銀行員のための教科書

これからの時代に必要な金融知識と考え方を。

システム障害のみずほに対する金融庁の処分理由が示唆に富み過ぎている件

f:id:naoto0211:20211128183422j:plain

金融庁は、今年8度のシステム障害を起こしたみずほ銀とみずほFGに業務改善命令を出しました。そして、2022年1月17日までに再発防止等の改善計画を提出するよう求めました。

一方、みずほFGは同日、今回の問題における責任をとってみずほFG社長とみずほ銀行頭取が2022年4月1日付で辞任すると発表しました。

一連のシステム障害で、金融庁はみずほFGの何を問題視したのでしょうか。

今回は、この金融庁の業務改善命令について内容を確認していきたいと思います。きっと、銀行以外の企業に勤めている方にとっても示唆に富んでいるはずです。

 

金融庁の発表内容

今回は、金融庁の発表内容を基本的にそのまま掲載します。読み物として面白いと思います。

<以下金融庁の発表内容の引用>

【処分の理由】

当庁検査並びに銀行法第24条第1項及び第52条の31第1項に基づく報告を踏まえ、銀行の業務の健全かつ適切な運営を確保するため、以下の理由の通り、本処分を踏まえた業務改善計画の検討、策定及び速やかな実行並びに経営責任の明確化等が必要であると認められる。

当行(筆者註:みずほ銀行)では、令和3年2月から9月にかけて、顧客に影響を及ぼすシステム障害を計8回発生させており、そのうち、2月28日の障害においては、システムに高い負荷がかかりやすい月末にデータ移行作業を実施することのリスクについて十分な検討を行わないまま作業を実施し、多数のATMが稼働停止する事態を招くとともに、ATMへの通帳やカード取込みを発生させ、多数の顧客にその場での待機を余儀なくさせる事態を生じさせた。また、8月20日の障害においては、全営業部店で一定時間店頭取引が行えない事態を招いた。

さらに、9月30日の障害における復旧対応においては、資産凍結等経済制裁措置に関する法令及び「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」の遵守態勢に係る問題も認められた。

当行及び当行の親会社である当社(筆者註:みずほFG)は、このように短期間に複数のシステム障害を発生させたことにより、個人・法人の顧客に重大な影響を及ぼし、社会インフラの一翼を担う金融機関としての役割を十分に果たせなかったのみならず、日本の決済システムに対する信頼性を損ねたと考えられ、関係する当行及び当社の経営陣の責任は重大である。

今回の一連のシステム障害が発生した直接の原因は、当行において、

  • 開発や障害対応における品質を確保するための検証が不足していること、
  • 保守・運用に係る問題点を是正しておらず、委託先への管理を十分に行っていないなど、当行の新基幹システム(以下「MINORI」という。)を安定稼働させるための保守管理態勢を整備していないこと、
  • 危機対応に係る態勢整備の状況について、訓練や研修などを通じて十分に検証していないこと

にあると認められる。

このような原因の背景には、当行及び当社の執行部門が、IT現場の実態を十分に把握・理解しないまま、MINORIが安定稼働していると誤認し、障害発生時も影響範囲が局所的になりやすいというMINORIの特性を過信したことから、システムの安定稼働に必要な事項(有事を想定した被害の極小化に必要な取組みを含む。)を十分に洗い出さずに、MINORIを開発フェーズから保守・運用フェーズへ態勢を移行させた上、MINORIの保守・運用に必要な人員の配置転換や維持メンテナンス経費の削減等の構造改革を推進したことが認められる。

また、当行の執行責任者は、MINORIは安定稼働していると誤認して、システムリスク管理態勢の実態を把握しないまま、人員の再配置、ベンダーからの業務の引継ぎを行ったことが認められる。

これらの結果、MINORI等の運営態勢を弱体化させているものと認められる。

こうした対応が、令和3年2月から9月に発生した一連のシステム障害において認められた、障害の予兆管理や障害からの復旧に係る対応力といった、IT現場における業務対応力の脆弱化を招く一因となったものと認められる。 

当行の取締役会は、障害分析や予兆管理の状況、障害に係る訓練の実態、IT人材の適正配置の状況などを継続的に報告させるといった、有効な牽制機能が働くシステムリスク管理態勢を整備していなかったことから、複雑なMINORI等の運用管理に係る脆弱な実態を把握しておらず、執行責任者に対し、適切な指示等を行える態勢となっていない。

