システム障害予防・対応のためのガバナンス体制構築
第1回 ガバナンス面の原因と近時の議論状況から導かれる対応策
弁護士法人琴平綜合法律事務所
弁護士・公認不正検査士 澁 谷 展 由
1 システム障害の現状
かつてなくシステム障害が頻発している。
個人として携帯電話やネット上のサービスの障害の影響を受けることもあれば、仕事上で自社や取引先で発生した障害の影響を受けたり、対処を余儀なくされる機会も増加している。
IPA(独立行政法人情報推進機構)による報道ベースの集計では2007年には月平均3件であったものが、2019年には月平均10.2件となった(図1)。
図1 情報システムの障害発生件数の推移
出典:IPA「情報システムの障害状況 2019年後半データ」1頁
また、金融機関に限った集計ではあるが、2021年度に監督対象の金融機関から金融庁に報告されたシステム障害の件数は約1,700件であり、2020年度の約1,500件から増加したとのことである。金融庁は「障害事象別割合」も明らかにしている(図2)。
図2 障害事象別割合(全業態)
出典:金融庁「金融機関のシステム障害に関する分析レポート(2022年6月)」7頁
システム障害発生件数の増加には様々な原因が考えられるが、自動車が普及すれば交通事故が増加するように、IT化・システム化・デジタル化の進展に従ってシステム障害が増加したという側面は否定できないだろう。
障害の程度によっては経営責任の問題に発展する場合も増えている。みずほフィナンシャルグループ・みずほ銀行のケースでは会長・社長・頭取が退任し、東京証券取引所のケースでも社長が辞任した。
現在、ほとんどの企業にとってDXへの取組みが不可避であることに伴って、システム障害発生の原因を把握し、防止策や発生後の対応策を講じるべきことも不可避となっている。
2 システム障害のガバナンス面の原因
金融庁は上記の報告された障害の原因を図2のとおり分類している。
このうち「ソフトウェア障害」「ハードウェア障害」「外部からの不正アクセス」「情報通信分野(電気通信)からの波及」「電力分野からの波及」「コンピュータウイルスへの感染」については、ソフトウェア上、ハードウェア上、ネットワーク構成上、コンピューターセキュリティ上の検証強化など、主として技術面の対応が重要となる。
他方、「管理面・人的要因」については、従来、システムの開発、稼働、保守を通じて契約法務上の予防が重視されてきた。
システム開発契約は高額な取引となることが通常であるため、障害が発生した場合は訴訟にも発展しやすく、裁判例も多く蓄積されている。
その影響もあり、紛争化を予防すべく、IPA(独立行政法人情報推進機構)、JISA(一般社団法人情報サービス産業協会)、JEITA(一般社団法人電子情報技術産業協会)などの各種団体による精緻な契約書ひな型や、実務家により工夫された契約書ひな型も発達してきた。
要件定義のあり方、プロジェクトマネジメントのあり方などについての議論も進展してきた(たとえば、独立行政法人情報処理推進機構『ユーザのための要件定義ガイド〔第2版〕』(独立行政法人情報処理推進機構、2019)では500頁弱にわたって詳細なガイドがなされている)。
ユーザー企業も開発企業も蓄積されてきた議論をふまえ、開発開始前の段階で、契約上の責任分担、要件定義、プロジェクトマネジメントの方法などについて、慎重に検討して合意した上でシステムを開発し、稼働開始し、保守を進める。
にもかかわらず冒頭で述べたように、システム障害の件数は増加し、広範な国民に影響を与える大規模障害も頻発しているのはなぜか。
近時、注目が高まっているのが、システム障害のガバナンス上の要因である。
たとえば、近年のシステム障害調査のなかでも特に詳細な検討結果を公表したみずほフィナンシャルグループのシステム障害特別調査委員会による「調査報告書(公表版)」(2021年6月15日)は、障害発生原因の一部として、以下のような部門間の連携、危機管理体制、運用管理体制、人材育成・配置の不備といったガバナンスに関わる問題点を指摘している(括弧内は同報告書の頁数)。
- システム担当部署と顧客対応部門の連携、主体的・積極的対応姿勢の不足
- システム担当部署の情報収集・分析はシステム上の問題という視点に留まり、顧客対応部門は「システム復旧を待つ姿勢を基本としていたように見受けられる」(86頁)
- 「システム障害に係る情報を一元的に集約・分析して対策を立案・実施する危機管理体制の弱さ」
