みずほFG システム障害特別調査委員会の調査報告書
こんにちは、丸山満彦です。
みずほFGが、2021年2月28日から同年3月12日にかけて、みずほ銀行において、勘定系システム「MINORI」に、計4回にわたりシステム障害が発生し、その結果、数多くのATMが利用不能になり、顧客の通帳・カードがATMの内部にとどまったまま、長時間にわたり顧客に返還がなされないなど、顧客に多大な影響を与えた事案に対する、調査報告書を公表していますね。。。
一読する価値はあると思います。
● みずほFG
・2021.06.15 システム障害特別調査委員会の調査報告書の受領について
- [PDF] 調査報告書(要旨) [Downloaded]
本障害に共通する人為的側面の原因として、
①危機事象に対応する組織力の弱さ、
②ITシステム統制力の弱さ、及び
③顧客目線の弱さ、の3点が存在し、さらに、それらの根底には、
④それらが容易には改善されない体質ないし企業風土
があるものと認めた。
- [PDF] 調査報告書 [Downloaded]
・2021.06.15 株式会社みずほ銀行におけるシステム障害にかかる原因究明・再発防止について
- [PDF] 本編 [Downloaded]
- [PDF] 役員処分について(別紙)[Downloaded]
- [PDF] 再発防止に向けて Downloaded]
不正や大きなミスを分析する際には、
・設計 (Design) の問題
・運用 (Operation) の問題
に分けて検討するのが良いと思います。
財務諸表監査における内部統制の評価でも、設計と運用の2つの局面で評価するので評価するので、この考え方は長年の実務経験に基づくものであり、かつ、グローバルにも広く理解されているので、わかりやすいと思います。
また、情報システムにまつわる不正、大きなミスを分析する際には、
IT全般統制、IT業務処理統制、業務処理統制、全般統制に分けて考えるとわかりやすいように思いますね。。。今回は弁護士が中心のチームで監査人が入っていないので、こういう報告書になっていますが、できれば弁護士、監査人、経営者経験者のチーム組成が適切なのだろうと思います。
この報告書のPDFがコピー禁止になっているようで、引用にはOCRを使うという一手間必要で、この点は改善してほしいところですね。。。
第4 原因の総括
本委員会は、一連の本障害につき、MINORIを中心とするITシステムのメカニズム面において共通する原因を認めないが、「第3記載の本障害に係る原因分析」及び「2002年、2011年発生の障害事例で原因とされた点との共通性」等に照らし、本障害に共通する人為的側面の原因として、①危機事象に対応する組織力の弱さ、②ITシステム統制力の弱さ、及び③顧客目線の弱さ、の3点が存在し、さらに、それらの根底には、④それらが容易には改善されない体質ないし企業風土があるものと認めた。これらはいずれも、以下に見るように、今後の再発防止への取組みにおいて、基本的な課題として認識されるべきである。
第1に、「危機事象に対応する組織力」に係る課題であるが、一般に、組織としての対応力は、組織における各部門の横の連携、上下各層の縦の連携がいずれも緊密に保たれ、全体として有機的に一体として機能することで有効に発揮され、特に、想定外の事態(不測の危機事象)が生じた際に、その真価が試される。
しかし、不測の危機事象である本障害発生時には、他の部署からの情報を適切に把握するための連携がうまく機能しなかっただけでなく(横の連携)、一元的な情報集約を担うべき有事対応に係る体制が機能せず、また、経営陣への報告が遅く非常対策PTの設置も遅れたなど経営陣に対する情報の連携も十分ではなかったのであり(縦の連携)、組織としての危機対応力の弱さが顕著に表れたといわざるを得ない。
