English
令和3年11月26日
金融庁
みずほ銀行及びみずほフィナンシャルグループに対する
行政処分について
金融庁は、本日、株式会社みずほ銀行(以下「当行」という。法人番号6010001008845。)及び株式会社みずほフィナンシャルグループ(以下「当社」という。法人番号9010001081419。)に対し、以下の通り業務改善命令を発出した。
Ⅰ.業務改善命令の内容
【みずほ銀行】(銀行法第26条第1項)
-
当行が策定したシステム障害に係る再発防止策を速やかに実行すること。
-
以下の内容について、業務改善計画を策定し、速やかに実行すること。また、当該業務改善計画について継続的に再検証及び見直しを実施すること。
(1)システム障害に係る再発防止策について、再検証及び見直しを実施し、その上で必要な措置を盛り込んだ再発防止策
(2)システムの安定稼働等に必要となる経営管理(ガバナンス)態勢の整備に係る具体的な取組み
(3)Ⅱ.9.に記載するシステム障害の真因を踏まえた業務の改善に係る具体的な取組み
-
システム障害の発生原因等を踏まえた経営責任の明確化について報告すること。
-
上記2.の業務改善計画及び3.の報告について、令和4年1月17日(月)までに、令和3年12月末時点における1.の再発防止策の実施状況とともに提出すること。
-
上記2.の業務改善計画の実施状況(業務改善計画の再検証及び見直しの結果を含む。)について、令和4年3月末の実施状況を初回として、以降、3ヶ月毎にとりまとめ、翌月15日までに報告すること。
【みずほフィナンシャルグループ】(銀行法第52条の33第1項)
-
当社が策定したシステム障害に係る再発防止策を速やかに実行すること。
- 以下の内容について、銀行持株会社としての業務改善計画を策定(当行が策定する業務改善計画についての検証及び必要な見直しを含む。)し、速やかに実行すること。また、当該業務改善計画について継続的に再検証及び見直しを実施すること。
(1)システム障害に係る再発防止策について、再検証及び見直しを実施し、その上で必要な措置を盛り込んだ再発防止策
(2)システムの安定稼働等に必要となる経営管理(ガバナンス)態勢の整備に係る具体的な取組み
(3)Ⅱ.9.に記載するシステム障害の真因を踏まえた業務の改善に係る具体的な取組み
-
システム障害の発生原因等を踏まえた、当社における経営責任の明確化について報告すること。
-
上記2.の業務改善計画及び3.の報告について、令和4年1月17日(月)までに、令和3年12月末時点における1.の再発防止策の実施状況とともに提出すること。
-
上記2.の業務改善計画の実施状況(業務改善計画の再検証及び見直しの結果を含む。)について、令和4年3月末の実施状況を初回として、以降、3ヶ月毎にとりまとめ、翌月15日までに報告すること。
Ⅱ.処分の理由
当庁検査並びに銀行法第24条第1項及び第52条の31第1項に基づく報告を踏まえ、銀行の業務の健全かつ適切な運営を確保するため、以下の理由の通り、本処分を踏まえた業務改善計画の検討、策定及び速やかな実行並びに経営責任の明確化等が必要であると認められる。
-
当行では、令和3年2月から9月にかけて、顧客に影響を及ぼすシステム障害を計8回発生させており、そのうち、2月28日の障害においては、システムに高い負荷がかかりやすい月末にデータ移行作業を実施することのリスクについて十分な検討を行わないまま作業を実施し、多数のATMが稼働停止する事態を招くとともに、ATMへの通帳やカード取込みを発生させ、多数の顧客にその場での待機を余儀なくさせる事態を生じさせた。また、8月20日の障害においては、全営業部店で一定時間店頭取引が行えない事態を招いた。
さらに、9月30日の障害における復旧対応においては、資産凍結等経済制裁措置に関する法令及び「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」の遵守態勢に係る問題も認められた。
-
当行及び当行の親会社である当社は、このように短期間に複数のシステム障害を発生させたことにより、個人・法人の顧客に重大な影響を及ぼし、社会インフラの一翼を担う金融機関としての役割を十分に果たせなかったのみならず、日本の決済システムに対する信頼性を損ねたと考えられ、関係する当行及び当社の経営陣の責任は重大である。
- 今回の一連のシステム障害が発生した直接の原因は、当行において、
- 開発や障害対応における品質を確保するための検証が不足していること、
- 保守・運用に係る問題点を是正しておらず、委託先への管理を十分に行っていないなど、当行の新基幹システム(以下「MINORI」という。)を安定稼働させるための保守管理態勢を整備していないこと、
- 危機対応に係る態勢整備の状況について、訓練や研修などを通じて十分に検証していないこと
にあると認められる。
-
