１．ＧＭＯクリック証券株式会社（以下「当社」という。）に対して金融商品取引法（昭和23年法律第25号。以下「金商法」という。）第56条の２第１項に基づき報告を求めたこと等により、以下の事実が認められた。

○ 電子情報処理組織の管理が十分でないと認められる状況

（１）当社は、平成22年に実施した検査において、システムリスク管理態勢の不備について指摘を受け、その改善策を策定しているものの、経営陣の認識の甘さに起因して、改善策の有効性を確認するプロセスや改善策の進捗管理の態勢が未整備となっていることから、以下のような問題点が認められるなど、依然として、システムリスク管理態勢に不備が認められている。

① 検査指摘を踏まえ社内規程の整備を図っていたものの、全社的な課題認識の徹底や進捗管理等がなされていなかったため、規程の実効性を確保する上で必要となる業務マニュアルやルールの整備に漏れが生じており、これら業務マニュアルやルールの未整備等に起因し、多数の顧客に影響を及ぼすシステム障害事例や、障害復旧が遅延した事例が発生しているほか、その後もシステム障害が継続して発生している。

【多数の顧客に影響を及ぼすとともに復旧が遅延したシステム障害事例】
・データベースサーバーのハードウェアに異常が発生し、システムへのログイン不可のほか、株式や先物・オプション取引で約定報告の遅延等が発生した。この際、復旧手順が作成されていないほか、障害訓練が未実施であったため、復旧に時間を要した。
・外為オプション取引に関し、精算処理を行うサーバーとデータベースサーバーとの間の接続が不能となり、顧客の損益金の精算処理が停止。復旧が完了するまで他の回号の外為オプション取引の取扱いができなくなった。この際、休日・夜間における障害復旧の連絡体制等が未整備のため、上席者と連絡が取れないまま判断がつかず、復旧に時間を要した。

② 当社のコンティンジェンシープランは、平時のシステム障害の発生のみを想定したものとなっていたが、災害や事故を想定したコンティンジェンシープラン策定に関して明確なスケジュールを立てておらず、経営陣による改善に向けた進捗管理ができていなかったことから、当該プランの策定予定が今年度となっているなど、取組みに著しい遅れが認められる。

③ 担当役員は、システム障害の全体的な発生状況や原因等にかかる分析結果について、取締役会等に報告することとしていたが、報告を一時中断し、他の経営陣も報告が行われていないことに気付いていなかったなど、改善に向けたプロジェクト管理が不十分となっている。

④ 誤った障害報告基準を運用していたことから、当局あての障害発生等報告書について報告漏れが発生している。

（２）上記（１）の状況は、金商法第40条第２号に基づく金融商品取引業等に関する内閣府令第123条第１項第14号に規定する「金融商品取引業等に係る電子情報処理組織の管理が十分でないと認められる状況」に該当するものと認められる。
また、当社は、インターネット専業で外国為替証拠金取引等を行う金融商品取引業者として、障害発生時の適切な対応を含め、システムリスク管理について十分な態勢を整備することが求められるが、上記のとおり、経営陣を含めた全社的な取組みが不十分と認められることから、システムリスク管理態勢全般にかかる実効性のある改善策を策定したうえで、これを確実に実施することが必要であると認められる。

２．以上のことから、本日、当社に対し、金商法第51条の規定に基づき、以下の行政処分を行った。

【業務改善命令】
（１）本件について、責任の所在を明確化すること。
（２）経営陣の責任において、システムリスク管理態勢全般について実効性のある改善策を策定し、速やかに実行すること。
（３）上記（２）の改善策の策定や実行に当たっては、外部専門家の意見や評価を得て、その有効性を確保すること。
（４）上記（２）の改善策の履行状況について、適切にモニタリングするための態勢を整備すること。
（５）役職員に対して、システムリスク管理の重要性を再認識させるとともに、適切なシステムリスク管理の遂行に必要な手順やルールの内容を徹底するための研修を実施すること。
（６）上記（１）～（５）までについて、その実施状況を平成24年11月12日（月）までに書面で報告すること。
また、上記（２）～（５）までについては、その実施状況を、当分の間、３か月ごとに書面で報告すること。