第2に、「ITシステム統制力」に係る課題であるが、MINORIの安定稼働は経営戦略上最重要のテーマであって、障害影響の波及の大きさ、システム構造の経年によるブラックボックス化、障害発生時の復旧や顧客影響の極小化といったMINORIの構造的な問題に適切に対処する不断の努力が必須となり、人材及び予算等のリソースがリスクベースの考え方の下で適切に配分され、強力なITガバナンスに基づく適切なITマネジメントが行われることが重要であった。しかし、2月28日障害では、取消情報管理テーブルのINDEX FILEの容量超過のリスク認識の不足、運用管理や障害復旧対応における情報収集態勢等の不備・不十分性、3月7日障害では、カードローン案件に係るテスト不足や外部委託先の管理体制の不備、3月12日障害では、障害発生時の復旧対応に関し、訓練の不足、外部委託先の管理体制及び顧客対応における情報共有体制の問題などがそれぞれ認められ、全般に、ITガバナンス及びITマネジメントが十分機能せず、ITシステムの統制力に脆弱性があった。
その背景には、①MINORI移行後のIT人材のリソースの再配置等に配慮不足があり、加えて、②より深くリスクマネジメントがなされるべき休日や営業時間外における危機への備えが足りないこと、が挙げられる。また、③システム障害を繰り返していることにも照らし、その根底には経営陣以下に、システムリスクに対する感度の低さがあるものと思われる。
第3に、「顧客目線」に係る課題であるが、MIFGは、その企業理念として謳う「みずほValue:役職員が「ビジョン」を追求していくうえで共有する価値観・行動軸」の第1番目に、「お客さま第一」を掲げている。そうである以上、あらゆる事項について顧客の視点からの検討がされなければならないし、顧客に悪影響が生じる場合は、その抑止を最優先して対応すべきであった。
しかし、2月28日障害により顧客が多大な不便等を強いられたことにみられるように、①ATMの通帳・カード取込み仕様とそれがもたらす影響についての問題意識が欠如しており、②有事の障害対応において、顧客利益に極力配慮する姿勢が足りていなかった。また、③ATMやダイレクトを利用する顧客は、銀行にとっては「顔の見えない顧客」であり、関心が薄いことも否定できないように思われる。
第4に、「体質ないし企業風土」に係る課題については、本障害という有事において、自らの持ち場を超えた積極的・自発的な行動によって、問題を抑止・解決するという姿勢が弱い場面がしばしば見受けられた。また、障害の内容・顧客への影響の全容が完全に明確ではない時点において、リスクがあるものとして、発言し行動することを控えるような状況も認められた。
役職員にこのような積極的・自発的姿勢が欠ける要因としては、積極的に声を上げることでかえって責任問題となるリスクをとるよりも、自らの持ち場でやれることはやっていたといえる行動をとる方が組織内の行動として合理的な選択になるという企業風土があるためではないか、と思われた。
第5 MHFG・MHBK策定の再発防止策の評価及び提言
MHFG及びMHBKは、①システム関係、②顧客対応・危機管理関係、③組織・カルチャー関係の各観点から、各種の再発防止策を実施し又は実施を予定、検討しており、その内容は本障害の原因を踏まえそれに対応するものとして、いずれも有効かつ網羅的であり、相当であると思料する。特に、要所への「外部人材の登用」は、組織全体に新たな視点を持ち込み、企業風土を変える契機ともなり得るものとして高く評価できる。したがってまた、それを可能とする適材が求められる。
これらの再発防止策は、組織、ルールや手続を表面的、形式的に変更すれば足りるものではなく、その実効性と継続性の確保が不可欠である。そのためには、当該方策の趣旨、目指すものが何であるかを経営陣が明確に示して、全役職員に周知させ、目的意識を持って主体的に事にあたらせる必要がある。上記第4記載の基本的な課題は、再発防止に向けた取組みの指針とされるべきである。
そのような継続的な努力の積重ねと定期的なフォローアップの実施によって初めて、その実効性を確保できるものと思われる。
報告書目次
調查報告書目次
第1 調査の概要
1 委員会の設置経緯
2 調査の目的
3 本委員会の構成及び調査体制
4 本委員会の独立性
5 本委員会MHFG事務局
6 調查期間
7 調査の方法・範囲
(1)関係資料の精査
(2)ヒアリング及び現地調査
(3)デジタルフォレンジック調査
(4)アンケート調査
(5)ホットラインの設置及び申告への対応
(6)その他の調査
8 委員会の会議開催状況
9 本調査の前提と限界
