金融庁がシステム管理 (みずほ銀に異例処分)


日経新聞の令和3年9月22日付記事です。システム障害を連発するみずほ銀に対して、金融庁が業務改善命令を発し、異例のシステム管理命令を発動するとあります。具体的には、システムの更新や保守を共同で管理し、必要に応じて運営体制の見直しを命じるとあります。まずは、新規の事業やサービスの停止を求め、共同でシステム危機対応チームを作り、金融庁がシステム管理に直接関与することになる。こうした行政処分は初めてのことで、同庁は21日にはみずほ銀に行政処分の発動方針を伝えたそうです。

記事にあるシステムの直接管理というのは、具体的に何のことか?金融庁は30名前後のシステム検査要員をみずほに派遣するとの話も聞きますが、巨大で複雑なシステムを検査官達が詳細に理解するには数年はかかりますので、銀行に替わって管理するなどとても不可能です。金融庁がそんなことを考える筈がないと思うのですが。

金融庁のサイトを見たら、早々にリリースが掲示されていました。それには処分内容として、「当面のシステム更改及び更新等につき、再検証及び見直しを行なうこと。」その上で「実行すべき更改及び更新等がある場合は適切な管理態勢を確保すること。」とし、「再検証および見直しの結果、適切な管理態勢確保の為の計画を10月29日までに提出し、速やかに実行すること。」と命じています。

この処分の理由として、金融庁は同行のシステム面とガバナンス面につき全般的な検証を進めているが、同行において業務継続上必要なシステム更改及び更新等の実施が見込まれており、これらが新たなシステム障害を招くことがないように、適切な管理態勢を確保する為とあります。

至極尤もな改善命令だと思います。みずほに任せておいたら、障害の発生を繰返すリスクが高いと判断したのでしょう。金融庁が、こんな面倒でリスクのある作業を自ら担いたがる筈はありません。それほど、みずほの当事者能力に懸念を抱いているということでしょう。

記事にあるようなMINORIの見直しと言った表現は一切ありません。こんな泥沼状態で長期間の検証が必要となる作業を行なう時間的余裕はないでしょう。当局の誰かが記者に語った表現にあるかも知れませんが、それは今回処分の目的ではなく、みずほと共同で見直しなどを行なう過程でMINORIに重大な欠陥が見つかった場合にはとの話だと思います。

金融庁にメガバンクのシステムや管理態勢を検証できるスキルがあるのかとの声もあります。システム検査官の大半は中途採用や任期雇用の人達です。つまり、もともとが金融ITの経験者です。出身はITベンダー、コンサル会社、銀行IT部門などです。その人達が多くの銀行に対する検査を通じて、関連するスキルを習得しています。ベンダー技術者のように自社の経験技術に偏るわけでもなく、コンサルのように実装経験や運用経験のない人達とも違う。当然、MUBKやSMBCなどメガバンクからも、詳細な情報を集めている筈です。

MUBKの統合プロジェクトがピークの頃に、検査がありました。筆者が、こんな忙しい時に、素人が多勢でやってこられたら、さぞ迷惑だったでしょう?と旧知のMU銀行員に尋ねましたら「いや、それが随分と貴重な意見や提言をもらってありがたかった。下手なコンサルなど頼んだら高い金を払いながら、当り前のことしか言わないし。やたら綺麗なチャートをくれるけど何の役にも立たないし。」との返事がきて、驚いた記憶があります。

今回の行政処分が銀行法第26条に基づいていることも重要な意味があります。通常、重度のシステム障害ですと24条に基づく報告又は資料・報告書の徴求です。次に社会的な影響が大きく繰返す危険がある場合などは、25条による立入り検査となります。みずほに対しては双方とも既に実施しています。26条は業務停止に関する規定です。

内閣総理大臣は、銀行の業務若しくは財産又は銀行及びその子会社等の財産の状況に照らして、当該銀行の業務の健全かつ適切な運営を確保するため必要があると認めるときは、当該銀行に対し、措置を講ずべき事項及び期限を示して、当該銀行の経営の健全性を確保するための改善計画の提出を求め、若しくは提出された改善計画の変更を命じ、又はその必要の限度において、期限を付して当該銀行の業務の全部若しくは一部の停止を命じ、若しくは当該銀行の財産の供託その他監督上必要な措置を命ずることができる。」と定められています。いつでも業務停止命令を出せる。

今回処分の目的はあくまでもシステム障害・不具合により顧客に迷惑をかけない為にシステム改善と運用を含めた管理態勢の再構築」としています。年内一杯かかるとされますが、恐らくはもっと時間が必要でしょう。いかんせん、みずほ側は多くの関連会社やベンダーを含めて余りに分業化しているからです。特定の担当者の意見や情報だけでは、判断できませんから、逐一裏取りが必要の筈です。普通の銀行の数倍の労力となるでしょう。それを国費で行なうのです。みずほ行員の皆さんは、システム部門がだらしないから、こんな迷惑を自分達が被るといった被害者意識ではなく、この機会に金融庁を使ってというか、助けてもらって、システムに関する懸念を一掃するくらいの気持ちで取り組むべきです。

みずほの障害が続くと、メディアを中心に「この銀行のシステムはもう駄目だ、使えない。では、どうすればよいだろうか?」との疑問が必ず出てきます。筆者の答えは、(殆どブラックですが)「今更作り直す費用も時間もない。技術もない。人もいない。いい加減なベンダーならば、ウチに任せてくれれば、安く速く新システムを作れると言うでしょう。そんなベンダーは一切信用してはいけない。何も判っていないし、余りに無責任だ。実現可能性から言えば、三菱UFJか三井住友にフルアウトソーシングするしか方法がないでしょう。」質問者は笑って、以降この質問はしません。

銀行の中には、何年もオンラインの大規模障害を起こしてないところがあります。他人任せにせず、コア要員を内部に揃え、その人達はシステムは勿論、運用や事務規定まで熟知しています。その為に、統一された分業・専門家のチームを伝統的に実現しています。みずほにおいては、MINORIプロジェクトのスタートラインでOneみずほという謳い文句が曖昧なままだったので、多くの面で不統一・不整合を内在させてしまったのだろうと筆者は想像しています。同じような懸念を、多くのみずほシステム部門OBの方々が現役に伝えていたのですが。何故、それがプロジェクトに反映されなかったのか?(現役銀行員はOBの話を聞いても採用することは滅多にない。人事に影響力を残すOBの話は別ですが)

今現在、規模はMINORIとは比較にならないほど小さいですが、似たようなごちゃ混ぜシステムを開発中の銀行がいくつかあります。秘密主義の銀行界では、多くの場合、失敗事例も成功事例も共有されません。欧米ではIT技術者の労働移動性が高いので、経験の共有が図り易い。ソフトパッケージをやたらカストマイズしたがる風土と合わせて、わが国金融ITの弱点と言えるでしょう。

 

                        (令和3年9月24日  島田 直貴)