みずほ銀行のシステム障害報告書を改めて読む

報告書の位置づけ——独立調査は何をめざしたか

今回扱う調査報告書はこのページで言及されているものです。

本調査報告書が特筆すべきは、その厳格な独立性と明確な目的設定にあります。委員会は、みずほフィナンシャルグループおよびみずほ銀行と利害関係のない外部の有識者・専門家のみで構成され、その活動の独立性が確保されていました。報告書は冒頭で、調査の目的を「中立・公正な立場から、本障害に関する事実確認及び原因究明、策定された再発防止策の妥当性の評価及び提言」などを行うことにあると明記しています。一方で、「関係者の法的責任や経営陣の経営責任の有無・内容を追及し、認定することを目的とするものではない」とも断っており、責任追及ではなく、あくまで原因の究明と再発防止に主眼を置くという調査の射程を明確にしています。

システム全体像——MINORIとSOA、そしてCIF

まずは障害の舞台となったシステムをおさらいしましょう。障害の舞台となったのはみずほ銀行の勘定系システム「MINORI」です。このシステムは、過去の大規模障害の反省から、総額4,000億円超を投じて構築され、2019年に全面稼働した最新鋭のものでした。その設計思想の中核には、システムの機能を独立した部品の集合体として構築するSOA（サービス指向アーキテクチャ）があります。預金や為替といった機能を疎結合化、つまり部品同士の結びつきを緩やかにすることで、一部の障害がシステム全体に波及する連鎖障害を防ぎ、影響範囲を限定することを狙っていました。

また、システムは顧客情報を一元管理するCIF（顧客情報ファイル）を中核に据え、取引はCIFを参照しながら各業務アプリケーションが処理を行う仕組みです。皮肉にも、この影響範囲の局所化を目指した設計思想が、後の障害において複雑な挙動を示す一因となります。

2月28日——“取込み多発”の力学

最初にして最大規模の障害は、2021年2月28日の日曜日に発生しました。技術的な問題が運用上の判断ミスと連鎖し、顧客影響を爆発的に拡大させた典型例です。発端は、紙の通帳を利用しない「e-口座」への一括切替処理でした。この大量データ処理の過程で、定期預金システムのデータ領域（INDEX FILE）が容量の上限を超過し、データ更新が不能になりました。

システムはエラーを元に戻そうと自動取消を試みますが、それすらも失敗するという「二重エラー」に陥りました。この異常事態は、顧客情報を管理するCIFのロック（排他）が解除できない状態を生み出し、最大で563名の顧客が一切の更新取引を行えなくなるという深刻な副作用を引き起こしました。

この技術的異常は、MINORIが持つシステム保護機能と最悪の形で噛み合います。システムには、深刻なエラーが多発すると、その処理の入り口である「処理区画」を自動的に閉塞し、全体のダウンを防ぐ防御機構が備わっていました。二重エラーの多発がこの機構を起動させ、ATMからの取引を受け付ける処理区画が次々と閉塞していったのです。

ATM処理区画の多くが閉塞した結果、そこに振り分けられた取引は内容にかかわらず全てエラーとして処理されました。そして、当時のATMはシステムエラー発生時に通帳やカードを内部に取り込む仕様だったため、全国で取り込みが連鎖的に発生しました。

さらに事態を悪化させたのが、現場の判断でした。障害発生当初、エラーが多発する取引を自動停止させる「取引サービス禁止機能」が作動し、エラーの発生頻度は一時的に抑制されていました。しかし、対応チームは過去の「成功体験」に基づき、正午過ぎに機能の作動条件を大幅に緩和してしまいます。この措置が仇となり、エラーに歯止めが利かなくなり、処理区画の閉塞が一気に加速。この日だけで、合計5,244件もの通帳・カードがATMに飲み込まれるという未曾有の事態となったのです。

3月3日と7日——運用統制の綻びが示すマネジメント課題

続く3月3日の障害は、ネットワーク機器の故障が原因で29件の通帳・カード取り込みが発生しました。規模は小さいものの、当日中に返却できたのは半数以下の14件にとどまり、障害規模にかかわらず、検知から復旧に至るまでの一連のフローが徹底されていなかったというマネジメント課題を浮き彫りにしました。また、同日には宝くじ「ナンバーズ」の購入取引7件も不成立となり、チャネル横断での運用統制の必要性も示唆されました。

さらに3月7日の障害は、カードローンに関するプログラムの修正ミスという、より初歩的な原因によるものでした。報告書はこれを「各工程におけるミスの看過」と断じ、個々の担当者の問題ではなく、設計、開発、テストという各工程を横断的に管理するITマネジメントの機能不全を指摘しています。特に、休日や夜間といった通常体制外での対応を想定した実動訓練の不足が、初動の遅れにつながったと繰り返し強調されています。

3月12日——ハード障害が“遅延”に化けるまで

3月12日の障害は、これまでの事象とは毛色が異なります。MINORIの基盤で稼働するストレージ装置が、特定のドライバとファームウェアの組み合わせに起因するとみられるハードウェア故障を起こしました。これは極めて稀なケースであり、報告書も保守運用上の問題はなかったと評価しています。

