金融機関における危機管理の動向と首都機能の移転

講演の一部を音声でお聞きいただけます

• Windows Media Player音声データ（32kbps 1,343KB）
• Real Player 音声データ（32kbps 1,348KB）

(注) 音声を聞くためには、Windows Media PlayerまたはRealPlayerが必要です。

• 業務継続計画の必要性
• 金融機関における情報システムの安全対策
• 緊急時対応計画で求められることとは
• 金融機関の緊急時対応の現状
• 首都機能の危機管理に求めたいこととバックアップの必要性

郡山 信氏　(財)金融情報システムセンター 監査安全部長

1980年日本電信電話公社入社。その後、組織変更によりNTT(株）、(株)NTTデータにて金融機関向けコンピュータシステムの企画開発・品質保証に従事。2003年より現職。金融機関における災害やシステム障害に関する安全基準の作成のほか、情報セキュリティ・緊急時のサービス継続などについての調査・啓蒙活動を行っている。金融分野におけるサービス継続・復旧や安全対策に関する講演多数。

また、1996年から2001年にかけて東京工業大学大学院非常勤講師を兼任。

我が国の国土は、地質上や気象上において、さまざまな自然災害の影響を受ける環境にあり、過去に数多くの地震や災害に見舞われてきました。1995年1月に6000人を超える死者・行方不明者を出した阪神・淡路大震災をはじめ、2000年3月の有珠山噴火、同6月の三宅島雄山噴火、2004年10月の新潟県中越地震、2005年4月の福岡県西方沖地震などが大きな被害をもたらしています。

さらに、過去周期的に発生し、大きな被害をもたらしてきた東南海・南海地震が今世紀前半に発生する可能性が高いと指摘されています。また、首都直下で発生する地震については、関東大地震の発生から70年が経過していることを考慮すると、マグニチュード7程度の地震発生の切迫性が高まっていることは疑いないとも言われていますから、我々は常に自然の脅威に直面しているといえるのではないでしょうか。

一方、最近では、自然災害以外の脅威にも目を向ける必要があります。米国では「カリフォルニア州停電」（2001年1月）のほか、「米国同時多発テロ」（2001年9月）などの大規模テロが発生していますし、英国でも2005年7月の「ロンドン同時多発テロ」が発生するなど、世界の主要都市は人々の生命や社会経済活動に大きな影響を及ぼす事件・事故に見舞われています。こうした事件や事故には比較的無縁と思われた我が国においても、1995年に地下鉄サリン事件が発生しており、この種の事件・事故への対応を真剣に考える必要が出ています。

これらの大規模災害の発生は一般に予測が困難であることから、それを契機として発生するさまざまな影響もまた予測困難です。そこで、これらの状況を見越した事前の対策を実施することはもちろん、いったん事が起きた際にも混乱することなく適切に対応するためには、あらかじめ取り決めておいた緊急時の対応計画（コンティンジェンシープラン）と、これに基づく日ごろの訓練が必要になります。先に述べた米国や英国のテロの事例では、現地金融機関や我が国の金融機関の支店などがあらかじめ定められたコンティンジェンシープランに従って、大きな混乱を来すことなく整然と対応したと言われており、その有効性をうかがい知ることができます。大規模な災害が起きたときも、影響を最小限に限定する措置だけでなく、こうした緊急時対応計画の策定と訓練が非常に重要ではないかと思います。

ページの先頭へ

金融機関にとって、緊急時にサービスを継続するためには、情報システムの維持がきわめて重要になります。いうまでもなく全ての産業分野において、情報システムは重要な役割を担っていますが、とりわけ金融機関のサービスは情報システムに強く依存しており、情報システムが停止した瞬間から平常業務を実施することが不可能になってしまいます。ATMを使った入出金は、多くの方にとって銀行のサービスの中でも最も馴染みのあるサービスの1つだと思いますが、このサービスを実現しているのは勘定系システムといわれる情報システムです。このシステムでは、預金口座の残高や取引の履歴を大型コンピュータのデータベースで集中して管理しています。このデータベースを元帳といっていますが、銀行にとって一番重要な情報といってよいでしょう。したがって、何らかの原因で勘定系システムが停止してしまうと、その瞬間からATMでお金のやり取りができなくなるわけです。

