2015/05/29

先日、金融庁はインターネット証券会社であるカブドットコム証券株式会社に対して「システム管理が十分でない状況」が認められたとして、業務改善命令を出しました。これは証券取引等監視委員会が検査した結果、金融庁に行政処分を行う様勧告したことに基づくものです。
カブドットコム証券はプレスリリースにて、「システムリスク管理を含む⼀層の内部管理態勢の強化・拡充に努めてまいる所存です。」としています。
今回はカブドットコム証券における検査結果と業務改善命令の内容を確認した上で、どのような教訓が得られるか考えていきます。

証券取引等監視委員会の検査結果-概要

まず、証券取引等監視委員会が検査し、「システム管理が十分でない状況」とした内容を確認します。証券取引等監視委員会は以下の3点について、金融商品取引法第40条第2号に基づく金融商品取引業等に関する内閣府令第123条第1項第14号に掲げる「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当するものといています。
(1)システム障害の管理が極めて不適切な状況
(2)システム開発の管理の不備
(3)内部監査が機能していない状況
なお、以下の検査結果に関わる具体的な内容は公開されていないため、ある程度の推測を含むこと、ご了承ください。

証券取引等監視委員会の検査結果-(1)システム障害の管理が極めて不適切な状況

カブドットコム証券のシステム障害の管理状況を検証した結果、以下の状況が認められたとして、「極めて不適切な状況」にあるとしています。

(ア) 発生日時や事象の異なる複数のシステム障害が1件にまとめられ、実際に発生したシステム障害件数よりも大幅に少ない件数が執行役等に報告されており、執行役等もこれを容認していること
(イ) 顧客影響数について必要な確認が行われていないこと
(ウ) システム障害の状況等の確認、原因究明、再発防止策等の検討及び執行役等への報告が、社内規程で定められた期限よりも大幅に遅れて行われていることなど、システム障害の件数、顧客影響数及び原因分析や、改善・再発防止などの実施状況を正確に把握できない状況となっている。

さらに、

(エ) 金融庁長官に報告されるべき多くのシステム障害が報告されていないこと
(オ) システム障害が発生し顧客に影響を及ぼしているにもかかわらず、適時に顧客に告知していない事例が認められること

まず(ア)~(ウ)の指摘事項について、障害の発生から収束までを管理する体系がほとんど整備されていない状況であると推測されます。
一般的な障害管理のプロセスを簡単に上記イメージにまとめましたが、(ウ)の内容から、発生した障害を統合的に管理する仕組みが不十分であるため、障害案件のステイタスが把握できず、報告の遅れが生じていると推測されます。また、(ア)のシステム障害の報告について、障害の状況が類似するものを一行にまとめることはすることもありますが、少なくとも発生件数はリアルな数字を報告すべきです。インターネット証券会社であるカブドットコム証券は、システム障害の発生状況は顧客満足度や顧客離れに直結する要素なので、企業内部としては重要な指標であるはずです。「執行役等もこれを容認」とありますが、同じ内容の障害を一行にまとめることは容認していても、発生状況についてまで容認しているとは思い難いです。しかしながら、報告の席で口頭ベースの確認もされていないのであれば、このような指摘内容になってしまったと思われます。(イ)については、報告された障害の重大度についてどう評価されていたのかわかりませんが、仮に重大度が低いとされていた場合、顧客への影響も軽微ということで済ませていた可能性があります。
さらに(エ)(オ)について、障害内容の分類や重大性を誰が判断し、その状況に応じてどこにどのタイミングで報告しなければならないのか、明確な基準やルールの整備、及びベンダーを含めた担当者の役割分担が不十分であることが想定されます。

証券取引等監視委員会の検査結果-(2)システム開発の管理の不備
カブドットコム証券のシステム開発の管理状況を検証した結果、以下の「不備が認められた」としています。

(ア) システム開発における品質管理を定めたガイドラインにおいて、基本的なテスト項目に漏れがあることから、開発工程におけるプログラム不具合等をテストで検出できておらず、品質管理が不十分なものとなっており、開発後に顧客に影響を及ぼす多数のシステム障害が発生していること
(イ) システム開発の進捗管理が社内規程で定められたとおりに実施されておらず、また、執行役等には、システム開発の作業内容の報告しか行われず、進捗や遅延の状況を正しく管理、把握できるものとなっていないこと

まず、(ア)の内容から、構築しているシステムに対して、品質を担保するに十分なテストが行われていないこと、(イ)からシステム開発のプロジェクトに対する管理作業そのものがおろそかにされていたことが分かります。また、(イ)については開発中に発生したトラブルや課題についても管理や報告が不十分であり、結果として品質の低いシステムがリリースされていると考えられます。また、この状況でシステムをリリースできるということは、リリース判断についても判断基準が明確でないことが想像できます。

証券取引等監視委員会の検査結果-(3)内部監査が機能していない状況
カブドットコム証券のシステム領域に対する内部監査の状況について、以下の様に報告されています。

システムの実務運営上の問題を検出するだけの知識を有する監査要員が不足しており、また、実際にはシステム開発における品質管理や進捗管理に係る検証を実施していないにもかかわらず、これらについて概ね問題ないことを確認した旨を取締役会等に報告していた。