第2 組織、事業内容及び内部統制
1 MHFG及びMHBKの概要並びに両社の浴革
(1)MHFG の概要
(2)MHBKの概要
(3) MHFG 及びMHBKの浴革
2 本障害に関係するグループ会社の概要
(1) MHRTの概要
(2) MIDSの概要
3 内部統制
(1) MHFG、 MHBK、MHRT及びMIDSの相互関係
(2)本システムに関連する組織
ア MHFG等グループ各社のシステムに関する組織体制
(ア)MHFGについて
(イ)MHBKについて
(ウ)MHRTについて
(エ)MIDSについて
イ グループ全体及びMHBKにおけるシステムリスクの管理方法
ウ MHFG 等における内部監査
(3)緊急事態発生に備えた体制と有事対応の流れ
ア 緊急事態発生に備えた体制について
(ア)MHFGの体制
(イ)MBKの体制
イ 緊急事態発生後の有事対応の流れについて
(ア)緊急事態等の発生可能性が認識された段階
(イ)緊急事態等への移行後、非常対策PT等が設置されるまでの段階
(ウ)非常対策PTの設置とその後の対応
第3 本システムの概要
1 MINORI開発の経緯
2 MINORIの仕組み
(1)MINORIの設計思想
(2)MINORIを基盤とする本システムの構成要素
(3)具体的な取引における本システムの動作
3 本システムの運用・保守体制
(1)システム運用・保守に関する契約
(2)システム運用・保守に係る人的体制。
(3)エラー検知がなされた場合の手順
4 顧客取引におけるATM及びダイレクトの取引チャネルとしての意義
第4 本障害の事実概要及び原因
1 2月28日障害
(1)事実概要
ア 障害の発生状況
(ア)障害の概要
(イ)障害発生、障害影響及びシステム復旧対応等の全体推移
(ウ)障害発生機序の詳細
i 取消情報管理テーブルのINDEXFILE容量超過。
ii 二重エラー及びCIF排他の解除不可
iii ATM処理区画及びダイレクト処理区画の閉塞
iv 通帳・カードの取込み
イ 障害発生後の状況
(ア)システムの復旧に向けた対応状況
i エラーメッセージの監視・連絡体制
ii エラーメッセージについての具体的な取扱い状況
iii 取引サービス禁止機能に係る作動条件の緩和
(イ)顧客への障害影響及び対応状況
i 顧客に及んだ影響
ii 事業継続管理統括部門による対応
iii ATMに関する顧客対応(事務企画部及びBCSOL)
iv ATMに関する顧客対応(RB部門)
v コールセンタ―等における顧客対応(個人マーケティング推進部)
vi 広報対応(CC部)
vii 顧客に負担を掛けたこと
(2)原因
ア 障害の発生について
(ア)取消情報管理テーブルのINDEXFILEの「厳密なキャパシティ管理の必要性」に係る認識の欠如、連携の不足
(イ)エラー設計の不備及び MINORI構築時の障害回復テストでのリスク洗出しの不足
(ウ)e-口座一括切替処理のスケジュール決定におけるリスク認識の不足
(エ)MHRTによる予兆の見逃し
(オ)ATMの「通帳・カード取込み」範囲を縮小する仕様変更の遅れ
i 2018年6月のシステム障害による通帳・カード取込み
ii 2019年12月のシステム障害による通帳・カード取込み
iii その他の「通帳・カード取込み」事象及びこれに関連する外部の動き
iv 障害発生後のシステム復旧遅延及び顧客影響の拡大について。
(ア)システム対応関係
i システム運用上の問題
ii シンステムリスクへの対応体制の問題
(イ)顧客対応関係
i 2月28日障害による顧客影響の想定・認識の甘さ
ii 休日のAMM障害に対する顧客保護の備えの薄さ
iii 顧客の待ち時間を短くする措置の遅れ
iv 通帳・カード取込みを防ぐ措置の遅れ
(ウ)組織全体関係
i システム担当部署と顧客対応部門が連携して情報共有し、各自主体的・積極的に対応する姿勢の不足
ii システム障害に係る情報を一元的に集約・分析して対策を立案・実施する危機管理体制の弱さ
iii 初動対応における2月28日障害影響の過小評価
ウ 上記ア及びイに通じる構築後のMINORI運用管理体制の脆弱化
2 3月3日障害、
(1)事実概要
ア 障害の発生状況
イ 障害発生後の状況
(ア)システムの復旧に向けた対応状況
