みずほ銀行のシステム障害報告書を読む

　2021年2月から3月にかけて連続して発生した「みずほ銀行のシステム障害」に関して以前執筆したが、その後「システム障害特別調査委員会（第三者委員会）」が設置されて調査が行われ、その結果をまとめた報告書が2021年6月15日にみずほフィナンシャルグループ（FG）に提出された。本稿では、金融システムの開発・運用という視点から報告書を読み込んでみたい。

　添付資料も入れると167ページにもなる本報告書本体である「公表版」は、日本弁護士連合会の作成した「企業等不祥事における第三者委員会ガイドライン」に沿って委員を選定、システム専門家のサポートも得て調査が実施されたものだけに、非常に網羅的な内容であり、今後の金融システムに関する第三者委員会調査のスタンダードとなりうるものと評価できる。


　「公表版」は「1．調査の概要」において委員会の設置経緯、システム専門家の参加も得た調査体制、独立性に関する評価、関係資料やヒアリングに加えてデジタルフォレンジック（デバイスに記録された情報の回収と分析）なども取り入れた調査方法、調査の限界などを提示している。

　続いて「2．組織、事業内容及び内部統制」と「3．本システムの概要」では、前提となるみずほ銀行のシステム運営と基幹システム「MINORI」を説明した上で、「4．本障害の事実概要及び原因」と「5．デジタルフォレンジック調査等の結果概要」において4回にわたる障害に関して判明した事実を記載している。

　さらに、「6．過去の障害事例の概要」として2002年、2011年、その他のシステム障害を挙げて、今回との共通項を指摘している。その上で、「7．原因の総括」を経て、「8．MHFG（みずほFG）及びMHBK（みずほ銀行）策定の再発防止策の評価及び提言」とともに「9．結語」で締めくくっている。

　特に、「4．本障害の事実概要及び原因」には、ハード障害、ソフトウェアバグ、障害準備、障害対応といった事態の生々しい状況が記載されており、金融領域においてシステムの開発・運用に携わる人には是非読んでいただきたい内容となっている。

　また、「8．MHFG及びMHBK策定の再発防止策の評価及び提言」については、「別紙9　障害発生の可能性を減少させるために考慮に値する事項」をあわせて参照いただくと、システムの開発と運用の両面から改善を要すると点がみえてくる。

報道で触れられなかった「システム課題」

　システム障害が大々的に報道されたこともあり、報告書発表も多くのメディアがとりあげることになった。しかし、ほとんどの記事が「みずほが2019年7月に全面稼働させた基幹系システムMINORIそのものには問題がなく、（1）危機事象に対応する組織力の弱さ、（2）ITシステム統制力の弱さ、（3）顧客目線の弱さ、に問題があり、その根底に（4）企業風土の問題がある、と報告書が指摘した」と報じるのみだった。組織論、人材配置、顧客対応などの人的課題を指摘するのみにとどまっており、システムの課題にはほとんど触れていないのだ。

　この背景には、11ページにまとめられた「報告書（要旨）」だけを読んで記事を書いたケースが多かったものと考えらえる。「要旨」版には、2月28日障害の「原因」として「MINORIの構造、仕組み自体に欠陥があったのではなく、これを運用する人為的側面に障害発生の原因があった（P.5）」との記載、「原因の総括」として「本委員会は、一連の本障害につき、MINORIを中心とするITシステムのメカニズム面において共通の原因を認めない（P.9-10）」との記載がみられる。

　しかし、報告書本体である「公表版」に「MINORIの構造や仕組みに欠陥がない」と結論づけた記述を見つけることはできなかった。「公表版」はむしろ障害に関するシステム面の問題が複数指摘しており、「別紙9」で「MINORIの総点検を実施する際に検討に値する事項」を指摘している内容を考慮すると、「要旨版」だけを読んでMINORIに問題はなかったと結論づけてしまう認識は不充分と考えられる。



【次ページ】障害の発生と原因とは