また、ATMサービスを提供するような情報システムは、ネットワークを経由して他の金融機関とも接続されています。ですから、ある金融機関の情報システムの事故が、別の金融機関の業務にも影響を与える危険性もあるということになります。そこで、金融サービスにおける情報システムの安全対策というのが非常に重要になるわけです。

そのため、金融機関の基幹システムを収容するコンピュータセンターは、通常の場合、地盤が強固な場所に十分な強度を持たせた専用の建物にするといったことが行われています。また、元帳については、例えば内容を磁気テープなどにコピーして、遠隔地に保管するという措置がとられています。保管場所は、同一の地震などで被災することを考えるとできるだけ遠隔地に設けることが望ましいのですが、あまり離れ過ぎると緊急時に利用するのが困難になりますので、緊急時の交通手段や対応できる体制を考慮する必要があります。それぞれの金融機関では、バックアップセンターまでどういうルートがあって、その間に橋があるのかというようなことも考慮しているようです。それから、商用電源が途絶した場合はどうするかということもありますが、これはほぼ100%の金融機関で自家発電の設備をコンピュータシステムセンターに設置している状況にあります。なお、通信回線については、通常は専用線でコンピュータセンターと営業店を結んでいますが、バックアップ用の回線としてISDNなどを使って緊急時に通信を確保しているほか、特に重要な回線については別ルートを使って回線を確保するという措置もとられています。

ただ、こうした情報システムの安全対策をバランスよく実施するには、広範な検討が必要になります。情報システムの安全対策というのは、一義的には個別の金融機関の自己責任で実施されるべきなのですが、それなりにコストが必要となりますし、効果を客観的に評価するのが困難なこともあって、どのレベルまで対策を実施するかが判断しがたい問題となります。そこで、金融業界の標準としての安全対策基準（金融機関等コンピュータシステムの安全対策基準／FISC安全対策基準）が策定されました。この安全対策基準は、金融情報システムセンター（FISC）を中心に学識者や金融機関・コンピュータメーカーの有識者により、時々の課題や関連法規の変更などに対応して随時改定されてきています。

ページの先頭へ

金融機関では情報システムの安全対策を実施することで事故や災害に備えていますが、金融機関の業務を阻害するリスクの中には、大規模な自然災害やテロなどのように事前の予測や対策が困難な事態もあります。また、災害に備えて対策をとったとしても、それを上回る規模の災害が発生する可能性もあります。

私どもで行った調査によると、約95%の金融機関では、このような事態が実際に発生して通常の業務遂行が困難になった場合を想定して緊急時対応計画を策定しています。対象とするリスクに、約9割の金融機関がコンピュータシステム停止と自然災害を挙げていますから、特に地震に対するリスクは重大な問題だと思っているのではないかと思います。こうしたことから、現状では情報システムのバックアップサイトを過半数の金融機関が保有するようになっていますが、最近では合併によって余ったコンピュータ施設の1つをこうした目的に利用するといったことも行われているようです。

金融機関の緊急時対応計画には何が記載されているかというと、大きく分けて初期対応、暫定対応、本格復旧対応に分かれます。初期対応では、お客様や職員の安全確保が最優先されますから、非難ルートや安否確認方法の確認、緊急連絡体制や職員の招集基準の整備などを事前に準備しておくことになります。

次に暫定対応として、コンピュータシステムが停止したという前提で、手作業によるサービスの提供を考えることになります。そうすると、まずは優先して復旧すべき業務を選定することが必要になります。一般に銀行のサービスで見ますと、預金の受け払いが優先される業務と認識されていますから、コンピュータシステムがない状態で預金者の本人確認や取引の記録方法などを事前に決めておくことが求められます。

最後に本格復旧となりますが、コンピュータシステムや他の設備を復旧するために、代替機器の調達や修理の依頼先を事前に確認しておく。また、暫定措置として手作業で行った取引を情報システムに入力し、元帳に反映させる手続を定めておくといったことが挙げられます。これらに共通するのは、緊急時の役割や連絡体制の整備が非常に重要だということです。その中には、緊急事態の発生を宣言することも重要な役割として含まれます。また、今までの地震などで金融機関が行った対応状況を調べて、マニュアルの内容を随時アップデートするようにしています。

こうした緊急時対応計画というのは、金融機関だけでなく、政府機関であってももちろん非常に重要ではないかと思います。首都機能を維持するためにもこうした対策が既にとられているかとは思いますが、緊急時対応計画は一度策定したら終わりというわけにはいきません。1回で全部を網羅した完璧なものにするのはなかなか大変ですから、検討を続けて常に見直しをしていくということが大切ではないでしょうか。

