« (速報版)改正公益通報者保護法における事業者の内部統制指針が公表されました。 | トップページ | 不祥事企業を救うコンプライアンス行動指針のススメ »

2021年8月23日 (月)

みずほシステム障害事件-金融庁は監督の視点を変えるべきではないか

5月27日の拙ブログ「もはや『レピュテーションリスク』では語れなくなったコンプライアンス経営の姿勢」で予想しておりましたとおり、企業内におけるワクチン接種の強制問題が最近話題となっており、政府としても「一定の方向性を示す」ということで動き出しました(読売新聞ニュースはこちらです)。社員に一律にワクチン接種を事実上強制することはパワハラ(人権侵害)に該当しますが、かといって何らの対応もしなければ職場安全配慮義務違反で「不作為の違法行為」になってしまうというジレンマにどう企業は向き合うべきか?「ビジネスと人権」という視点から、それぞれの企業の姿勢を明確に知りたいところです(以下、本題です)。

みずほ銀行とみずほ信託銀行で8月20日に発生したシステム障害については、金融庁がみずほFGを含めて再度の報告命令を発出したことが報じられています(8月22日日経朝刊1面)。みずほ銀行では今年すでに5度目の障害が発生した、ということです。「今回は4度目の障害とはここが異なっていた。したがって前回の障害に対する再発防止策はある程度実効性があった」と評価できる点があればよいのですが、そういった報道はされていません。

私はそもそも「こうすれば障害は発生しない」といった再発防止策の目標自体が誤っていると思います。「(残念ではあるが)また障害は発生するが、こうすれば顧客に過大な迷惑はかけない」ということを目標とすべきであり、監督責任のある金融庁も目線を変えるべきだと考えます。1年に5度もシステム障害を発生させている企業が「6度目はない」という前提で対策を考えること自体無理です。困難な目標を掲げて「二度と発生させない」といった実現困難な対策を講じれば講じるほど、現場は可能な限り障害を隠し、また(4度目の障害に関する第三者委員会の評価にあるように)「目の前で起きたことを過小評価する」ことは間違いないでしょう。

過去に何度も同様の不祥事を発生させている、という点では近時の三菱電機の検査不正事件も同様ですが、ここまで同種事案が繰り返されるということは(たとえ直接の原因ではないとしても)組織風土に関する要因は存在するのではないでしょうか。ご承知のとおり、組織風土はそんな簡単に変えることはできないので、せめて「システム障害を防止すること」「障害が疑われた場合にはすぐに声を上げること」に関する社員の(職務上の)優先順位を上げるしかないのではないかと。

4度目のシステム障害の教訓から、みずほ銀行ではシステム障害発生時に緊急対応のランクを上げたそうですが、目の前で起きた事象を「たいしたことではない、監督官庁や顧客に報告しないといけないほど重大ではない、と考えたい」バイアスが働くのは当然です。しかし、そのようなバイアスが働くことを5度目の障害の教訓としたところで、組織風土が変わらない限り、今度は現場の情報を掌握した経営幹部からトップには「たいしたことはありません」といった印象操作を誘発する情報が上がってくるだけです。「重大だと思って公表したところ、実は軽微な障害で済んだことで「オオカミ少年」になってしまった。それでも顧客の資産の安全を守ることを第一に考えたうえでの結果だからやむをえない」といった価値判断を経営幹部が共有しないかぎり、現場の情報をトップが共有することはできないと思います。

たとえかっこ悪くても、世間から批判を受けるとしても、まずは「みずほ銀行は、またシステム障害を起こす可能性があります。しかし、起きた時に、今度は当社はこう動きます」といった姿勢を社内外に示すこと、これのみが組織風土を変えるための手段になりえると確信します。現時点で「もうみずほ銀行は・・・のような再発防止策で二度とシステム障害を起こさないことを誓います」といった対策は、組織風土を悪化させる要因になるように思えます。かように「コンプライアンス経営はむずかしい」のであります。

|

« (速報版)改正公益通報者保護法における事業者の内部統制指針が公表されました。 | トップページ | 不祥事企業を救うコンプライアンス行動指針のススメ »

コメント

(「コンプライアンス政治」と、どちらがむずかしい?)

全国規模の社会的大問題を議論する上で、加害者的な立場と、被害者的な立場との相関がポイントなのは申すまでもありませんが、
山口先生の本エントリーは、かつて大阪エリアで発生したコロナ/医療崩壊の「現在の東京:首都圏版」と類似している様にイメージしています。
「みづほ」と称するメガバンクの今年5度目の不祥事と、今の国内で猛威をふるう「コロナ/第5波」が重なった事は偶然でしょうか?
上記における双方のトップの世代=頭取と、首相のご年齢が何歳かは存じませんが、共通する何かが根底にありそうだと思うのは私だけでしょうか。記者会見等を拝見する限り、山口先生が非常に危惧(諦めも含む?)言わば6度目の危機(?)が、もう既に、それぞれの組織の中に芽吹いているのかも知れません。

