行政処分の内容

読んでみました。厳しい言葉が並んでいます。どこから手を付けたらいいのか、呆然としてしまいます。

みずほ銀行及びみずほフィナンシャルグループに対する 行政処分について

https://www.fsa.go.jp/news/r3/ginkou/20211126/20211126.html

曰く、

このような原因の背景には、当行及び当社の執行部門が、IT現場の実態を十分に把握・理解しないまま、MINORIが安定稼働していると誤認し、障害発生時も影響範囲が局所的になりやすいというMINORIの特性を過信したことから、システムの安定稼働に必要な事項（有事を想定した被害の極小化に必要な取組みを含む。）を十分に洗い出さずに、MINORIを開発フェーズから保守・運用フェーズへ態勢を移行させた上、MINORIの保守・運用に必要な人員の配置転換や維持メンテナンス経費の削減等の構造改革を推進したことが認められる。

　また、当行の執行責任者は、MINORIは安定稼働していると誤認して、システムリスク管理態勢の実態を把握しないまま、人員の再配置、ベンダーからの業務の引継ぎを行ったことが認められる。

　これらの結果、MINORI等の運営態勢を弱体化させているものと認められる。

当行の取締役会は、障害分析や予兆管理の状況、障害に係る訓練の実態、IT人材の適正配置の状況などを継続的に報告させるといった、有効な牽制機能が働くシステムリスク管理態勢を整備していなかったことから、複雑なMINORI等の運用管理に係る脆弱な実態を把握しておらず、執行責任者に対し、適切な指示等を行える態勢となっていない。

過去のシステム障害等も踏まえた危機管理を含む高度な専門性が求められるCIOの人選や候補者育成の指針となる人材像を明示的なものとして策定していなかったという問題。

• リスク委員会が、トップリスク運営の導入に当たり「大規模なシステム障害」を選定し、選定したトップリスクに対するアクションの策定等が重要であることを提言したにもかかわらず、当社の執行部門において十分な対応がなされず、また、リスク委員会によるフォローもされていないという問題

（１）システムに係るリスクと専門性の軽視

（２）IT現場の実態軽視

（３）顧客影響に対する感度の欠如、営業現場の実態軽視

（４）言うべきことを言わない、言われたことだけしかしない姿勢