みずほフィナンシャルグループ(みずほFG)が、2021年2月以降に連続して発生したATM等のシステム障害について、外部調査の報告書を発表しました。
この報告書の内容は、みずほFGの企業風土についても触れています。
筆者の感覚で大変恐縮ですが、日本企業の「劣化」が集約されたような内容になっていますので、今回はこの報告書をご紹介したいと思います。
調査報告書における原因説明
今回の障害原因については、みずほFGが公表した『システム障害特別調査委員会「調査報告書(要旨)」2021 年6 月15 日』の内容が非常にまとまっています。
以下、その内容を抜粋します。
<『システム障害特別調査委員会「調査報告書(要旨)」2021 年6 月15 日』抜粋>
本委員会は、一連の本障害につき、MINORI を中心とするIT システムのメカニズム面において共通する原因を認めないが、「第3 記載の本障害に係る原因分析」及び「2002 年、2011年発生の障害事例で原因とされた点との共通性」等に照らし、本障害に共通する人為的側面の原因として、①危機事象に対応する組織力の弱さ、②IT システム統制力の弱さ、及び③顧客目線の弱さ、の3 点が存在し、さらに、それらの根底には、④それらが容易には改善されない体質ないし企業風土があるものと認めた。これらはいずれも、以下に見るように、今後の再発防止への取組みにおいて、基本的な課題として認識されるべきである。
第1 に、「危機事象に対応する組織力」に係る課題であるが、一般に、組織としての対応力は、組織における各部門の横の連携、上下各層の縦の連携がいずれも緊密に保たれ、全体として有機的に一体として機能することで有効に発揮され、特に、想定外の事態(不測の危機事象)が生じた際に、その真価が試される。
しかし、不測の危機事象である本障害発生時には、他の部署からの情報を適切に把握するための連携がうまく機能しなかっただけでなく(横の連携)、一元的な情報集約を担うべき有事対応に係る体制が機能せず、また、経営陣への報告が遅く非常対策PT の設置も遅れたなど経営陣に対する情報の連携も十分ではなかったのであり(縦の連携)、組織としての危機対応力の弱さが顕著に表れたといわざるを得ない。
第2 に、「IT システム統制力」に係る課題であるが、MINORI の安定稼働は経営戦略上最重要のテーマであって、障害影響の波及の大きさ、システム構造の経年によるブラックボックス化、障害発生時の復旧や顧客影響の極小化といったMINORI の構造的な問題に適切に対処する不断の努力が必須となり、人材及び予算等のリソースがリスクベースの考え方の下で適切に配分され、強力なIT ガバナンスに基づく適切なIT マネジメントが行われることが重要であった。しかし、2 月28 日障害では、取消情報管理テーブルのINDEX FILE の容量超過のリスク認識の不足、運用管理や障害復旧対応における情報収集態勢等の不備・不十分性、3 月7 日障害では、カードローン案件に係るテスト不足や外部委託先の管理体制の不備、3月12 日障害では、障害発生時の復旧対応に関し、訓練の不足、外部委託先の管理体制及び顧客対応における情報共有体制の問題などがそれぞれ認められ、全般に、IT ガバナンス及びIT マネジメントが十分機能せず、IT システムの統制力に脆弱性があった。
その背景には、①MINORI 移行後のIT 人材のリソースの再配置等に配慮不足があり、加えて、②より深くリスクマネジメントがなされるべき休日や営業時間外における危機への備えが足りないこと、が挙げられる。また、③システム障害を繰り返していることにも照らし、その根底には経営陣以下に、システムリスクに対する感度の低さがあるものと思われる。
第3 に、「顧客目線」に係る課題であるが、MHFG は、その企業理念として謳う「みずほValue:役職員が「ビジョン」を追求していくうえで共有する価値観・行動軸」の第1 番目に、「お客さま第一」を掲げている。そうである以上、あらゆる事項について顧客の視点からの検討がされなければならないし、顧客に悪影響が生じる場合は、その抑止を最優先して対応すべきであった。
しかし、2 月28 日障害により顧客が多大な不便等を強いられたことにみられるように、①ATM の通帳・カード取込み仕様とそれがもたらす影響についての問題意識が欠如しており、②有事の障害対応において、顧客利益に極力配慮する姿勢が足りていなかった。また、③ATMやダイレクトを利用する顧客は、銀行にとっては「顔の見えない顧客」であり、関心が薄いことも否定できないように思われる。
