« 公認会計士協会 テクノロジー委員会研究文書第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」 | Main | 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録 »

2024.06.02

米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)

こんにちは、丸山満彦です。

世界最大のニューヨーク取引所[wikipedia]を運営している時価総額約12兆円で、時価総額1位の取引所会社であるインターコンチネンタル取引所[wikipedia]がサイバー侵入をしていたのに通知しなかった(Regulation Systems Compliance and Integrity (Regulation SCI) 違反)ということで1000万ドル(約16億円)の罰金を受け入れていますね。

SECのウェブページには記載されていますが、インターコンチネンタル取引所のウェブページにはその言及は見当たらないです...まぁ、小さい話か(^^)

 

U.S. SECURITIES AND EXCHANGE COMMISSION (SEC)

・2024.05.22 SEC Charges Intercontinental Exchange and Nine Affiliates Including the New York Stock Exchange with Failing to Inform the Commission of a Cyber Intrusion

 

SEC Charges Intercontinental Exchange and Nine Affiliates Including the New York Stock Exchange with Failing to Inform the Commission of a Cyber Intrusion 米証券取引委員会、インターコンチネンタル取引所およびニューヨーク証券取引所を含む9つの関連会社を、サイバー侵入の報告を怠ったとして告発
The Securities and Exchange Commission today announced that The Intercontinental Exchange, Inc. (ICE) agreed to pay a $10 million penalty to settle charges that it caused the failure of nine wholly-owned subsidiaries, including the New York Stock Exchange, to timely inform the SEC of a cyber intrusion as required by Regulation Systems Compliance and Integrity (Regulation SCI). 米証券取引委員会(SEC)は本日、インターコンチネンタル取引所(ICE)がニューヨーク証券取引所を含む完全子会社9社に対し、システム・コンプライアンス・アンド・インテグリティ規制(SCI規制)で義務付けられているサイバー侵入を適時にSECに報告しなかったという罪を清算するため、1000万ドルの罰金を支払うことに合意したと発表した。
According to the SEC’s order, in April 2021, a third party informed ICE that ICE was potentially impacted by a system intrusion involving a previously unknown vulnerability in ICE’s virtual private network (VPN). ICE investigated and was immediately able to determine that a threat actor had inserted malicious code into a VPN device used to remotely access ICE’s corporate network. However, the SEC’s order finds that ICE personnel did not notify the legal and compliance officials at ICE’s subsidiaries of the intrusion for several days in violation of ICE’s own internal cyber incident reporting procedures. As a result of ICE’s failures, those subsidiaries did not properly assess the intrusion to fulfill their independent regulatory disclosure obligations under Regulation SCI, which required them to immediately contact SEC staff about the intrusion and provide an update within 24 hours unless they immediately concluded or reasonably estimated that the intrusion had or would have no or a de minimis impact on their operations or on market participants. SECの命令によると、2021年4月、サードパーティからICEに対し、ICEの仮想プライベート・ネットワーク(VPN)にこれまで知られていなかった脆弱性を含むシステム侵入の影響を受けた可能性があるとの連絡があった。ICEが調査したところ、脅威行為者がICEの企業ネットワークにリモートアクセスするためのVPNデバイスに悪質なコードを挿入したことを直ちに突き止めることができた。しかし、SECの命令によると、ICEの担当者は、ICEの内部サイバーインシデント報告手順に違反して、ICEの子会社の法務・コンプライアンス担当者に数日間、侵入を通知しなかった。ICEの怠慢の結果、これらの子会社はSCI規則に基づく独立規制当局の開示義務を果たすため、侵入を適切にアセスメントしなかった。SCI規則では、侵入が自社の業務や市場参加者に与える影響がないか、または最小限の影響にとどまると直ちに結論づけるか、合理的に見積もる場合を除き、侵入について直ちにSECスタッフに連絡し、24時間以内に最新情報を提供することを義務付けている。
“The respondents in today’s enforcement action include the world’s largest stock exchange and a number of other prominent intermediaries that, given their roles in our markets, are subject to strict reporting requirements when they experience cyber events. Under Reg SCI, they have to immediately notify the SEC of cyber intrusions into relevant systems that they cannot reasonably estimate to be de miminis events right away. The reasoning behind the rule is simple: if the SEC receives multiple reports across a number of these types of entities, then it can take swift steps to protect markets