つまり、内部監査を実施するにあたり、そもそもシステム領域を監査することができる監査人が十分におらず、そのため監査作業における検証項目を一部省略した上で、あたかも監査を実施した結果、問題なかったという報告を行っていたと読み取れます。

カブドットコム証券に対する業務改善命令の内容
上記の検査結果をまとめると、(2)のシステム開発で納期を重視するあまり品質の低いシステムがリリースされ、その結果システム障害が多発していることが想定されますが、その状況は報告が行われず、一方で報告を受ける側も適切に質疑を行われていない状況が常態化していたと考えます。そして、こうした状況をチェックする内部監査も機能していなかったという状況になっていると考えます。
上記の検査結果を受けて金融庁はカブドットコム証券に対し、以下の業務改善命令を出しました。

(1) 不適切なシステムリスク管理態勢が常態化していた原因を分析し、責任の所在を明確化するとともに、経営管理態勢の見直しを行うこと。
(2) システム障害に関する管理基準に沿った処理が実施されていなかった事例も含め、過去のシステム障害事例の検証を行い、想定される事案と対応策を類型化すること等により、実効性あるシステムリスク管理態勢を構築すること。
(3) 役職員にシステム開発管理の重要性を認識させるとともに、適切な業務運営を確保するため、規程類・業務手順の見直しや研修等の実施に取り組む等、システム開発管理態勢の強化に取り組むこと。
(4) システムリスク管理全般の有効性を適切に検証するため、外部システム監査の適切な実施とあわせ、内部監査部門の機能強化を図ること。
(5) 上記(1)から(4)までについて、平成27年6月25日(木)までに、書面で報告すること。

報告まで1か月しかないので、(1)~(4)までを整備することも難しく、一部は計画案の提示になるかもしれません。
内容については、システムの品質やトラブル等に対する責任の所在を明確にした上でシステムの開発や運用開始後の障害について管理する体系を構築すること、及びシステム領域に関する内部監査の強化なので、至極当然の内容になっています。

なぜ社内のチェック機能は働かなかったのか
以上、金融庁のプレスリリースを確認してきましたが、この内容を額面通り受け取ると、今どきこのようなシステム管理が、しかもインターネット証券会社という、情報システムへの依存度が大きいと考えられる会社で行われていたことに驚いております。
まず気になるのが、こうしたシステム開発や障害管理の実態を反映が不十分な報告がなぜ行われたか、ということです。また、報告内容がどの段階で作成されたかについても明確ではありません。すなわち、情報システム部門が主体的に行ったのか、システム開発や保守運用の委託先からの報告時点で既に実態を反映しない報告がされていたのか、定かではありません。例えば、上層部からカットオーバー等のスケジュールや障害の発生状況に対するプレッシャーが非常に強かったのか、委託先が事前に取り決めたSLA(Service Level Agreement)の閾値を下回りそうだったからなのか、理由は幾つか考えられますが、今回の事態を引き起こす理由にはならないでしょう。
一方で上位からのチェック機能が全く働かなかったのは大きな問題です。恐らくはシステム障害は件数を操作しなければならないほど発生していたと想像されます。当然、システム部門の稼働状況や社内外のシステムに関する声、等を考慮すると、いわゆるITリテラシーがそれほど高くなくても、今回指摘されたような報告を受けたら何らかの違和感があったのではないでしょうか。まさか、聞いていて心地良い報告ということで、そのまま受け入れた、ということは無いと思いますが。
また、内部監査についてですが、情報システム部門の体力が低い企業だと、スキルのある担当者はどうしても現場で作業させたいため、結果としてシステムの内部監査を行う担当者が足りなくなる傾向があります。ただ、その場合でも、外部の第三者に委託する、情報システム部門の担当者でも担当以外の部分を相互に監査し、内部監査部門の担当者のレビューを受けることである程度の客観性を担保する、等の代替案が存在します。そういった対応を怠ったのは大きな問題の一つです。
最後に、気になることとして、外部監査はどうなっていたのかということです。今回の業務改善命令の対象となった情報システムは明確ではないですが、社内の多くのシステムはJ-SOXの対象にはいるのでは、と思われます。外部監査も万能ではありませんが、今回のような事象であれば、指摘事項として報告し、改善を促すのが通常の対応だと考えます。もちろん、カブドットコム証券の方が採算の指摘にもかかわらず、改善を行ってこなかった可能性もあるので何とも言えませんが。

参考
金融庁:「カブドットコム証券株式会社に対する行政処分について」(平成27年5月26日)
カブドットコム証券:「当社に対する金融庁の業務改善命令について」(2015年5月26日)

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは情報システムの監査や内部統制監査の支援、情報システム部門の管理体系策定、等のコンサルティングサービスを提供しております。興味や関心がございましたら、ぜひご連絡ください。

お問い合わせ