金融庁の怒り～㈱みずほ銀行及び㈱みずほフィナンシャルグループに対する業務改善命令を読んで～

2021年11月26日に金融庁は「みずほ銀行及びみずほフィナンシャルグループに対する行政処分について」という業務改善命令（リンク）を発出しました。

その内容がおよそ公文書とは思えない、かなり怒りに満ちたものだと聞き、さっそく読んでみました。

当該文書の構成は、Ⅰ．業務改善命令の内容、Ⅱ．処分の理由となっています。

このⅡ．処分の理由のパートにシステム障害が発生した原因等が記述されているのですが、ITシステムに関して素人の私でも、ちょっとそれはマズイのではないか、と感じた点がありました。

以下、当該文書から引用します（説明の都合上附番しています）。

1. ２月28日の障害においては、システムに高い負荷がかかりやすい月末にデータ移行作業を実施することのリスクについて十分な検討を行わないまま作業を実施し、多数のATMが稼働停止する事態を招くとともに、ATMへの通帳やカード取込みを発生させ、多数の顧客にその場での待機を余儀なくさせる事態を生じさせた。

2. 障害発生時も影響範囲が局所的になりやすいというMINORI（注；新基幹システムのこと）の特性を過信したことから、システムの安定稼働に必要な事項（有事を想定した被害の極小化に必要な取組みを含む。）を十分に洗い出さずに、MINORIを開発フェーズから保守・運用フェーズへ態勢を移行させた上、MINORIの保守・運用に必要な人員の配置転換や維持メンテナンス経費の削減等の構造改革を推進したことが認められる。（引用終わり）

1つ目については何らかの理由で月末対応せざるを得なかったのかも知れないし、2つ目については低金利で収益アップが見込めない環境下でコストを削減したいという気持ちも理解はできますが、如何せん計画性が不十分なように感じられます。

そして何より金融庁の怒りが感じられたのは、Ⅱ．処分の理由の９の部分です。

こちらも以下に引用します。

当庁（注；金融庁のこと）としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。

（１）システムに係るリスクと専門性の軽視

（２）IT現場の実態軽視

（３）顧客影響に対する感度の欠如、営業現場の実態軽視

（４）言うべきことを言わない、言われたことだけしかしない姿勢

これらの真因の多くは、当行（注；㈱みずほ銀行のこと）において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社（注；㈱みずほフィナンシャルグループのこと）においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。（引用終わり）

この（１）～（４）だけで、どのような組織風土なのかが容易にイメージできてしまいます。中でも（４）はかなり曖昧さを含んだ表現なのに公文書として記載されたという事実に重みを感じます。しかも20年前から変化がないとまで指摘されています。

ここまで忌憚なく公文書上で批判されたらトップ・マネジメントの辞任は避けられないな、と妙に納得した次第です。

会計監査上の対応

係る状況においては㈱みずほ銀行のIT全般統制を有効と評価ずるのは難しそうです。結果として監査上はIT業務処理統制の件数積み上げも視野に入ることになり、監査チームとしては憂鬱な気分かも知れません。

有価証券報告書等公表物からはその辺りの監査上の対応は知り得ませんが、KAMにIT全般統制に関する何等かの記載がなされるかも知れません。

また、㈱みずほフィナンシャルグループの監査報告書上、KAM若しくは内部統制監査の記載に何等かの影響があるかも知れません。

実際にどのような監査報告書になるのか、来年6月を待ちたいと思います。