「金融庁の監督局と検査局が一体となって金融機関の情報システムをモニタリングすることで、システムリスクの早期発見を目指す」(金融庁検査局統括検査官兼監督局システムモニタリング管理官の網干立身氏)。
金融庁は9月から組織体制を改め、銀行などへの立ち入り検査を行う検査局と、日常的な監督業務を行う監督局とが情報を共有しながら、銀行の情報システムのリスクを監視できるようにした(図)。これまでは、情報システムの専門家は検査局だけに所属し、定期的な立ち入り検査や大規模なシステム統合の時にのみ、システムリスクをチェックしていた。今回から、監督局にも情報システムの専門家を配置し、「情報システムの危機管理体制やシステム投資戦略、人材の育成や配置計画を監督する」(網干氏)。
金融庁の狙いはただ一つ。今年3月にみずほ銀行で発生したような大規模なシステム障害を防ぐことにある。
金融庁はみずほ銀障害について「長年、安定的に稼働していたシステムが、外部環境の変化に対応できなくなった結果、障害が発生した」「経営陣の初動が遅れるなど、危機管理体制の不備が被害拡大を招いた」と総括。再発を防ぐには「企業風土にまで踏み込んで監督する必要がある」(網干氏)と判断して、監督体制を強化した。
組織変更に先立ち、7月には銀行や信用金庫など預金を取り扱うすべての金融機関に対してシステムの自己点検と金融庁への報告を要請した。すでに報告書の回収を終えており、現在は分析作業を進めている。
その結果を基に10月から、ヒアリングが必要と判断した金融機関への聞き取り調査を始める。地方銀行や信金などの多くが勘定系システムの開発運用をITベンダーに委託したり、他行との共同化を進めたりしていることを踏まえて、ITベンダーにも聞き取り調査をする予定だ。分析・調査結果については、2012年3月末までに総括して公表する。
実は3年前の2008年6月にも、一部銀行でシステム障害が続いたことを受けて、金融庁は全国の金融機関にシステムリスクの自己点検を要請していた。それでも、結果的にみずほ銀行の大規模障害を防げなかった。金融庁としては、障害発生時の影響が特に大きい金融機関については、チェックに力を入れる考えだ。金融機関は「対応に多大な負荷がかかる」(ある銀行のCIO=最高情報責任者)と戦々恐々だが、大規模障害を防ぐための作業であると前向きにとらえて臨みたい。