and investors,” said Gurbir S. Grewal, Director of the SEC’s Division of Enforcement. “Here, the respondents subject to Reg SCI failed to notify the SEC of the intrusion at issue as required. Rather, it was Commission staff that contacted the respondents in the process of assessing reports of similar cyber vulnerabilities. As alleged in the order, they instead took four days to assess its impact and internally conclude it was a de minimis event. When it comes to cybersecurity, especially events at critical market intermediaries, every second counts and four days can be an eternity. Today’s order and penalty not only reflect the seriousness of the respondents’ violations, but also that several of them have been the subject of a number of prior SEC enforcement actions, including for violations of Reg SCI.” 「本日の強制措置の対応者には、世界最大の証券取引所やその他多数の著名な仲介業者が含まれており、市場におけるその役割から、サイバー事象が発生した場合には厳格な報告義務が課される。Reg SCIのもとでは、関連システムへのサイバー侵入が発生した場合、合理的に推定できない事象については、直ちにSECに報告しなければならない。SECがこのような事業体から複数の報告を受けた場合、市場と投資家を保護するための迅速な措置をとることができるからだ。「今回、Reg SCIの対象となった回答者は、必要とされた侵入をSECに通知しなかった。むしろ、類似のサイバー脆弱性の報告をアセスメントする過程で回答者に接触したのは、欧州委員会のスタッフであった。命令書で主張されているように、彼らは代わりにその影響を評価するために4日間を費やし、内部的には最小限の出来事であると結論づけた。サイバーセキュリティ、特に重要な市場仲介業者における事象に関しては、一刻一秒を争うものであり、4日間という時間は永遠に続く可能性がある。本日の命令と罰則は回答者の違反の深刻さを反映しているだけでなく、そのうちの何人かはReg SCI違反を含め、SECの執行措置の対象になっている。
ICE and its subsidiaries consented to the entry of the SEC’s order finding that the subsidiaries violated the notification provisions of Regulation SCI and that ICE caused those violations. Without admitting or denying the SEC’s findings, ICE and its subsidiaries, consisting of Archipelago Trading Services, Inc.; New York Stock Exchange LLC; NYSE American LLC; NYSE Arca, Inc.; ICE Clear Credit LLC; ICE Clear Europe Ltd.; NYSE Chicago, Inc.; NYSE National, Inc.; and the Securities Industry Automation Corporation agreed to a cease-and-desist order in addition to ICE’s monetary penalty. ICEとその子会社は、子会社がSCI規制の通知規定に違反し、ICEがこれらの違反を引き起こしたと認定するSECの命令書に同意した。ICEとその子会社(Archipelago Trading Services, Inc.、New York Stock Exchange LLC、NYSE American LLC、NYSE Arca, Inc.、ICE Clear Credit LLC、ICE Clear Europe Ltd.、NYSE Chicago, Inc.、NYSE National, Inc.、Securities Industry Automation Corporation)は、SECの調査結果を認めることも否定することもなく、ICEの罰金に加え、営業停止命令にも同意した。
The SEC’s investigation was conducted by Benjamin D. Brutlag and Lory C. Stone under the supervision of Melissa Hodgman and Carolyn M. Welshhans. The team was assisted by Heidi Pilpel and David Liu of the SEC’s Division of Trading and Markets and by the Technology Controls Program of the SEC’s Division of Examinations. SECの調査はメリッサ・ホッジマンとキャロリン・M・ウェルシャンズの監督の下、ベンジャミン・D・ブルトラグとローリー・C・ストーンが担当した。同チームはSEC取引市場部のハイディ・ピルペルとデビッド・リウ、およびSEC審査部の技術管理プログラムによって支援された。

 

1_20240601021001

 

ちなみに取引所のランキング、それっぽいのを並べてみました...

参考に東京証券取引所を持つ日本証券取引所グループの時価総額も並べてみましたが、何位かはわかりません...10位くらい?

ちなみに2位のCMEグループはシカゴ商品取引所を持っている取引所です。

 

時価総額は2024.05.31現在(為替レートも2024.05.31)で比較してみるとこんな感じ...

# 企業名 時価(取引通貨)   通貨 為替レート 時価(10億円)
1 Intercontinental Exchange Inc 764.47 USD 157.21 12,018
2 CME Group Inc 730.93 USD 157.21 11,491
3 London Stock Exchange Group PLC 483.25 GBP 200.09 9,669
4 Hong Kong Exchanges and Clearing Limited 3,438.37 HKD 20.10 6,911
5 Deutsche Boerse AG 341.43 EUR 170.46 5,820
6 Nasdaq Inc 338.71 USD 157.21 5,325
  ・・・          
? 日本証券取引所グループ         1,870

 

 

|

« 公認会計士協会 テクノロジー委員会研究文書第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」 | Main | 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 公認会計士協会 テクノロジー委員会研究文書第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」 | Main | 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録 »