全銀ネット障害の｢周知｣は本当に十分だったのか。通信業界との｢3つの違い｣

先週発生した、全国銀行資金決済ネットワーク（全銀ネット）が運営する｢全国銀行データ通信システム｣（全銀システム）の障害は、金融インフラの歴史に刻まれる規模の大きな障害だった。12日に暫定的とはいえ復旧できたことに胸をなで下ろしたのは筆者だけはないだろう。

日頃、通信業界も取材をしている筆者としては、2022年7月に発生したKDDIの通信障害と、今回の全銀ネットの障害の広報体制のあり方が、通信業界とは｢大きな違い｣があるように感じている。

今回は、そうした障害における両社の対応の違いに注目して、問題提起してみたい。

もっと知る

【全銀ネット障害】その時システムでは何が起きたのか？ 暫定版PGで12日午前8時半に復旧（更新）

2022年のKDDI通信障害とはどんなものだったのか

2022年7月に発生したKDDIの通信障害は、全国規模のインフラ障害として記憶に新しい。

3日間にわたる通信障害によって最大で3000万人以上の通信に何らかの影響があったとされている。規模は異なるものの、同じく規制産業として日本を支えるインフラの大規模障害という共通点がある。

KDDIの通信障害は、午前1時35分という深夜に発生した。

通信各社とも、｢障害時の対策フローは決まっている｣ので、フローにもとづいて午前2時には対策本部が立ち上がった。障害発生から25分後ということになる。

通信障害によってKDDIの髙橋誠社長への連絡が遅れたというトラブルはあったものの、連絡がついた早朝以降は、社長自身が対策の陣頭指揮を執っていた。

監督官庁である総務省への報告は午前3時4分。規模の大きさから総務省の幹部が連絡要員としてKDDIに派遣される異例の事態となり、｢1時間に1回のユーザーへの報告｣、｢早期の会見｣を総務省から要請されたという。

結果として、髙橋社長が出席する記者会見は、障害発生翌日の7月3日午前となった。

ただ、通信業界では障害発生時は、｢復旧後に詳細を報告する説明会を開催する｣のが一般的だ。復旧作業中の会見は、当時異例だった。

KDDIの障害では、発生直後の7月2日の未明に第1報がKDDIのサイト上に掲載された。内部で総務省の指導が入ったのだろう。2日の12時以降は1時間ごとに報告が掲載（更新）された。

最終的に、KDDIの大規模障害は7月2日の発生から7月4日の公式の復旧宣言まで、実に86時間という長期に及ぶものとなった。

全銀システムの障害を整理

一方の全銀システムの障害のあらましは、筆者の記事｢【全銀ネット障害】その時システムでは何が起きたのか？ ｣にまとめた通りだ。

ごく簡単に言えば、中継コンピューター（RCと呼んでいる）の交換作業を実施したところ、ソフトウェアの不具合から障害が発生した。

平日は夜間しか修正作業ができないという金融システム特有の制約のなかで、発生当日夜に実施した｢2回にわたる復旧試験｣が失敗。結果、翌日夜に｢処理を簡易化する暫定プログラムで動かす｣という“力わざ対応”で復旧させた形だ。期間にしてほぼ丸2日、48時間に及ぶ障害となった。

事態を重く見た金融庁は、復旧翌日の10月13日午後に不具合の原因分析や再発防止策などの報告を求める｢報告徴求命令｣を出した。

通信業界と金融業界の｢報告・連絡体制｣3つの違いとは

前置きが長くなったが、全銀ネット障害とKDDI障害とでは、取材者目線でみると、外部への報告・連絡体制の点で大きな違いがある。主に3つのポイントがある。

1. ｢障害発生・対応の時系列の整理｣が現時点でもない

全銀ネットが障害を把握してから、どういった体制で、どのような復旧策を進めていたのか —— 実は原稿執筆時点の10月15日でも詳細な経緯は明らかになっていない。例えば、時系列の｢経緯報告資料｣のようなものの公式発表がないのだ。

通信業界の場合、このあたりの情報発信は過剰なほどの厳しさがある。

KDDIの障害時を例にすると、障害発生翌日午前の7月3日の会見時点で、障害発生から作業の状況も時系列で整理し、報道陣に説明していた。

一方、全銀ネット側は10月13日時点でも｢これからまとめる｣と回答するのみだった。全銀ネットによると、報告徴求命令にもとづく金融庁への報告予定は1カ月以上先の｢11月末まで｣とする。

