OCCがキャピタルワンに対して8000万ドルの民事罰金を査定 2020年8月6日

www.occ.gov

対象法令

12 CFRパート30、付録B、「情報セキュリティ基準を確立する省庁間ガイドライン

発見事項

  1. (1) 当行は、平成27年頃に、情報技術業務をクラウド運用環境に移行する前に、効果的なリスク評価プロセスの確立を怠りました。また、特定のネットワークセキュリティ対策の適切な設計・実施、適切なデータ損失防止対策、アラートの効果的な処分など、クラウド運用環境における適切なリスク管理の確立を怠っていました。
  2. (2) 当行の内部監査においては、クラウド環境における多数の統制上の弱点やギャップを発見することができませんでした。また、内部監査は、特定された弱点やギャップを監査委員会に効果的に報告し、強調していませんでした。
  3. (3) 内部監査によって提起された特定の懸念事項について、取締役会は、特に特定の内部統制のギャップや弱点に関する懸念事項への対応において、経営陣に説明責任を負わせるための効果的な措置をとることができませんでした。
  4. (4) 上記のような行為により、当行は、連邦規則集第 12 編第 30 部の付録 B「情報セキュリテ ィ基準を定める省庁間ガイドライン」を遵守しておらず、安全性や健全性に欠ける行為を行っておりま した。
  5. (5) 当行は、特定された是正措置への対応を開始し、不備を是正するためのリソースを提供することを約束しています。