大震災と原発事故に関するこれだけの報道の中においても埋もれることなく注目された事件に3月14日に発生したみずほ銀行のシステム障害と４月１７日以降に明らかになったソニーの個人情報漏洩事件があります。その事故の規模については、みずほ銀行の場合3月18日までに100万件を超える未処理件数とその後の3連休の全ATM停止、またソニーの場合は明確に確認されたわけではありませんが、1億件に迫る個人情報漏洩というように、両事件とも過去に類をみないほど影響範囲は大きくなっています。

両社の行うサービスは金融とエンタテイメントという全く異なる業種ですが、いずれも強固な情報システムなしでは成り立たないビジネスです。しかし、みずほ銀行の場合はシステム運用管理、ソニーの場合は情報セキュリティー管理というIT全社統制とIT全般統制の根幹をなす重要な機能が不全に陥ったわけです。ITに対する資源は十分に確保できるはずの大企業においてなぜこのような大きな事故が起きたのでしょうか。

みずほ銀行のシステム障害特別調査委員会が5月20日に公表した調査報告書の要旨を読んでみると、みずほ銀行についてはその答えが見えてきます。筆者はこの事故の要因は大きく三つあると思います。一つはシステムのリスク評価と運営管理上の問題、もう一つが事件発生後の危機管理態勢の不備の問題です。最後により重要な問題として、この二つの共通の原因である経営管理ひてはコーポレートガバナンスの問題です。

前者の問題の典型的な例としては、「システム障害は、夜間バッチで実行された1処理においてリミット値を超過したことを起因として発生したものであるが、当該リミット値はシステム稼働時から設定の見直しはなされておらず、定期的な点検項目にも入っていなかったため、担当者において夜間バッチにおける当該リミット値が存在することの認識すら不十分であった」（「要旨」8ページ）という信じられないほどずさんな管理状況です。また後者の問題の例としては、「本障害対応においては、システム部門内、経営陣ともに、情報不足もあり、各時点で想定される最大リスクシナリオが十分に検討されず、適切な判断がなされなかった」（同９ページ）という状況です。また、このような機能不全に共通する原因としては、「多重障害の復旧の見通しが立てられる実務人材が不足していた」、「システム全体を俯瞰でき、かつ、多重障害の陣頭指揮を執り得るマネジメントの人材も不足していた」という指摘があります。

この指摘を見ると「人材不足」という言葉がキーワードとして見えてきますが、みずほ銀行ほどの大銀行が「人材不足」というのは素直に受け取れません。むしろ、問題は豊富な人材を活かしきれない組織の硬直性にあるような気がします。このような組織の硬直性は、3大銀行の合併以降トップから中間管理職までたすきがけ人事を行ってきた非効率な組織を背景にしたコーポレートガバナンスによって醸成されてきたものだと思います。この報告書を受け、みずほFGは23日に記者会見を行い、みずほ銀行の西堀利頭取の引責辞任、みずほ銀行とみずほコーポレート銀行の合併の検討をすることなどを表明しましたが、これがこのような企業風土の改善の端緒になって欲しいものです。

（文責：安田正敏）