日経コンピュータ『ポストモーテム　みずほ銀行システム障害事後検証報告』日経ＢＰ

米国ＩＴ企業が、システム障害が発生した後に社内外の関係者と共有する事後検証報告書のことを「ポストモーテム」と呼ぶそうだ。

みずほ銀行は、２０２１年２月以降１年間に１１回のシステム障害を起こした。金融機関のシステムトラブルは、実際は日常茶飯事であるが、顧客に迷惑を掛けずに済んでいる。

みずほ銀行は、日本を代表するメガバンクである。過去の大規模システム障害を乗り越えるため、２０１９年７月に新勘定系システム「ＭＩＮＯＲＩ」を全面稼働し、システム障害からおさらばしたはずと誰もが思っていた。

ところが、２０２１年２月２８日９時５０分、大規模システム障害が発生した。しかも、同１０時、ＡＴＭがカードや通帳を取り込んで休止するようになってしまう。ＡＴＭ備え付けの電話が回線がいっぱいでつながらないことが顧客の信頼を一層損ねることとなってしまった。

直接の原因は、従来の紙の通帳の口座から、通帳がない「みずほe-口座」へ切り替える作業であった。コンピュータのインデックスメモリーの容量を超えて作業を行ってしまい、さらに生じたエラーを見逃していた。監視体制の不備による人為的ミスである。

当日が日曜日であったこともあるが、トラブルが発生してからも、顧客への対応が即座には行われず、後手に回った。一部取引ができない旨Ｗｅｂサイトに発表したのが１３時１５分、カード・通帳の後日返却をＷｅｂサイトに掲示したのが１５時５８分であった。全営業店への出勤指示は１４時２５分には行われたが、実際の伝達は遅れ、具体的な指示もなかった。

その後に起こったシステム障害は、ネットワーク器機の故障などのハード障害があるほか、カードローン関連プログラムのバグ（プログラムミス）、振込のシステム設定の誤り、インターネットバンキングがつながりにくくなるなどの障害を起こしている。特に９月３０日の外為送金の遅れについては、マネー・ローンダリングのチェックを外したため、外為法違反で財務省から是正措置命令が発令されてしまった。

金融庁や財務省が分析する原因は次のとおりである。　　　　　　　　　　①コンプライアンスに関する知識不足（外為法違反）　　　　　　　　　　　②システムの品質を確保するための検証不足　　　　　　　　　　　　　　　　　　　　　　　③保守・運用体制の未整備（委託先の管理不足）　　　　　　　　　　　　　　　　　　　　　　　④訓練・研修不足（システム障害対応訓練が行われず）　　　　　　　　　　　⑤ＩＴ現場の実態の把握不足とサービス指向アーキテクチャーへの過信（システムが安定稼働しているとの実態の誤認と連鎖障害が起きないとの過信）　⑥ＭＩＮＯＲＩの開発・運用担当者を６７％削減　　　　　　　　　　　　　　⑦専門性のないＣＩＯ（最高情報責任者）を任命　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　⑧リスク委員会・監査委員会の機能不全　　　　　　　　　　　　　　　　　　　　　　⑨その他過去から通底する真因（システムに係るリスクと専門性の軽視、ＩＴ現場の実態軽視、顧客影響に対する感度の欠如・営業現場の実態軽視、言うべきことを言わない・言われたことしかしない姿勢）　　　　　　　　　　　　　　　　　

銀行内のアンケートでも、①現場の意見が本部に上がらない、②経営陣に忖度して各種判断がなされる、③内向き姿勢、④事なかれ主義などの問題点が寄せられたと言う。

リスク委員会や監査委員会が機能しなかった点も指摘されているが、そもそも銀行内の内部監査グループにシステム監査を実施できる態勢がなかったように思える。

その他詳しい検証内容は本書を読んでもらいたいが、システム問題を単に作業、オペレーションの問題とし、経営問題ではないと考えがちなサラリーマン経営者がいる企業がほかにもある気がする。また、最近のＤＸ化についてでさえ、本心では興味のない経営者もいるように感じる。他社の事例だと等閑視することなく、他山の石とすべきと思う。