みずほ銀行、システムトラブルからの立て直し
こんにちは、代表の尾崎です。
2022年6月、日本経済新聞は頻発したシステムトラブルからの立て直しをはかるみずほ銀行を取り上げた「みずほリセット100日」というシリーズ記事を掲載しました。私はIT関連やシステムの仕組みについてはよくわかっていませんが、リスク管理の観点でなかなか興味深いなぁと感じたので少しご紹介したいと思います。
特に興味深かったのはシリーズ最終回、3話目となる「『ベンダーと呼ぶな』 みずほシステム改革で大号令」との表題が掲げられた記事。繰り返されるシステム障害、金融庁からの改善命令を踏まえトラブルが起こった際の対応手順などを全社あげて訓練した結果、2022年2月下旬のトラブル対応時は1時間以内に復旧が完了したとのこと。この後米国でのシステム更新時のトラブル発生にも備え、5月中旬には海外システム担当執行理事までが参加する緊急事態訓練を行ったとの記載もありました。
お金の流れが途絶えると生活に多大な影響が生じる現在、金融インフラを支える銀行でのシステムトラブルは許されません。トラブルを発生させないために日々努力していただくことが大切でしょう。しかしながら、どんな業界でもトラブルを100%未然に防ぐことは難しいもの。「トラブルは起こらないもの」という発想でビジネスを構築している企業はいざトラブルが起こった時に想定しなかった事態に立ちすくむしかありません。そのため、たとえトラブルが起こってはならない業種・業界であっても
トラブルが発生した際にはどうするのか?
どのように社内の緊急連絡体制を整えるのか?
誰が、どこで、どの手順を踏んで復旧に向けて動くのか?
顧客や報道機関等への対応はどうするのか?
といった対処方針を定め、トラブルが起こったことを前提にして準備をしておくことが極めて重要なのだと思います。
残念ながらみずほ銀行では一時システムトラブルが相次ぎましたが、こうした地道な取り組みが成果を上げているとすれば素晴らしいことだと思います。今後は時間も労力も、そしてコストもかかる運営経費、人的投資を続けられるかどうか、でしょうか?
【参考コラム】システム・機材の運用経費/人材は「コスト」なのか
また、「訓練をやりました」というたった8文字では訓練の中身は表現しきれません。みずほ銀行が今回実施したように役員・取締役レベルまで実働して行うのも訓練、現場レベルでマニュアルを読み合わせするのも訓練、あるいはシステム納入元から提出されたトラブル時の対応訓練を行ったという報告をそのまま横流しすることもありえます。「訓練をやりました」と報告できればよいのではなく、実際のトラブルの際誰がどう動くのか、今のマニュアルや人員体制で不十分な点はどこか?を洗い出すことができなければ意味がないですよね。
システムを納入したのはあくまでベンダー(システム構築を委託した外部企業)という意識を持つと、トラブル時に対応するのもベンダーの役目、という考え方になってしまいます。企業間の契約上はそうかもしれませんが、では顧客との関係ではどうでしょうか?あるいは金融インフラ全体としてみた際に自社の背負う看板/評判はどうなるのでしょうか?
みずほ銀行の事例でもそうですが、主となる業務を行うために必要なシステムや専門的な業務を外部委託することは珍しいことではありません。それそのものに良い、悪いはないのですが、問題は「委託先に任せたのだから自分たちは関係ない」というスタンスを取ってしまうこと。あくまで最終製品やサービスを提供するのは委託元である企業の名前で行われます。製造工程やサービス提供に必要なシステム構築を委託していたからと言って、最終的な製品やサービスの不具合を委託先に転嫁する行為は、自社の背負う看板/評判を放棄することに近いとも言えるのではないでしょうか?
