「全社的なリスク管理の方針や規定がなかったのが一番の問題点だと認識している。全社的なリスクを洗い出す中で、システムにかかわるリスクについても管理体制を作っていきたい」。金融庁の業務改善命令を受け、ジャスダック証券取引所(ジャスダック)の筒井高志社長は記者会見を開催(関連記事)。業務改善命令を受けた原因をこのように分析した。筒井社長は「経営者がリスクに対する認識を高め、PDCAサイクルを構築していくようにしたい」と強調した。
ジャスダックが指摘を受けた項目として自ら挙げたのは以下の6項目。(1)全社的なリスクおよびシステム・リスク管理について規定や方針がない、(2)リスク管理規定の不備があった、(3)検査期日までにシステム監査を実施していなかった、(4)安全対策の方針が不十分だった、(5)外部委託先の管理について規定はあるが、品質に関する項目に不備があった、(6)BCP(事業継続計画)について規定はあるが「復旧時間を定めていない」などの不備がある、だ。
(1)や(2)、(4)については「金融庁の指摘通り、全社的なリスク管理の方針や規定が不十分だった」と筒井社長は認める。ジャスダックは07年に入り、「情報セキュリティ、リスク管理、内部統制の強化に着手している」(筒井社長)。この取り組みの中で、全社的なリスクを洗い出し、システムにかかわるリスクも特定していく。
年初からリスク管理などに取り組み始めた理由について、「金融庁の検査が入ったからではない。我々として自主的にリスク管理の重要性を認識したため」と筒井社長は説明する。内部統制の整備については、「日本版SOX法に対応するため」(同)という理由もある。続けて、「当取引所に上場している企業にもお願いしていることであり、我々が率先してやるべきだと判断した」と述べる。
(3)のシステム監査については「3度の障害を発生させた2年前の事件を受けて1度、第3者機関によるシステム監査を受けた」とジャスダックは説明。「その後、年に1度システム監査を受けるように規定は作っていた」(同)という。
ジャスダックによると、金融庁が検査を実施した基準日は06年11月17日だっため、年末に行う予定の第3者によるシステム監査は、まだ実施していなかった。第3者によるシステム監査は年明けから実施され、「現在は最終段階」(同)という状況だ。
(5)と(6)については、規定はあったものの「内容が不十分だった」(筒井社長)という。例えば(5)外部委託先の管理規定では、「品質についての一定の基準を設ける規定はあった。だが、委託先に品質を意識させるような規定ではなかった」(同)ということが問題視された。(6)BCPについては、「非常時に備え、代替オフィスの準備などは進めていたが、代替オフィスに移動するまでに何分かかるのか、といった具体的な数字は入っていなかった」(同)。
筒井社長は「証券取引所の業務はシステムそのもの。我々としては十分にリスクを認識していたつもりだったが不十分だった」と振り返る。「ただし、今回の改善命令は取引所自体のシステムに問題があるというわけではない。この点を誤解しないで欲しい」と筒井社長は繰り返し訴えた。