- 複数のシステム障害が検知されたのは9時50分だが、IT・システム統括第一部が障害報告メールを発したのは3時間経過後、IT・システムグループ長への状況報告は13時40分、非常対策PT会議の開催は17時。「IT・システムグループ長を始めとする経営陣も、率先して障害の対処に積極的に介入しようとする姿勢や顧客影響の詳細把握とその最小化を最優先とする姿勢は見られず、概ね現場からの報告を待つ受け身の姿勢にあった」(87~88頁)
- システム構築後の「運用管理体制の脆弱化」
- 開発を担当したみずほリサーチ&テクノロジーの経営陣が「稼働後の開発案件が減少しているなどの諸事情を踏まえ」みずほフィナンシャルグループ、みずほ銀行と「協議の上」「従事する人員を他の組織へ移動させる人事などを進めて今日に至った」。「次期システムプロジェクトに係る推進・管理体制の終了・廃止を審議し」「組織再編が行われた」。「故障統制の役割が」「引き継がれた事実が確認できず」「重大故障時に必要な故障統制の役割を担う部門が欠落した可能性がある」。稼働後「従事する人員が減少し」「開発時に参加していた各ベンダーの有識者サポートも廃止された」。「一連の施策が、システム開発及び運用に不可欠な技術力を次第に弱めた可能性を否定できない」(89頁)
- 「人材育成及び配置並びに訓練等に関する問題」
- 「障害発生時の復旧対応にミスが生じるリスクを完全に払拭するすることはできないと考えられるものの」「あらかじめ多くの障害シナリオを想定した十分な訓練の実施と適切な復旧手順の整備を通じて将来顕在化し得るリスクを可能な限り提言・制御できるように態勢整備を行っておくことが重要」。「事実経過を是前提とする限り、かかる態勢整備に不十分な面があったことは否定できない」(113頁)。「事業方針において、業務効率化の要請等を考慮しても、よりきめ細やかな人材のリソース配分の方針が示されないまま」システム業務への「人的リソースとコストの削減が計画された」。「従事する人員減少、異動等により」システム「全体を理解できるスキルのある人材や」「構築時のノウハウを有している人材の関与が減少していた」(126頁)。
3 システム障害へのガバナンス面からの対応
では、システム障害発生の原因の一部をなす部門間の連携、危機管理体制、運用管理体制、人材育成・配置の不備といったガバナンスに関わる問題点にいかに対処すべきか。
⑴ 知財・無形資産ガバナンスガイドラインとデジタルガバナンス・コード
この点については、スコープをシステム障害対応に限った指針ではないが、近時、デジタル分野におけるガバナンスのあり方を示すものとして策定・改訂された内閣府知的財産戦略本部が設置した検討会による「知財・無形資産の投資・活用戦略の開示及びガバナンスに関するガイドライン(略称:知財・無形資産ガバナンスガイドライン)Ver 1.0」(2022年1月28日公表)や、経済産業省による「デジタルガバナンス・コード 2.0」(同年9月13日改訂版公表)の規律が参考になる。これらは2021年に改訂されたコーポレートガバナンス・コードの知的財産への投資等についての取締役会の監督、開示(補充原則3-1③、4-2②)についての具体的な指針を示すものと位置づけうる。
知財・無形資産ガバナンスガイドラインは「無形資産」のスコープに「技術」「コンテンツ」「データ」「これらを生み出す組織能力・プロセスなど、幅広い知財・無形資産を含む」としており(3頁)、これには企業の業務運営に不可欠なシステムも含まれるだろう。取り組むべき施策としては無形資産についての「戦略の構築・開示・発信」「戦略を構築・実行する全社横断的な体制及びガバナンスの構築」を挙げている(項目2、3)。
デジタルガバナンス・コードは「ITシステムについて技術的負債となることを防ぎ、計画的なパフォーマンス向上を図っていくこと」について「経営者の関与が不可欠」として、システムのパフォーマンスを主たるテーマの一つに挙げている(1頁)。取り組むべき施策としては「組織づくり・人材・企業文化に関する方策」「ITシステム・デジタル技術活用環境の整備に関する方策」「成果と重要な成果指標」「ガバナンスシステム」を上げている(項目2-1、2-2、3、4)。
両者には共通した発想に基づく事項も多く、なすべき無形資産に関する施策、デジタル化に関する施策を括りだすと以下のようにまとめることもできる。
- ① 戦略策定
- ② 体制構築(人材確保を含む)
- ③ 監督(戦略実行の成果の評価・処遇)
- ④ ①~③の開示
⑵ システム障害予防・対応のために実施すべきガバナンス上の施策
これをシステム開発及び障害予防・対応に当てはめると、企業が検討すべき課題はたとえば以下のように考えることができ、経営者にはその検討結果に基づく決定、実行が求められる。
- ① 戦略策定
- ⇨ 既存ビジネスの効率化、既存ビジネスの付加価値向上、新規ビジネスの創出のためにいかなるシステムの開発が必要か。
