金融機関のシステムリスク
動向とその管理について

コンピュータ社会の落とし穴
 ――システムリスク管理の重要性

　――このところ、大きなシステムトラブルの発生などを契機に、金融機関のシステムリスク管理のあり方にスポットライトが当たっています。本日は、こうしたリスクの特徴や、今後の金融機関経営面での課題などについて、日本銀行考査局企画役の富永さんにお話を伺います。一般の企業においても、システムトラブルの事例はあると思いますが、銀行をはじめとする金融機関のシステムトラブルとの間にどのような違いがあるのでしょうか。

　富永　今や一国の大統領や総理大臣がIT（情報通信技術）革命を口にする時代ですから、どの企業・組織においても、システムの重要性は高まっていると思います。その中で金融機関は、「決済」という名のサービスを、電力や通信・交通等の社会インフラと同じく、文字どおり「経済活動の生命線」として提供している訳です。こうした決済サービスを提供するためのシステムに支障が生じた場合の影響の大きさは、最近の一連のシステムトラブルを通して全国民レベルで再認識されたのではないでしょうか。私の周辺でも、ここにきてシステムリスクへの関心が急速に高まったことを、ひしひしと感じているところです。

　金融機関は、一般の企業と異なり、「物」を製造したり、流通させている訳ではありません。金融機関の決済業務の本質は「システム上のデータ処理そのもの」で、いわば「決済サービス自体が商品」である訳ですから、システムにトラブルが発生することは、いわばビジネスの根幹に関わる大問題、と言えようかと思います。

　――金融機関のシステムトラブルは、実際に増えているのですか。

　富永　全金融機関のトラブル発生件数を統計的に把握している訳ではありませんが、この一年を振り返ってみても、大手金融機関から新規参入した金融機関に至るまで、比較的大規模なシステム障害が少なからず発生していることは事実です。

　インターネット系のサービスでは、ハッキング（いわゆる不正アクセス）の被害こそあまりありませんが、アクセスの集中に伴うレスポンスの悪化やサービス停止といったケースが目につきますし、大手金融機関では、オンラインダウンのほか、複数の先で、システム統合時のシステムや事務の混乱に伴う口座振替の遅延、二重引き落としといった事態が発生したことは記憶に新しいところです。

　――日本の金融機関は、高い事務処理能力に支えられた「堅実さ」や「正確さ」によって顧客の信頼を得てきたように思いますが、なぜ最近トラブルが増えているのでしょうか。

　富永　トラブルが増えている原因や背景は一様でないため、簡単に絵解きすることは難しいように思いますが、私なりに整理してみると以下のとおりです。

　第一に、金融業務におけるIT活用が高度化し、外部機関のものを含む各種のシステムが相互に連関して動くようになったことが挙げられます。以前は、何かトラブルがあったとしてもその拡がりは自社内に閉じられていた訳ですが、今や影響が一金融機関の枠を越えて多方面に及ぶことは避けられません。

　第二に、オープン系と呼ばれる新しいタイプのシステムに向け、急速なパラダイムシフトが始まった中でのスキル確保の難しさがあります。「オープン系」と言った場合、二つの意味があります。一つは、インターネットのように「誰でも接続できる」開かれたシステム、もう一つはUNIX（基本ソフトの一種）のようにその仕組みが公開されているシステムで、後者はサーバーといわれるマシンを各拠点に分散して配置することが多いため、「分散系システム」と呼んだりもします。オープン系システムの方が短期間に低いコストでシステムを構築できる特長がありますが、技術進歩が「分進秒歩」であることの代償として、安定性を担保するノウハウの蓄積面では発展途上の感も否めません。

　これに対し、金融機関のシステム部門は、かつての第三次オンラインシステムのような汎用大型コンピュータ（メインフレーム）を使ったレガシーシステムに強い要員は高年化が進み、一方で最近のシステム動向に見合った技術の習得は後手に回るなど、スキルが低下しているケースが多いのではないかと思われます。逆に古いシステムは安心かといえば、ドキュメントを整備していないと、開発した人がいなくなった途端に中身が分からなくなり、いざ障害が発生しても、すぐに的確な対応が取れないといったリスクもあります。