ページの先頭へ

実際に阪神・淡路大震災のとき、金融機関の対応はどうだったかというと、大手金融機関ではだいたい東京か大阪にコンピュータセンターがあるので、被災してシステムが止まったということはなかったかと思います。一方、地元の金融機関では、コンピュータシステムが被災した例があります。ただ、このときは、コンピュータメーカーが全面的にサポートしまして、1週間前後でコンピュータシステムが立ち上がったと聞いています。その先の支店となりますと建物が破壊されたところもありますし、通信回線がつながらないところもあったでしょうから、全面的な復旧というわけではないにしても、コンピュータ機器がひっくり返った状態からオンラインサービスの提供まで1週間前後で立て直したということです。これは、コンピュータセンターの建物事態が倒壊しなかったことが大きかったと思います。建物が倒壊していたら、とても1週間では復旧しません。それから、短期間で復旧が可能だったのは、首都圏からコンピュータメーカーがどんどんサポートに行っていたからで、マンパワーの問題も大きかったようです。そういうことからすると、もし首都圏が被災した場合は、神戸ほど簡単にはいかないのではないかという気がします。

それで、大手金融機関などでは多摩の丘陵地帯や千葉ニュータウンなどにもコンピュータセンターを置くようにしたり、都心とは別の場所にバックアップのサイトを設けることで対応を考えているところもあります。バックアップの設備を持つのはコスト的にもかなりかかりますので全ての金融機関が対応できるわけではありませんが、全国をカバーする金融機関では、コンピュータシステムを東京と大阪の両方において、ほぼリアルタイムで元帳を更新しているところが多くなってきています。

それから、緊急時対応計画を有効にするためには、全社的に取り組む必要がありますから、経営層が強く関与して一貫した考えで作成されることが求められます。現に、7割以上の金融機関では、緊急時対応計画の内容が取締役会の承認事項になっています。これは、金融機関だけではなく、首都機能にあたる政府機関でもあてはまるのではないかと思います。その上で、優先する業務はどんなもので、そのために何をすべきかを分析するということになるのではないでしょうか。

ページの先頭へ

金融機関では以上のような緊急時のサービス継続・復旧の取組みを行っているのですが、こうした視点から首都機能の危機管理についても検討していただきたいことがいくつかございます。

まず、地震などの災害に遭遇した場合、安全な行動や避難には的確な情報の提供が必要になります。特に地震を想定した場合、緊急時対応計画でいうところの初期対応時に避難するのか、その場に留まるべきかという判断には、周辺被害の情報が不可欠です。緊急時に被害状況を速やか、かつ広範に収集することは個人や企業ではとてもできません。例えば、状況から被害状況を広範に把握するといったことや、交通機関などの社会インフラの稼動状況が一元的に把握できる機能があると非常に有益ではないかと思います。

また、大規模地震が首都圏で発生した場合、政府や自治体には速やかな復旧支援を期待しますが、現実には個人や企業による一定期間の自助努力が不可欠となります。ですから、個人や企業に期待されることは何なのかについて、わかりやすくアナウンスしていく必要があるのではないかと思います。そうすると、個人や企業でも、緊急時対応計画を見直すときに反映できることもでてくるのではないかと考えます。

最後に、首都機能が損なわれた場合には、暫定的に指揮をとる場所と機能の確保ということが、これから重要になってくるのではないかと思います。金融機関の中でも、特に全国にサービスを展開している金融機関ですと、地震などにより東京の本社やコンピュータセンターの機能が失われたときに、大阪に代替の場所を準備しているところもあります。頭取は1人しかいませんので両方にいるわけにいきませんが、金融機関によっては、いざというときにかなりのスキルが必要になることもありますので、継続的に東京と大阪の間で人の交流をさせているところもあるようです。

こうしたことからすると、我が国の首都機能についても、大規模な地震などにより東京がかなりのダメージを受けた場合にどういう対策をとるのかを検討しておく必要があるのだろうと思います。緊急時対応として首都圏の機能が失われた場合を想定し、バックアップの機能を持つ代替の首都機能について検討することも、サービス継続を考えたときには重要になるのではないでしょうか。

ページの先頭へ