- ② 体制構築(人材確保を含む)
- ⇨ ①のシステムを構築し、障害発生を防止しながら維持、運用管理し、障害発生時に適切に対応ができるための人材を経営陣レベル/管理職レベル/現場レベルでどう確保、配置するか。部門横断組織の設置も含め、既存の体制をどう再編成するか。その実現にはいかほどの予算確保が必要か。
- ③ 監督(戦略実行の成果の評価・処遇)
- ⇨ 経営陣が①戦略策定、②体制構築、その後の戦略実行を適切に行っているかを誰がどうチェックし、評価・処遇に反映し、以後の改善につなげるか。
- ④ ①~③の開示
- ⇨ 顧客、株主・投資家、従業員その他ステークホルダーへ①~③の取組みをどう説明するか。
⑶ 戦略策定
上記①「戦略策定」については、各社の置かれたビジネス環境、経営課題、DX進展度合いなどによって様々である。
⑷ 体制構築(人材確保を含む)
上記②「体制構築」については、上述のみずほ銀行の障害事例の調査報告書の指摘にあったシステム担当部署と顧客対応部門の連携体制、障害情報を集約・分析する危機管理体制、システム構築後の運営体制、人材育成の体制といった課題への対応に、経営陣がコミットすることが重要となる。
実践例としては、たとえば、システム開発、障害防止対応、危機対応をIT・システム部門だけに任せきりにするのではなく、経営企画部門とITシステム部門を連携・融合させた体制構築をしたり、CIO(最高情報責任者)に加えてCISO(最高情報セキュリティ責任者)を設置することなどが考えられる(筆者がこれらの施策を実施した三井物産、三井住友フィナンシャルグループなどの企業の開示例を分析したものとして、澁谷展由「知財・無形資産ガバナンス先進企業の開示例の分析」資料版商事法務458号(2022)64頁以下も参照されたい)。
⑸ 監督(戦略実行の成果の評価・処遇)
上記③「監督」については、上記①戦略策定、上記②体制構築が適切になされているかどうかについて、第一義的には取締役会において報告・検証・審議がなされる。
加えて、プライム市場では設置企業が約8割に達している指名・報酬委員会において、社外取締役・社外監査役の視点も入れながら、経営陣の取組み状況を評価したうえで、代表取締役の選解職の取締役会への付議判断、社内取締役の選解任の株主総会への付議判断、業績連動報酬の支給判断などにつなげていくことが考えられる。
具体例として、体制整備の一環であるCIOの選任に対する監督について考えてみたい。
CIOの人選の失敗については、他業務と兼任の「片手間CIO」、権限のない「名ばかりCIO」、天下り人材の名誉職に留まる「お飾りCIO」、ITに不案内で現場を混乱させる「邪魔者CIO」という「残念なCIO4つのパターン」が存在するとの指摘がある(沢渡あまね「IT職場あるある」日経クロステック(2022年8月22日))。
2021年改訂コーポレートガバナンス・コード補充原則4-11①の適用対象である会社の多くはスキル・マトリックスを開示した。その上で、スキルの1つとして「IT」「デジタル」などを挙げ、そのスキルを有した取締役(≒CIO)を選任している旨を開示している企業も多い。
しかしながら、筆者の見聞するところによると、真にそのようなスキルを有した取締役を選任している会社も多くあるものの、上記の「残念なCIO4つのパターン」に当てはまってしまうような人選になっているケースも少なくないようである。
執行側が選定したCIOがこういった問題あるケースに該当していないかを社内のしがらみにとらわれない目線でチェックし、適切な人選となるよう監督することも社外取締役・社外監査役を中心とした指名・報酬委員会の重要な「監督」内容の一つとなっていくだろう。
⑹ 開示
上記④の「開示」については、上記①~③の取組みを、事業報告、有価証券報告書、コーポレート・ガバナンス報告書、統合報告書などでステークホルダーへ説明を行っていくことが必要となる(企業秘密の漏えいとならない範囲で)。
本稿では以上のとおりシステム障害防止・対応に関するガバナンス上の議論状況を概観した。増加しつつある上記①~④についての優れた実践例の詳しい紹介については別稿に譲りたい。
以 上
(しぶや・のぶよし)
弁護士法人琴平綜合法律事務所パートナー弁護士。公認不正検査士。司法試験予備試験考査委員(商法担当。現任)。デジタル庁・地方業務システム法務エキスパート(現任)。指名・報酬委員会運営、役員報酬設計などのコーポレート・ガバナンス体制、コンプライアンス体制の構築、デジタル・IT関係の法務、政策立案のほか、企業法務全般についてアドバイスを提供している。
※ 本稿の見解に当たる部分は筆者個人のものであり、所属組織の見解を代表するものではありません。