www.occ.gov

https://www.occ.gov/news-issuances/news-releases/2020/nr-occ-2020-132.html

通貨監督庁（OCC）は本日、モルガンスタンレー銀行（NA）およびモルガンスタンレープライベートバンク（「銀行」）に対して6000万ドルの民事罰金を査定しました。

対象法令

12 C.F.F.R. Part 30, Appendix B, "Interagency Guidelines establishing Information Security Standards"（情報セキュリティ基準を確立する省庁間ガイドライン）

OCCによる発見事項

1. (1) 平成28年、当行は、米国に所在するウェルス・マネジメント事業用データセンター２カ所の廃止に関連して、

• ハードウェアの廃止に伴うリスクの効果的な評価や対処を怠ったこと、
• 下請け業者を含む第三者業者の利用に伴うリスクの適切な評価を怠ったこと、
• 機器に保存されている顧客データの適切なインベントリーの維持を怠ったこと等

1. を理由に、適切な監督を行いませんでした。当行は、モルガン・スタンレーが委託した第三者ベンダーを選定する際に適切なデューデリジェンスを実施せず、ベンダーのパフォーマンスを適切に監視していませんでした。

2. (2) 当行は、2019年に、広域アプリケーションサービス機器の廃止に関連して、同様のベンダー管理管理の不備を経験しました。

3. (3) 当行は、OCCの指示により、2016年の事故については影響を受ける可能性のある顧客に通知し、2019年の事故については影響を受ける可能性のある顧客に自主的に通知しました。

4. (4) 当行は、初期の是正措置を実施し、不備を是正するために必要かつ適切な措置をとることを約束しています。

5. (5) 上記の行為により、当行は、12 C.F.F.R. Part 30, Appendix B, "Interagency Guidelines establishing Information Security Standards"（情報セキュリティ基準を確立する省庁間ガイドライン）を遵守しておらず、また、不正行為のパターンの一部である安全でない、または健全でない行為を行っていました。