移行しようとする際に、移行支援として第三者業者が不正に利用されていないかどうかも検討する。 |
Lastly, the Division will continue to assess systemically significant registrants’ operational resiliency planning, such as their efforts to consider and/or address climate-related risks. | 最後に、当部門は、気候関連リスクの検討および/または対処の取り組みなど、システム上重要な登録者の業務回復力計画を引き続き評価する予定である。 |
DID YOU KNOW? | 知っていますか? |
The current risk environment related to cybersecurity is considered elevated given larger market events, geopolitical concerns and the proliferation of cybersecurity attacks, particularly ransomware attacks. | 現在のサイバーセキュリティに関連するリスク環境は、より大きな市場イベント、地政学的懸念、サイバーセキュリティ攻撃、特にランサムウェア攻撃の拡散を考慮すると、高まると考えられる。 |
The Division will focus on firms’ policies and procedures, governance practices, and response to cyberrelated incidents, including those related to ransomware attacks, and broker-dealers’ and RIAs’ compliance with Regulations S-P and S-ID, where applicable. | 当部門は、会社の方針と手続き、ガバナンスの実践、ランサムウェア攻撃に関するものを含むサイバー関連事件への対応、およびブローカーディーラーとRIAの規則S-PとS-IDの遵守(該当する場合)に焦点を当てる。 |
III. CRYPTO ASSETS AND EMERGING FINANCIAL TECHNOLOGY | III. 暗号資産と新興金融技術 |
The Division continues to observe the proliferation of certain types of investments (e.g., crypto assets and their associated products and services) and emerging financial technology (e.g., broker-dealer mobile apps and RIAs choosing to provide automated digital investment advice to their clients). To address these observations, the Division will conduct examinations of broker-dealers and RIAs offering new products and services or employing new practices. These new practices include technological and on-line solutions to meet the demands of compliance and marketing and to service investor accounts (e.g., on-line brokerage services, internet advisers, and automated investment tools and trading platforms, including RIAs referred to as “robo-advisers”). | 当部門は、特定の種類の投資(例:暗号資産とその関連商品・サービス)および新興の金融技術(例:ブローカー・ディーラーのモバイルアプリや顧客に自動デジタル投資アドバイスを提供するRIA)の普及を観察し続けている。これらの指摘に対応するため、当部門は、新しい商品やサービスを提供したり、新しい実務を採用しているブローカー・ディーラーやRIAの調査を実施する予定である。これらの新しい慣行には、コンプライアンスやマーケティングの要求を満たし、投資家口座にサービスを提供するための技術的・オンライン的ソリューション(例えば、オンライン証券サービス、インターネットアドバイザー、自動投資ツールや取引プラットフォーム(「ロボアドバイザー」と呼ばれるRIAを含む))が含まれる。 |
Given the disruptions caused by recent financial distress among crypto asset market participants, the Division will continue to monitor and, when appropriate, conduct examinations of potentially impacted or affected registrants. Examinations of registrants will focus on the offer, sale, or recommendation of, advice regarding and trading in crypto or crypto-related assets. Specifically, the staff will assess whether such market participants involved with crypto or crypto-related assets: (1) met and followed their respective standards of care when making recommendations, referrals, or providing investment advice, to the extent required; and (2) routinely reviewed, updated, and enhanced their compliance, disclosure, and risk management practices. In addition, the Division will focus on new or never before examined registrants offering crypto or crypto-related assets. | 暗号資産市場参加者の最近の財政難による混乱を考慮し、当部門は引き続き監視し、適切な場合には、影響を受ける可能性のある、または影響を受けた登録者の調査を実施する。登録者の審査は、暗号または暗号関連資産の提供、販売、推奨、アドバイス、取引に焦点を当てる。具体的には、暗号または暗号関連資産に関わる市場参加者が、(1)推奨、紹介、または投資アドバイスを行う際に、必要な範囲でそれぞれの注意基準を満たし、それに従っているか、(2)コンプライアンス、開示、リスク管理の実践を定期的に見直し、更新し、強化しているかを評価することになります。さらに、暗号または暗号関連資産を提供する新規登録者、またはこれまで審査されたことのない登録者に焦点を当てる。 |
Broker-dealer and RIA examinations will also focus on firms that employ digital engagement practices[1] and the related tools and methods to assess whether: | ブローカーディーラーとRIAの審査では、デジタル・エンゲージメント[1]と関連するツールや方法を採用する企業にも焦点を当て、以下の点を評価する。 |
(1) recommendations were made or advice was provided (e.g., through the use of social media marketing and social trading platforms); (2) representations are fair and accurate; (3) operations and controls in place are consistent with disclosures made to investors; (4) any advice or recommendations are in the best interest of the investor taking into account the investor’s financial situation and investment objectives; and (5) risks associated with such practices are considered, including the impact these practices may have on certain investors, such as seniors. | (1)推奨やアドバイスが行われたか(ソーシャルメディアマーケティングやソーシャルトレーディングプラットフォームの利用など)、(2)表明が公正かつ正確か、(3)実施されている業務や管理が投資家に開示された内容と一致しているか、(4)投資家の財務状況や投資目的から見てアドバイスや推奨は投資家の利益になるか、(5)高齢者など特定の投資家に影響を与えるなどこうした業務に関するリスクは検討されたのか、といった点を評価する。 |
DID YOU KNOW? | 知っていますか? |
Given the disruptions caused by recent financial distress among crypto asset market participants, the Division will continue to monitor and, when appropriate, conduct examinations of potentially impacted or affected registrants. | 暗号資産市場参加者の最近の財政難による混乱を考慮し、当部門は引き続き監視し、適切な場合には、影響を受ける可能性のある登録者または影響を受けた登録者の審査を実施する。 |
[2] For purposes of these examinations, the term “digital engagement practices” includes tools with behavioral prompts, differential marketing, game-like features (commonly referred to as gamification), and other design elements or features designed to engage with retail investors on digital platforms (e.g., websites, portals, and applications), as well as the analytical and technological tools and methods. | [2] 本審査において、「デジタル・エンゲージメント手法」とは、デジタル・プラットフォーム(ウェブサイト、ポータル、アプリケーションなど)において、個人投資家とのエンゲージメントを図るために設計された行動喚起ツール、差動マーケティング、ゲーム的機能(通称:ゲーミフィケーション)、その他の設計要素や機能、及び分析・技術的ツールや手法を含むものである。 |
« デジタル庁のウェブページで公開されている海外での河野太郎デジタル大臣のDFFTに関するプレゼン、ディスカッションが興味深い | Main | JNSA ISOG-J セキュリティ対応組織の教科書第3.0版 »
Comments