ニューヨークのDFSがRobinhood Cryptoを平手打ちし、3000万ドルのコンプライアンス罰金を科す

ニューヨークのDFSがRobinhood Cryptoを平手打ちし、3000万ドルのコンプライアンス罰金を科す

8 月 1 日、ニューヨーク州金融サービス局 (「NYDFS」または「DFS」) は、人気企業の完全所有の暗号通貨取引部門である Robinhood Crypto, LLC (「RHC」) に対する同意命令と 3,000 万ドルの罰金を発表しました。 Robinhood Financial LLC による投資アプリ。 命令の中で、NYDFS は、RHC が連邦銀行秘密法、州および連邦の反マネーロンダリング規則 (「BSA/AML」) および NYDFS サイバーセキュリティ規則に関連する NYDFS 規則を順守しなかったと主張しています。 DFS が発行したプレスリリースによると、調査により、RHC の BSA/AML コンプライアンス プログラムの「重大な欠陥」と、同社のサイバーセキュリティ プログラムの「重大な欠陥」が明らかになりました。

コンプライアンス プログラムの不備

BSA/AML 違反

同意命令において、NYDFS は、RHC の BSA/AML プログラムの調査により、多くの欠陥が明らかになったと主張しています。 NYDFS および連邦 BSA/AML 規制の下で、組織はポリシーと手順を実装および維持して、疑わしいアクティビティを検出および報告し、米国財務省の金融資産管理規則によって禁止されている取引をブロックする必要があります。 しかし、DFS は、RHC がこれらの要件を満たすための適切なポリシーと手順を実装できなかったと主張しています。 特に、DFS は、RHC が「ライセンシーのリスクプロファイルに見合った」BSA/AML プログラムを維持できなかったと主張し、RHC が平均 106,000 のトランザクションを処理したという事実にもかかわらず、RHC が手動の内部報告システムに依存し続けたことに言及しました。 、2019 年 9 月 30 日の時点で 1 日あたり合計 530 万ドルです。手作業による報告システムと不十分な人員配置の結果として、NYDFS は次のように主張しています。 [RHC’s] AML スタッフはトランザクション アラートについていくことができず、その結果、 [a] アラート処理の大幅なバックログ」。 RHC は、2019 年 12 月に BSA/AML プログラムをレビューするためにサードパーティのコンサルタント (「コンサルタント」) を雇ったという事実から、BSA/AML のポリシーと手順が不適切であることを認識していたようです。コンサルタントは RHC に、その BSA/AML 手順は「最小限の価値」であると報告しました。 それでも、RHC のチーフ コンプライアンス オフィサーは、2019 暦年のニューヨーク取引監視規則に準拠していると認定されました。

サイバーセキュリティの欠陥

NYDFS は、RHC サイバーセキュリティ プログラムの不備も特定しました。 DFS は、RHC が親会社のポリシーと手順に過度に依存し、RHC の業務、リスク、報告ライン、またはサイバーセキュリティ規則の完全な要件に完全に対応していなかったとして、RHC を非難しました。 DFS の調査では、他の欠点の中でも特に次のことが判明しました。 (ii) データ ガバナンスと分類、IT 資産管理、事業継続と災害復旧計画、システム運用、システムとネットワークの監視、システムとアプリケーションの開発、リスク評価、およびインシデント対応活動を導くための詳細なポリシーと手順が不十分であった。 (iii) サイバーセキュリティ規則の要件を満たすリスク評価を実施できなかった。

特定されたコンプライアンス違反に加えて、NYDFS は RHC の調査への協力と率直さに異議を唱え、RHC の DFS 監督協定に違反して、RHC が連邦および州の規制当局による調査を開示しなかったことを指摘しました。

同意注文の要件

同意命令に基づき、RHC は DFS に 3,000 万ドルの民事上の罰金を支払わなければなりません。 特に、命令は、RHCが保険契約、補償、または税額控除を介してペナルティの費用を回収することを禁じています. RHC はまた、BSA/AML およびサイバーセキュリティ規則の要件に対する RHC の現在のコンプライアンス プログラムを改善するために、RHC の包括的なレビューを実施し、RHC を支援するために、既存のコンサルタントを再雇用する必要があります。 新しい契約の下で、コンサルタントは、RHC の規則への準拠に関して DFS に定期的な報告を提供する義務があります。

重要ポイント

金融サービス業界は長年にわたって厳格な規制を受けており、新興企業はこれらの義務を免除されていません。 非伝統的な業界の革新的な組織は、多くの場合、独自のコンプライアンスの課題に直面しています (たとえば、暗号通貨分野での詐欺、マネーロンダリング、違法行為のリスクの高まりと、従来の金融機関が直面する同様のサイバーセキュリティの課題が相まって)。 指数関数的な成長はすべての組織の夢ですが、急速な拡大は多くの場合、コンプライアンスの負担の増加を伴います (場合によっては、規制当局による精査も伴います)。 したがって、組織は、適用される法律、規制、および契約上の要件を満たしていることを確認するために、思慮深いコンプライアンス評価と特定されたギャップの迅速な是正に取り組む必要があります。 このような評価を実施する場合、組織は、弁護士を介してコンサルタントや他のベンダーに依頼することを検討し、評価の結果を特権を持って保護し、法廷または規制当局の調査で後で作成されるのを可能な限り防止する必要があります。 評価は、法的な目的だけでなく、コンプライアンスおよび情報技術の目的にも役立ちます。弁護士の監督の下でそのような評価を実施することにより、弁護士は、適用される法律および規制の遵守に関する法的助言を組織に提供できます。

特定のサイバーセキュリティの制御と評価を要求する既存の法律に加えて、多くの組織は間もなく施行されるカリフォルニア州、コロラド州、コネチカット州、バージニア州のプライバシー法の下でプライバシー影響評価を実施する必要があります。 したがって、複数の管轄区域で事業を行う企業は、プライバシーを確​​立する必要があります。 セキュリティ評価プログラムは、適用される法律および規制 (これらの法律に含まれる比例性、データの最小化、および保持義務を含む) の下で確立された要件を満たしていることを確認するのに役立ちます。 さらに、企業は、該当する業界固有の義務 (金融サービス業界の AML など) に留意し、それらのニーズを満たすようにコンプライアンス プログラムを調整する必要があります。 チーム SPB は、2023 年州プライバシー法コンプライアンス ガイドを作成しました。 この無料のリソースでは、現行の各州のプライバシー法の要件に関する情報と、2023 年の新しい州のプライバシー法の計画と準備においてコンプライアンス チームを支援するサンプル ワークストリームを提供しています。

© 著作権 2022 Squire Patton Boggs (US) LLPNational Law Review、第 XII 巻、第 215 号

Leave a Reply

Your email address will not be published.