この点で、この一年ほどみずほ銀行では意識改革を進めている趣旨の記事もありました。システムを運用しているのはあくまで「自分たち」。異常が発生した際に「ベンダーを呼べ」(ベンダーに対応させろ)というのではトラブル発生時に的確な対応はできません。トラブルはベンダーが対応するもの、と思っている間は訓練だって主体的に行えませんもんね。
尾崎の言葉で表現するならば、みずほ銀行は現在システム運用におけるオーナーシップを取り戻す活動を行っていると言えます。せっかくの取り組みですから、危機対応の強化に向けて成果が出てほしいものですね。
銀行ではシステムを委託する会社をベンダー(提供する人)と呼ぶ。みずほ銀行のシステムに関わるベンダーの一社である富士通。21年8月に起きた障害は富士通の機器故障がきっかけだった。「ご迷惑をかけ、非常に申し訳ない。信頼を取り戻さないといけない」。富士通社長兼最高経営責任者(CEO)の時田隆仁はこう話す。
富士通への損害賠償について問われた当時のみずほFGの最高情報責任者(CIO)だった石井哲は「考えていない」と言い切った。最終責任はみずほで、一方的に富士通が悪いわけではないと整理した。
21年7月にみずほ銀行の副CIOに招かれた林勇太は「ベンダーと呼ばず、パートナー企業と呼ぼう」と号令をかける。林は日本IBMで10年以上みずほのシステムに携わっていた。「異常があると『ベンダーを呼べ』と言われてきたが、みずほは『システムは自分たちのもの』という意識を強く持たないといけない」と話す。ねじれていた責任の所在も含め、ベンダーとの関係再構築はこれからだ。
(日経新聞2022年6月2日記事より引用)
自社従業員の命を守るのも訓練とオーナーシップ
さて、話を我々の業界、海外でのセキュリティコンサルティングに移しましょう。非常時の訓練を繰り返すこと、そして海外事業展開にオーナーシップを持つことは海外での安全管理強化においても極めて重要な要素です。緊急事態が起こらないことを前提にするのではなく、様々なパターンを想定して緊急対応方法を用意しておくことでいざという時、ある程度このように動けばいい、ということがイメージしやすくなります。
もちろん、緊急事態を人為的に引き起こすことは難しいでしょう。そのため、スリや強盗、まして本当にテロ事案に巻き込まれる経験を次に生かすことはできません。リハーサルと本番が違うように、犯罪やテロ事案でも訓練と本番の違いはもちろんあります。しかしながら、訓練とわかっている状況でも
こんなことが起きそうだ、
これは事前に準備しておくとよいかも、
こうなったらここから逃げよう
などなど、具体的にイメージを膨らませ、上司や同僚と意見交換することでいざという時スムーズに対応ができるようになるのです。
これは日本人の場合小さいころから積み重ねてきている地震や火事を想定した避難訓練と似ていますね。本物の災害や火災を起こすことはできません。いつ起こるかわからないけれど、いつかどこかで巻き込まれる可能性がある災害や火災に幼稚園や小学生の頃から「こうしましょう!」と何度も何度も繰り返し訓練していますよね(最近の小学校では年間11回避難訓練をするのが一般的だそうです)。この避難訓練によって、多くの日本人の方は地震が起こっても、火事が起こってもある程度冷静に避難、通報、救助、ができるようになっていると感じています。
犯罪やテロに巻き込まれることはもちろんのこと、自然現象である災害被害に遭うことは自分自身では100%防ぐことはできません。その分、巻き込まれる前に巻き込まれた時のことを想像して訓練することがいかに重要か、わかっていただけるのではないでしょうか?
もう一つ大事なのは、オーナーシップ=主体性です。従業員の安全や健康を守るのも雇用者である企業本体の大切な役割。保険会社に全部任せていた、現地のセキュリティアドバイザーにすべてを任せていたというのでは、雇用者としての責務を果たしていないと尾崎は考えます。
どういった国・地域でどのようなミッションを掲げ、どの程度のリスクを負って事業を行うのか。そしてそこに従業員を派遣する際、どこまでコストや労力をかけて安全対策措置を講じるのか。もし、その国・地域の実情が許容できるリスクを越えていた場合には撤退の判断ができるかどうかも含め企業側が主体性をもって対応しなければなりません。
我々のようなセキュリティコンサルタントに安全対策に関する業務を一部委託することはもちろん可能です。我々海外安全管理本部/海外安全.jpでも喜んでお問合せ・ご相談に応じます。しかしながら我々ができるのは進出しようとしている国・地域の現状の脅威度とその土地で取りうる安全対策措置を検討することだけ。
どの国・地域でビジネスをしたいのか
なぜそのビジネスを行うのか
そのビジネスを行うにあたり、どの程度リスクが取れるのか
という問いにはセキュリティコンサルタントは答えられません。多少脅威度が高くとも、その国・地域でなければできないビジネスがあるのであればどうすればそのビジネスが実現できるのか、企業とセキュリティコンサルタントが一緒に検討しなければならないのです。みずほ銀行が「ベンダー」ではなく「パートナー」と呼ぶようにしているのと同様、セキュリティコンサルタントも海外事業戦略を検討するメンバーの一部に組み込んでいく必要があるのではないでしょうか?
深刻なシステムトラブルから立ち直ろうとするみずほ銀行の取り組みは危機管理の観点で大変参考になるもの。実効性のある訓練を繰り返すこと、そして委託して任せきりにするのではない、危機管理のオーナーシップを負えるかどうか、がこれからの企業の命運を分けるのではないかと考えています。
この項終わり