みづほ銀行の場合、仮に組織自体が消滅解散しても、口座を持たない人には大きな被害は出ず、他行で代替がききます。けれど、政府=コロナ対策はそうはいきません。JAPANにおける8月という時期は、第二次世界大戦〜太平洋戦争の敗戦という教訓を糧にする番組や記事を目にする事が多くなります。ただ、折角のそれら報道の類いも、現組織の上層部には他人事として軽視され、リスクマネジメントとは程遠いのが現状なのかも知れません。

メガバンクのシステム障害における「ウィルス」発見能力が脆弱なのか?それとも、(一応、外向きに?)原因は把握しているけれど、問題の根絶が出来ない組織体質なのか?ビジネスの世界における「みづほ製の金融」が正常に程遠いのであれば、それは死を意味する…と言われても否定できないのではないでしょうか。

コメを主食にしているJAPANの各地で黄金色の稲穂の収穫が近づいていますが、「みづほ銀行内の問題の摘み取り/終息」はいつになるか?
コロナ禍の収束同様に、同FGの問題が収束できず「ブラックホール」に陥っているとしたら、「◯◯崩壊」と報道される日も近いのかも知れません・・・。

投稿: にこらうす | 2021年8月23日 (月) 06時35分

会社から閲覧推奨の連絡があったので読みました。うちの会社も数年前に大きな不祥事を起こし、いまも再発防止策の実行中です。社員研修用に新しくDVDを作りましたが、先生がおっしゃるように不正が起こることを前提としたモデル事例がたくさんでています。最初はとまどいましたがむしろ効果的だという。
こういった発想で作られたのかどうか、そのあたりも会社側が社員に説明すべきと思いました

投稿: 大江 | 2021年8月23日 (月) 10時23分

「(残念ではあるが)また障害は発生するが、こうすれば顧客に過大な迷惑はかけない」ということを目標とすべきであり。極めて同意です。みずほの大いなる過ちは顧客に迷惑をかけていることの認識が極度に不足していることです。
「原因が分かりません」と答えるトップを戴く会社にはまともな知性がありません。

投稿: コメントさん | 2021年8月23日 (月) 14時21分

皆様、コメントありがとうございます。まさか、6度目の障害は当然あります、と書いたその日に6度目が起きるとは、私も想像しておりませんでした。130台とはいえ、全体の2.5%のATMが稼働しなくなったというのは決して軽微な故障とはいえませんし、バックアップが機能しなかったという点では重大な故障ではないでしょうか。
エントリーで書いたとおり、金融庁は本当に監督の視点を変えたほうが良いと思いますし、そのほうが顧客の利益にかなうものと言えます。

投稿: toshi | 2021年8月24日 (火) 00時34分

金融業界ではサイバーセキュリティなどの経験を経て「システム障害は発生する」との前提でのリカバリー策を重視していると思います。金融安定理事会:「サイバー事象の初動・回復対応の効果的な実務」や「バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」、などをご参照ください。


https://www.fsa.go.jp/inter/bis/20210402/210526_1.pdf

上記資料から引用
未然に事故や障害を「防ぐ」ための態勢整備だけでは不十分である
非現実的な”zero tolerance”に拘泥するのではなく、現実的に甘受可能な許容水準を検討・設定することが重要。

投稿: 門外漢 | 2021年8月24日 (火) 10時24分

門外漢さん、有益なご教示ありがとうございます。さっそく参照させていただきます。サイバーセキュリティということで、他社からの侵入によってシステム障害が発生する、ということも検討しておかねばならない、ということですよね。いずれにしても、システム障害がゼロリスクではない、ということであれば、たとえば甘受可能な許容水準内の障害が発生した場合には報告したり公表する必要はあるのでしょうか、つまり「安全」の問題なのか「安心」の問題なのか、という点です。この差はとても大きいと思っています。そのあたりの視点で参照してみたいと思います。

投稿: toshi | 2021年8月24日 (火) 10時49分

「軽微な障害」は公表しないと思います。かなりの数になるはずで、全部公表していたら通常の業務ができないでしょう。「軽微」の基準が妥当かの検証は必須です。監督官庁は改善プロセスを評価することが必須です。

利用者の安心にたどり着くのはだいぶ先の話でしょう。改善プロセスが機能していない、体制整備がまったくできていないと思います。当分は目先の対応と確認に追われそうです。本格的な改善が始まるには時間がかかると推測します。監督当局としては「経営陣は実情を掌握できているか」を疑っていると思います。

なお、山口様のブログの読者には今更でしょうが、表面的なガバナンス体制(指名委員会等設置会社か否か)とそれが機能しているかは別であることが再確認できました。

投稿: 門外漢 | 2021年8月24日 (火) 11時10分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« (速報版)改正公益通報者保護法における事業者の内部統制指針が公表されました。 | トップページ | 不祥事企業を救うコンプライアンス行動指針のススメ »