問題はその後の復旧対応でした。現場チームはマニュアルに沿った手動での接続回復を試みましたが、これが奏功せず、時間を浪費しました。最終的な解決策はサーバの再起動でしたが、この決断に至るまでに時間を要し、結果として全サーバの復旧までに6時間41分、関連システムの復旧までには6時間59分もかかってしまいました。

報告書は、復旧手順の選択肢が十分に準備されておらず、現場での試行錯誤を招いたことが遅延の主因だと分析しています。この遅れはセンター集中記帳処理や外国為替取引に波及し、国内他行向け仕向送金263件が当日中に間に合わず、外為被仕向送金761件の入金案内が未了となるなど、特に法人顧客に深刻な影響を及ぼしました。

顧客目線の欠落——コールセンターと現場の“詰まり”

一連の障害、特に2月28日の大規模障害では、技術や運用の問題と並行して「顧客目線」の著しい欠如が露呈しました。通帳・カードの取り込みが多発し始めると、ATMセンターやコールセンターへの入電が殺到。10時台には呼損率（電話が繋がらない割合）が6割を超え、11時台には7割に達し、顧客は助けを求めることすら困難な状況に陥りました。

さらに深刻だったのは、本部、現場、運用監視部門の間で情報が分断され、それぞれが個別最適の対応に終始したことです。システム部門は原因究明に没頭し、顧客対応部門は殺到する問い合わせに追われる中で、ATMの前で立ち往生している顧客の不安を解消するための抜本的な対策の判断が大幅に遅れました。

原因の総括——技術だけでは終わらない問題の根深さ

報告書は、これら一連の障害の原因を単なる技術的問題に帰結させていません。2月28日と3月12日の障害は、それぞれ技術と運用の絡み合いが中核にありましたが、その根底にはより根深い組織的課題が存在したと結論付けています。

具体的には、危機発生時に誰が最終的な意思決定を行うのかという権限設計の曖昧さ、休日・時間外という「想定外」を織り込んだ事業継続計画（BCP）の具体性の欠如、そして計画を絵に描いた餅にしないための実戦的な訓練の不足です。さらに、人材・制度面では、部門間の連携を促す人事評価が行われず、ミスを過度に恐れる「減点主義」の文化が、予防的な提案や越境的な行動を妨げていたと厳しく指摘しています。

再発防止策をどう活かすか

報告書は、みずほ側が策定した再発防止策を評価しつつ、その実行における要点を提言しています。その核心は「権限・訓練・実装」の三点を一体として捉えることです。まず、危機管理全体を統括する「危機管理担当役員」を設置し、情報集約と意思決定の権限を一元化すること。次に、想定外の事態を盛り込んだ実践的なBCPを再設計し、現場を巻き込んだ訓練を繰り返し行うこと。

そして技術面では、各種設計の見直しだけでなく、「再起動を優先する」といった複数の復旧シナリオを準備し、それを現場が迷わず実行（実装）できるレベルまで手順を具体化し、訓練することです。これらを三位一体で推進することこそが、真の再発防止に繋がると示唆しています。

この障害報告書は、最新の勘定系システムであっても、閾値管理、保護制御、復旧手順、権限設計といった古典的な論点が、複合的に露呈し得るという厳しい現実を示しました。この教訓を他山の石とするために、私たちは自社のシステム運用体制を五つの視点から点検すべきです。

第一に、休日や想定外の事態に耐えうるBCPと訓練が整備されているか。第二に、チャネルを横断して顧客影響を最小化する措置を迅速に発動できるか。第三に、多様な復旧手順の選択肢と明確な意思決定ガイドラインが存在するか。第四に、危機時に各部門の情報を一元的に集約し、現場を的確に動員する仕組みは機能するか。そして第五に、失敗を許容し、予防的な提案を奨励する「減点主義からの転換」が文化として根付いているか。これらは、あらゆる大規模システムを運用する組織にとっての普遍的な点検項目と言えるでしょう。

技術・運用・組織・顧客を同時に動かすということ

2月28日の障害は「設計と保護制御の相互作用」が顧客影響を増幅させ、3月12日の障害は「復旧の意思決定の遅れ」が顧客影響の裾野を広げました。いずれの事象も、技術的な問題の背後に、練り込まれた運用手順、機能的な組織統制、そして何よりも顧客目線での対応が定着しているかという、目に見えにくい基盤の脆弱さが横たわっていました。

報告書が示す処方箋は、権限設計と適材配置、BCPの再設計と訓練、評価制度の転換といった、一見地味ですが、組織の根幹に関わるものばかりです。この報告書は、技術、運用、組織、顧客という四つの要素をいかにして同時に、かつ有機的に動かすかという、現代の組織運営における本質的な問いを私たちに投げかけています。自社の「明日の初動」を確かなものにするために、今なお繰り返し読み返す価値のある、普遍的な教訓がここにはあります。