銀行持株会社である当社においては、当行を適切に経営管理していく必要があったが、当社自身に以下のガバナンス上の問題点が認められる。

  • 業務執行を担う経営陣が、適切な資源配分を目指すという構造改革の真意を当社及び当行職員に浸透させられないまま構造改革を推進した結果、コストの最適化が強調され、IT現場の声を十分に拾いきれないまま、MINORIを安定稼働させるための人材の配置転換や維持メンテナンス費用の削減が実施されたという問題
  • 取締役会において、構造改革に伴うシステムリスクに係る人員削減計画と業務量の状況について、十分に審議を行っていないという問題
  • 執行責任者が、過去のシステム障害等も踏まえた危機管理を含む高度な専門性が求められるCIOの人選や候補者育成の指針となる人材像を明示的なものとして策定していなかったという問題。また、取締役会は、グループCEOや主要経営陣の候補者の人材像について十分な議論を行っていないという問題
  • リスク委員会が、トップリスク運営の導入に当たり「大規模なシステム障害」を選定し、選定したトップリスクに対するアクションの策定等が重要であることを提言したにもかかわらず、当社の執行部門において十分な対応がなされず、また、リスク委員会によるフォローもされていないという問題
  • 監査委員会が、重点監査テーマとして「IT関連ガバナンス態勢」を設定したにもかかわらず、当社内部監査グループから改善提言無しとの報告を受けた際に、経営資源配分の適切性について調査・報告を求めるなど、具体的な指示を行っていないという問題

なお、当行及び当社は、令和3年2月及び3月に発生したシステム障害を受け、抜本的な再発防止に組織全体として取り組むとして、6月15日に再発防止策を公表しているが、8月及び9月にも4回のシステム障害を発生させ、これらの障害の発生原因の一部は当該再発防止策の点検範囲に含まれていなかったことなどを踏まえれば、当該再発防止策は限定的なものに留まっていた。

当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。

(1)システムに係るリスクと専門性の軽視

(2)IT現場の実態軽視

(3)顧客影響に対する感度の欠如、営業現場の実態軽視

(4)言うべきことを言わない、言われたことだけしかしない姿勢

これらの真因の多くは、当行において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。

したがって、当行及び当社においては、

(1)システム障害に係る再発防止策(MINORI等の安定稼働に必要となるシステムリスク管理態勢の整備、システム障害が発生した場合であっても顧客影響を極小化するための対策を含み、さらに当社にあっては適切な資源配分に係る改善策を含む。)、

(2)システムの安定稼働等に必要となる経営管理(ガバナンス)態勢の整備に係る具体的な取組み、

(3)一連のシステム障害の真因として挙げたシステムに係るリスクと専門性の軽視、IT現場の実態軽視、顧客影響に対する感度の欠如や営業現場の実態軽視、言うべきことを言わない、言われたことだけしかしない姿勢といった企業風土を改め、各々の役職員が顧客影響に対する感度を高めていくなど、組織的行動力を強化し、行動様式を変革していくための具体的な取組み 

に係る業務改善計画を策定(当社にあっては当行が策定する業務改善計画についての検証及び必要な見直しを含む。)し、これを速やかに実行するとともに、当該業務改善計画について継続的に再検証及び見直しを実施していく必要がある。

 

所見

如何でしたでしょうか。

金融庁の処分理由は、とても官庁が発表する内容とは思えない文面が含まれていました。

改めて抜粋すると「一連のシステム障害の真因として挙げたシステムに係るリスクと専門性の軽視、IT現場の実態軽視、顧客影響に対する感度の欠如や営業現場の実態軽視、言うべきことを言わない、言われたことだけしかしない姿勢といった企業風土を改め、各々の役職員が顧客影響に対する感度を高めていくなど、組織的行動力を強化し、行動様式を変革していくための具体的な取組み」を金融庁は求めています。

ただ、これはみずほFG、みずほ銀行に特有の事象なのでしょうか。

システムに係るリスクと専門性の軽視やIT現場の実態軽視は、どこかで聞いたことのある話だとは思いませんでしょうか。

顧客影響に対する感度の欠如や、営業現場の実態軽視、という言葉もよく聞く内容ではないでしょうか。

さらに、「言うべきことを言わない、言われたことだけしかしない姿勢」は様々な企業で蔓延していないでしょうか。「言ったもん負け」は、何らかの改善提案や以前からある問題・課題を指摘すると、それを言った本人が、その改善・対応を責任持ってやらなければならない状況が生まれてしまうことです。こんな企業風土は、本当にみずほだけの問題でしょうか。

みずほFGのシステム障害問題は、日本の企業に共通する問題なのではないかと筆者には感じられます。

皆さんはどうお考えになるでしょうか。