2. ｢記者会見｣までのスピードの違い

｢障害発生｣の第1報が全銀ネットのWebサイトに掲載されたのは、障害発生から約3時間後の10日の11時過ぎ。その後、障害が回復するまでの48時間の間に掲載した｢お知らせ｣は4回だった。

通信業界の取材も多い筆者としては、全銀ネット幹部が状況を公式に説明する、実質的な｢記者会見｣までに、時間がかかっていることも気になった。

記者会見を｢実質的な｣としたのは、記者向けに実施した2回のコミュニケーション（発生当日の10日夕方と、翌日の11日夕方）のどちらもが、当初はいわゆる記者クラブ向けの記者レク（報道関係者に対して、理解を深めてもらうための説明会で、会見とは別の扱い）だったためだ。

障害発生2日目（11日）夜の記者レクについては、さすがに問い合わせが多かったようで、記者クラブ以外の報道関係者も参加できるようになった（筆者も参加した）。

記者レクは通常、それ自体を報道することは少ないが、どうやらテレビ局などが内容を動画配信するために要望を入れたようで、急きょ｢会見｣という扱いに変更した経緯がある。

実質的な記者会見になった2回目の｢記者レク｣は、全銀ネット側の準備不足を感じる内容だった感は否めない。

例えば、影響件数を示す説明資料が会見中盤までなく｢口頭報告｣だったため、報道各社の質問が数十分にわたって数字の意味あいの確認に集中するような状況もあった。

下記の通り、金融庁への報告様式は定まっている。報告様式に基づく情報を速報版として、あらかじめ資料として用意しておくだけでもよかったのではないか。

全銀ネット側の視点でみれば、実際の顧客に相当するのは、銀行などの｢金融機関｣だ。

その先に各銀行が、顧客である｢一般、法人の利用者｣を抱えている。つまり、利用者に直接、対峙するのは銀行などの金融機関側で、全銀ネットはそのための適切な報告が求められた。

全銀ネットは会見で、｢加盟銀行に等しく届けるという発想で、システム的な諸連絡で等しく同時並行で連絡していた｣と回答していた。しかし、金融機関側の情報更新の頻度や内容、障害当日の振込受付などの対応はまちまちで、そのために混乱が広がった側面は否定できない。

3. 通信業界の厳しい｢周知ガイドライン｣との違い

KDDIは、障害発生翌日の説明会という点で対応遅れが批判されたほか、総務省からは1時間ごとに現状報告を自社Webサイトに掲載することが求められた。

一方、金融業界では2021年のみずほ銀行、2023年の全銀システムと、大規模障害が比較的短期間で続いている。金融庁への取材では、下記の総務省ほどの細かなガイドラインはない、という言質を得ている。つまり、通信業界ほどの障害時の周知・広報対応は求められていないということだ。

総務省のガイドラインとは次のようなものだ。

KDDIの障害を受けて総務省では｢電気通信サービスにおける 障害発生時の周知・広報に関する ガイドライン｣を策定した。

12項目にわたる周知・広報事項に加え、初報を｢原則30分以内｣と定め、初報は自社サイトの分かりやすい位置に分かりやすい大きさで掲示し、｢少なくとも1時間ごとを目安に情報を更新する｣と定められた。

もっとも、｢初報30分以内｣の原則や1時間ごとの情報更新は、記者の間でも本当に意味があるのか疑問との声もある。ただ、目安が具体的に示されたことで、情報更新のタイミングが分かり、タイムリーに情報が確認できるというメリットはあるだろう。

金融機関向けには金融庁から監督指針が出されており、例えば｢コンピューターシステムに障害等が発生した場合｣という報告様式も定められている。こうした指針にもとづき金融機関などに対しては、障害発生を検知したら金融庁へ報告するよう、あらかじめ命令が出されている。

今回の全銀ネットも、これに従って当初から金融庁に報告。金融庁は状況を確認しつつ、対応してきた形だ。

ただ、総務省とは違い、職員の派遣などはしていない。みずほ銀行が2021年に引き起こした一連の障害もおおむね同様の対応をしている。

もっと知る

“騒動”続きのスポーツ界に見る、組織の｢謝罪｣はなぜ失敗するか？