第4 に、「体質ないし企業風土」に係る課題については、本障害という有事において、自らの持ち場を超えた積極的・自発的な行動によって、問題を抑止・解決するという姿勢が弱い場面がしばしば見受けられた。また、障害の内容・顧客への影響の全容が完全に明確ではない時点において、リスクがあるものとして、発言し行動することを控えるような状況も認められた。
役職員にこのような積極的・自発的姿勢が欠ける要因としては、積極的に声を上げることでかえって責任問題となるリスクをとるよりも、自らの持ち場でやれることはやっていたといえる行動をとる方が組織内の行動として合理的な選択になるという企業風土があるためではないか、と思われた。
如何でしょうか。
これだけ見ると、みずほFG・みずほ銀行は本当にダメな銀行だとお感じになるでしょう。しかし、それ以上に、企業に勤めている方ならば、どこか既視感を抱くのではないでしょうか。
みずほのシステム障害が起きたのは、必然かもしれません。
しかし、その背景にあるものは、我々の周りにあるように思います。
所見
このシステム障害について、みずほFGのみならず、誰しもが認識しておくべきは、顧客の苦情内容ではないかと思います。
以下は、システム障害特別調査委員会「調査報告書(公表版)」からの抜粋です。
内訳は、通帳・カード取込みに対する苦情が約300 件、ATM の前で待たされたことに対する苦情が約238 件、ATM センターに連絡がつかなかったことに対する苦情が約146件、コールセンターに連絡がつかなかったことに対する苦情が約49 件、ATM が利用できなかったため不要な金銭負担が生じたという苦情が約133 件、ATM の前で長時間立ち往生せざるを得なかったことから、予定に対する支障が生じたという苦情が約89 件であった。
中には、①通帳・カード取込みにより7 時間以上待たされた、②5 時間待ち続け駐車場代がかかった、③携帯電話で銀行に電話をかけ続けてパケット料が上がった、④ATM センターに電話が繋がらないため喪失受付窓口に196 回電話してようやく繋がった、⑤重要な試験の受験を見送った、⑥仕事をやむなく休んだ、⑦コンサートや予約したイベント等に行けなくなった、⑧寒い中飲まず食わずで立ちっぱなしの状況であった、⑨長時間トイレに行けなかった、⑩当日中の家賃の振込ができなかったこと等により延滞利息等の損失が別途発生した、⑪後日通帳・カードを引き取るに当たり有給休暇を消化した等、様々な身体的、精神的、経済的負担を指摘するものが含まれている。
このような状況に遭遇したら、我々はどのように感じるでしょうか。
筆者なら、二度とみずほ銀行を使いたくないと思うでしょう。
この苦情内容をみずほFG・みずほ銀行の役職員は忘れてはならないのではないでしょうか。
今回の調査報告書には以下のような記載もあります。
ATM が広範囲に通帳・カードを取り込む仕様自体、何の責任もない顧客に不親切な設計であるが、IT 部門のみならず、ATM を担当する部署においてさえ、このような仕様であることをよく認識しておらず、顧客に与える不便に関する評価がされた事実は見あたらなかった。
そして、上記第6 のとおり、過去数回にわたり、通帳・カードの取込みによって、顧客に迷惑をかけた事態が生じていたのであるから、顧客に不親切な仕様であることに気づく契機は存在していたが、MHFG 及びMHBK において、これを見直そうとする動きや少なくとも顧客に不便をもたらさないための方策を検討した動きは確認されなかった。(中略)
顧客目線の弱さの一因として、過去の事象、平時の人事評価や人事育成の際に、顧客目線で積極的に行動することが評価されてこなかった可能性も否定できない。
(出所 システム障害特別調査委員会「調査報告書(公表版)」127~128P)
みずほFGの今回の問題は、システムにおける初歩的なミス(特に初回障害はメモリの容量未確認のようなもの)が主だと思われますが、全体を通しての要因は「システム全体に対する理解不足」と「顧客目線不足」に集約されおり、その根本には「想像力不足」があるように思います。
これは、みずほFGだけが特殊でしょうか。
我々が勤めている企業の経営陣や上司は、システム全体をきちんと理解しているでしょうか。顧客目線で業務を運営しているでしょうか。顧客目線で運営している企業が多いなら、なぜ「顧客第一」と内部で掲げる企業が多いのでしょうか。
そして、どのような問題が起きそうか、問題が起きた場合にはどのような対応を取るべきか、「想像できていない」ことが多いのではないでしょうか。言葉を換えれば、問題が起きることを前提に運営されている企業は少ないのではないでしょうか。
みずほFGの問題は、日本企業における想像力の劣化を象徴しているのではないかと筆者には感じられます。
コロナ禍において顕在化した日本(政治)の問題点と共通するものも筆者としては感じます。この報告書が広く様々な方に読まれ、他山の石となることを望みます。