このような原因の背景には、当行及び当社の執行部門が、IT現場の実態を十分に把握・理解しないまま、MINORIが安定稼働していると誤認し、障害発生時も影響範囲が局所的になりやすいというMINORIの特性を過信したことから、システムの安定稼働に必要な事項(有事を想定した被害の極小化に必要な取組みを含む。)を十分に洗い出さずに、MINORIを開発フェーズから保守・運用フェーズへ態勢を移行させた上、MINORIの保守・運用に必要な人員の配置転換や維持メンテナンス経費の削減等の構造改革を推進したことが認められる。
また、当行の執行責任者は、MINORIは安定稼働していると誤認して、システムリスク管理態勢の実態を把握しないまま、人員の再配置、ベンダーからの業務の引継ぎを行ったことが認められる。
これらの結果、MINORI等の運営態勢を弱体化させているものと認められる。
-
こうした対応が、令和3年2月から9月に発生した一連のシステム障害において認められた、障害の予兆管理や障害からの復旧に係る対応力といった、IT現場における業務対応力の脆弱化を招く一因となったものと認められる。
-
当行の取締役会は、障害分析や予兆管理の状況、障害に係る訓練の実態、IT人材の適正配置の状況などを継続的に報告させるといった、有効な牽制機能が働くシステムリスク管理態勢を整備していなかったことから、複雑なMINORI等の運用管理に係る脆弱な実態を把握しておらず、執行責任者に対し、適切な指示等を行える態勢となっていない。
-
銀行持株会社である当社においては、当行を適切に経営管理していく必要があったが、当社自身に以下のガバナンス上の問題点が認められる。
- 業務執行を担う経営陣が、適切な資源配分を目指すという構造改革の真意を当社及び当行職員に浸透させられないまま構造改革を推進した結果、コストの最適化が強調され、IT現場の声を十分に拾いきれないまま、MINORIを安定稼働させるための人材の配置転換や維持メンテナンス費用の削減が実施されたという問題
- 取締役会において、構造改革に伴うシステムリスクに係る人員削減計画と業務量の状況について、十分に審議を行っていないという問題
- 執行責任者が、過去のシステム障害等も踏まえた危機管理を含む高度な専門性が求められるCIOの人選や候補者育成の指針となる人材像を明示的なものとして策定していなかったという問題。また、取締役会は、グループCEOや主要経営陣の候補者の人材像について十分な議論を行っていないという問題
- リスク委員会が、トップリスク運営の導入に当たり「大規模なシステム障害」を選定し、選定したトップリスクに対するアクションの策定等が重要であることを提言したにもかかわらず、当社の執行部門において十分な対応がなされず、また、リスク委員会によるフォローもされていないという問題
- 監査委員会が、重点監査テーマとして「IT関連ガバナンス態勢」を設定したにもかかわらず、当社内部監査グループから改善提言無しとの報告を受けた際に、経営資源配分の適切性について調査・報告を求めるなど、具体的な指示を行っていないという問題
-
なお、当行及び当社は、令和3年2月及び3月に発生したシステム障害を受け、抜本的な再発防止に組織全体として取り組むとして、6月15日に再発防止策を公表しているが、8月及び9月にも4回のシステム障害を発生させ、これらの障害の発生原因の一部は当該再発防止策の点検範囲に含まれていなかったことなどを踏まえれば、当該再発防止策は限定的なものに留まっていた。
-
当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。
(1)システムに係るリスクと専門性の軽視
(2)IT現場の実態軽視
(3)顧客影響に対する感度の欠如、営業現場の実態軽視
(4)言うべきことを言わない、言われたことだけしかしない姿勢
これらの真因の多くは、当行において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。
-
したがって、当行及び当社においては、
(1)システム障害に係る再発防止策(MINORI等の安定稼働に必要となるシステムリスク管理態勢の整備、システム障害が発生した場合であっても顧客影響を極小化するための対策を含み、さらに当社にあっては適切な資源配分に係る改善策を含む。)、
(2)システムの安定稼働等に必要となる経営管理(ガバナンス)態勢の整備に係る具体的な取組み、
(3)一連のシステム障害の真因として挙げたシステムに係るリスクと専門性の軽視、IT現場の実態軽視、顧客影響に対する感度の欠如や営業現場の実態軽視、言うべきことを言わない、言われたことだけしかしない姿勢といった企業風土を改め、各々の役職員が顧客影響に対する感度を高めていくなど、組織的行動力を強化し、行動様式を変革していくための具体的な取組み
に係る業務改善計画を策定(当社にあっては当行が策定する業務改善計画についての検証及び必要な見直しを含む。)し、これを速やかに実行するとともに、当該業務改善計画について継続的に再検証及び見直しを実施していく必要がある。
- お問い合わせ先
-
金融庁 監督局 銀行第一課
Tel 03-3506-6000(代表)(内線3444、3328)