ニュース

みずほ、システム障害の総括。顧客目線の弱さと企業風土の弊害

みずほフィナンシャルグループとみずほ銀行は、2月28日から3月12日までに断続的に発生した一連のシステム障害について、6月15日に公表された「システム障害特別調査委員会」の評価、提言も踏まえた原因究明と再発防止についての総括を発表した。

システム障害特別調査委員会による調査報告書では、(1)危機事象に対応する組織力の弱さ、(2)ITシステム統制力の弱さ、(3)顧客目線の弱さの3点を指摘しており、その根底として(4)それらが容易に改善されない体質ないし企業風土があるもの、と指摘している。

危機事象に対応する組織力の弱さについては、不測の事態に対し、他の部署との情報共有や連携、経営陣への報告が遅く、組織としての危機対応力の弱さを指摘。

ITシステム統制力については、断続的に発生した各障害において、発生したリスクの認識不足や、情報収集体制の不備、テスト体制の不足など、全般にITガバナンス及びITマネジメントが十分機能せず、ITシステムの統制力に脆弱性があったとする。また、過去にもシステム障害を繰り返していることから、根底には経営陣以下にシステムリスクに対する感度の低さがあるとした。

顧客目線の弱さとしては、ATMの通帳・カード読み取り仕様とそれがもたらす影響への問題意識の欠如、有事の障害対応において、顧客利益に配慮する姿勢の不測、ATMやダイレクトを利用する顧客は、銀行にとって「顔の見えない顧客」であることから、関心が薄いことも否定できないという。

企業風土については、自らの持ち場を越えた積極的・自発的な行動によって問題を解決する姿勢が弱い場面がみられたとし、障害の内容や顧客への影響の全容が明確ではない時点での発言を、リスクがあるものとして控えていた状況もあった。役職員が積極的な姿勢に欠ける要因としては、積極的に声を上げて責任問題となるリスクよりも、持ち場でやれることはやっていたといえる行動をとる方が、組織内で合理的な選択肢となる企業風土を指摘している。

対応能力を顧客目線で強化

これらを踏まえ、ATM仕様変更などハードウェア機器の改修を実施。既に、ATMでは原則として通帳等の媒体を返却する仕様に変更し、9月には、定期預金システムのエラー応答を変更し、ATMでの媒体取り込みを回避するようにする。

ハードウェアについては、必要な交換・改修を実施済みで、6月末を目処に類似する全ての危機を対象に点検を行なう。

監視システムは、障害検知を迅速に行なうためシステムエラーを検知するメッセージの出力・警告方法を改善。今後は、検知したシステムエラーの報告期限の見直しや、システム開発部門と運用部門間の情報連携体制を見直す。また、自動化技術を活用した感知システムを高度化する。

新勘定系システム「MINORI」については、全体の6%にあたる未稼働部分のリスクを再精査して、稼働時に適切な動作をするかを確認。重大障害となりうるシステムエラーをテスト環境で発生させ、システムの挙動や周辺システムへの影響を確認しながら対応力を強化する。

システム部門では、障害時訓練等を高度化。内外為、ATM、市場決済関連業務など、影響が大きい業務領域で、複数システムをまたがる障害シナリオを導入。開発・運用部門、顧客部門やベンダーも参加する分門横断訓練を開始する。実機を使用した実践型訓練も行なう。

組織としては、「レビュー専門チーム」「インフラレビューチーム」を設置し、ベンダーとの連携により「技術アドバイザリーデスク」を開発会社に再設置。技術・品質統括を担うIT基盤・プロジェクト統括部を新設し、全体を俯瞰するチェック態勢を継続的に確保する。

顧客対応としては、利用者の声をサービス向上施策に反映するため、個人営業店全店に「サービス品質向上推進者」を配置。過去3年間の利用者や営業店の越を確認し、顧客サービスの総点検を行なう。

日頃から有事に対する体制を整備し、訓練や研修では、従来の「手順確認型」だけでなく、「顧客影響を自ら考える」実戦型を取り入れる。各部署では、顧客影響の早期検知体制を強化。サービス別の本部組織横断的な人的ネットワークを普段から構築し、有事の際に役立てる。

休日・夜間の営業店・本部の駆付け体制を整備し、SNS等コミュニケーションツールの整備・拡充を行ない、SNSを活用した告知なども行なう。障害検知時は、原則1時間以内に関係部を招集して初期対応方針を速やかに協議できるようにする。

これらを実現するため、人と組織体制を強化し、社員一人一人の専門性を高め、関連部署横断的なキャリア開発を進める他、組織マネジメントを担う階層についても必要に応じて外部人材を採用。社員の自律的行動や成長を促す、実績重視・対話型の人事評価などを実践する。

既に設置されている社外取締役のみで構成される「システム障害対応検証委員会」については、目的を従来の「原因究明。再発防止策の妥当性・評価」から、「再発防止策の実施状況の監督」に軸足を移し、今後も対応を続ける。