　第三に、昨今の厳しい金融経済情勢を背景としたリストラの一環として、システム要員を社内で抱えておくことも難しい環境となり、システムベンダーに外部委託（アウトソーシング）したり、他の金融機関と共同化したりする動きが目立ちます。これ自体は合理化の流れに沿ったものかと思いますが、その一方で、しっかりしたリスク管理体制を構築しない限り、金融機関自身がシステムを把握できなくなり、ブラックボックス化するおそれがあります。最近のシステムトラブルの中には、ベンダーに依存し過ぎて業務要件等がベンダーの開発要員にきちんと伝わらなかったり、ユーザーとしてのテストが不十分なままカットオーバーしてしまったことに起因するケース、も見受けられるところです。

　さらに、そもそも論として、これだけ金融業務におけるシステムのウェイトが高まり、装置産業化する中での金融再編や経営統合等において、「経営層の意識がシステムの重要性に本当の意味で追いついていない」といった根源的な問題も潜んでいるのではないか、と懸念しています。

　――金融機関が積極的にITを活用する狙いは何ですか。ITの利用は、近年、どのような形で進んでいますか。

　富永　冒頭に申し上げたとおり金融機関の決済業務の本質はデータ処理ですから、IT革新の恩恵を最も享受できる業態の筈です。最初にオンラインシステムを構築した30年程前には、大量の事務を効率良く正確に処理するところに主眼があり、今もこうした点に相当の資源が配分されています。

　しかし、最近のシステム化は、どちらかといえばこうした「基幹勘定系」と呼ばれる預金・貸出・為替分野ではなく、「情報系」と呼ばれる顧客情報の収集と効率的活用によるサービス向上等にウェイトがシフトしていることは間違いありません。また、経営に必要なリスク管理自体を、システムによるデータの蓄積と分類をベースに、高度化して実施する動きも見られます。

　さらには、「インターネットバンキング」とか「モバイルバンキング」といった、従来の店舗網を前提としない24時間365日型の新しい金融サービスの発展も目立っています。こうした分野にはご承知のとおり、イトーヨーカ堂やソニーなどの異業種を含む新規参入があり、既存の金融機関との競争を通じて、金融の活性化や顧客サービスの多様化に寄与していくだろうと期待しています。

　――IT化を進めているという点では、海外の金融機関も同様だと思われますが、日本の金融機関のトラブル事例と異なる点はありますか。

　富永　確かに海外でもシステムトラブルの事例はありますが、日本の金融機関と比較すると、大まかに言って以下のような違いがありそうです。

　まず、海外の方が既存のシステムを細かくメンテナンスせず、新たなニーズに対しては新しいシステムを作って、必要部分だけ繋げて使うといった形態が一般的なようです。この結果、統一性とか利便性はある程度犠牲になる訳ですが、その辺りは割り切って、経営資源やIT投資の「選択と集中」を実践しているような印象を持ちます。

　日本の金融機関の方が、完璧主義とでも言えばよいのでしょうか、いろいろなシステムをうまく繋ごうとし過ぎて、ややもすると複雑で巨大なシステムを作ってしまったという面があるかもしれません。

　この辺りは、国民性として「ATMはストップしないもの」とか、「各種の自動振込・振替は当たり前のサービス」といった意識が強く、金融機関はこうした顧客の期待に応えるべく頑張ってきたし、顧客もそれを求めてきたという側面が指摘できると思います。

　私見を申し上げると、今後の金融機関経営においては、そうしたサービスを実施するために必要なコストを手数料等の形で顧客に負担してもらう一方、そうしたサービスまでを求めない顧客に対しては、より簡易なメニューを提供するといったオプションを用意していくことが適当かと思います。一例を挙げますと、最近登場したインターネット専業銀行などでは通帳を発行しないのが基本形になっていますし、口座維持手数料の徴収も珍しくなくなってきました。
 
→（中）に続く

（聴き手　日本銀行情報サービス局）
「にちぎんクオータリー（2002年夏号）」より転載