(イ)顧客への障害影響及び対応状況
(2)原因
ア 障害の発生について
イ 障害発生後のシステム復旧遅延及び顧客影響の拡大について
(ア)システム対応関係
(イ)顧客対応関係
3 3月7日障害
(1)事実概要
ア 障害の発生状況
イ 障害発生後の状況
(ア)システムの復旧状況
(イ)顧客への対応状況
(2) 原因
ア 障害の発生について
(ア)各工程におけるミスの看過
(イ)ITマネジメントの観点
イ 障害発生後のシステム復旧遅延及び顧客影響の拡大について
4 3月12日障害
(1)事実概要
ア 障害の発生状況
(ア)ストレージ装置の故障
(イ)センター集中記帳処理遅延(外為システムの送金等処理遅延を除く。)
(ウ)外為システムの送金等処理遅延
イ 障害発生後の状況
(ア)システムの復旧に向けた対応状況
i ストレージ装置及び統合ファイル授受の復旧
ii 外為システムにおける処理の復旧対応,
(イ)顧客への障害影響及び対応状況
(2)原因
ア 障害の発生について
イ 障害発生後のシステム復旧遅延及び顧客影響の拡大について
(ア)システム対応関係
i 復旧手順の準備不足
ii 復旧対応の誤り
iii サービス契約における復旧時間に関する合意欠如
iv 人材育成及び配置並びに訓練等に関する問題
(イ)顧客対応関係
第5 デジタルフォレンジック調査等の結果概要
1 デジタルフォレンジック調査について
2 アンケート調査及びホットラインについて
第6 過去の障害事例の概要
1 2002年及び2011年のシステム障害とそれらへの対応
(1)2002年のシステム障害の概要
(2)2011年のシステム障害の概要
(3)上記システム障害に対する再発防止策
ア 2002年のシステム障害の原因とそれへの対応
イ 2011年のシステム障害の原因とそれへの対応
2 その他のシステム障害等
(1)2016年2月のシステム障害
(2)2018年6月のシステム障害
(3)2018年7月から2020年7月までの期間における通帳・カードの取込み
(4)2019年12月のシステム障害
3 本障害との共通項の分析
(1)過去にとられたシステム障害の再発防止策の評価
(2)過去事例と本障害の共通項
ア ソフトウェア及び事前のテストの問題
イ 事後対応の問題
ウ システム障害発生時に通帳・カードを取り込むATMの仕様
エ 月末の繁忙日のシステム上リスクのある行為の実行
オ まとめ
第7 原因の総括
1 「危機事象に対応する組織力」に係る課題
2 「ITシステム統制力」に係る課題
(1)IT人材の再配置問題について
(2)システム安定稼働への備えについて
(3)過去に発生した障害の原因との共通項について
3「顧客目線」に係る課題
(1)ATMの通帳・カード取込み仕様に係る問題意識について
(2)障害対応における顧客利益への配慮について
(3)ATM利用顧客への関心について
4 「企業風土」に係る課題
第8 MHFG及びMHBK策定の再発防止策の評価及び提言
1 MHFG 及びMHBK策定の再発防止策の概要及びその評価
(1)システムに関する再発防止策について
ア 概要
イ 評価
(2)顧客対応・危機管理に関する再発防止策について
ア 概要
イ 評価
(3)組織・カルチャーに関する再発防止策について
ア 概要
イ 評価
2 再発防止策実施に係る提言
第9結語
別紙1 委員略歴
別紙2 用語の定義
別紙3 MHFGグループ事業系統図
別紙4 MHFG組織図(2021年4月1日現在)
別紙5 MHBK組織図(2021年5月31日現在)
別紙6 MHRT 組織図(2021年4月1日現在)
別紙7 MIDS組織図(2021年4月1日現在)
別紙8 取引チャネル別取引件数・取引金額
別紙9 障害発生の可能性を減少させるために考慮に値する事項
別紙10 顧客への影響の極小化・局所化のために考慮に値する事項
別紙11 顧客対応に関する再発防止策の実施に際しての留意点
« 欧州航空安全機関(EASA) 「情報セキュリティリスクの管理」に関する意見を発表 | Main | 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン) »
Comments