English
令和３年11月26日
金融庁

みずほ銀行及びみずほフィナンシャルグループに対する
行政処分について

金融庁は、本日、株式会社みずほ銀行（以下「当行」という。法人番号6010001008845。）及び株式会社みずほフィナンシャルグループ（以下「当社」という。法人番号9010001081419。）に対し、以下の通り業務改善命令を発出した。

Ⅰ．業務改善命令の内容

【みずほ銀行】（銀行法第26条第１項）

当行が策定したシステム障害に係る再発防止策を速やかに実行すること。
以下の内容について、業務改善計画を策定し、速やかに実行すること。また、当該業務改善計画について継続的に再検証及び見直しを実施すること。

（１）システム障害に係る再発防止策について、再検証及び見直しを実施し、その上で必要な措置を盛り込んだ再発防止策

（２）システムの安定稼働等に必要となる経営管理（ガバナンス）態勢の整備に係る具体的な取組み

（３）Ⅱ．９．に記載するシステム障害の真因を踏まえた業務の改善に係る具体的な取組み

システム障害の発生原因等を踏まえた経営責任の明確化について報告すること。
上記２．の業務改善計画及び３．の報告について、令和４年１月17日（月）までに、令和３年12月末時点における１．の再発防止策の実施状況とともに提出すること。
上記２．の業務改善計画の実施状況（業務改善計画の再検証及び見直しの結果を含む。）について、令和４年３月末の実施状況を初回として、以降、３ヶ月毎にとりまとめ、翌月15日までに報告すること。

【みずほフィナンシャルグループ】（銀行法第52条の33第１項）

当社が策定したシステム障害に係る再発防止策を速やかに実行すること。
　以下の内容について、銀行持株会社としての業務改善計画を策定（当行が策定する業務改善計画についての検証及び必要な見直しを含む。）し、速やかに実行すること。また、当該業務改善計画について継続的に再検証及び見直しを実施すること。

（１）システム障害に係る再発防止策について、再検証及び見直しを実施し、その上で必要な措置を盛り込んだ再発防止策

（２）システムの安定稼働等に必要となる経営管理（ガバナンス）態勢の整備に係る具体的な取組み

（３）Ⅱ．９．に記載するシステム障害の真因を踏まえた業務の改善に係る具体的な取組み

システム障害の発生原因等を踏まえた、当社における経営責任の明確化について報告すること。
上記２．の業務改善計画及び３．の報告について、令和４年１月17日（月）までに、令和３年12月末時点における１．の再発防止策の実施状況とともに提出すること。

上記２．の業務改善計画の実施状況（業務改善計画の再検証及び見直しの結果を含む。）について、令和４年３月末の実施状況を初回として、以降、３ヶ月毎にとりまとめ、翌月15日までに報告すること。

Ⅱ．処分の理由

　当庁検査並びに銀行法第24条第１項及び第52条の31第１項に基づく報告を踏まえ、銀行の業務の健全かつ適切な運営を確保するため、以下の理由の通り、本処分を踏まえた業務改善計画の検討、策定及び速やかな実行並びに経営責任の明確化等が必要であると認められる。

当行では、令和３年２月から９月にかけて、顧客に影響を及ぼすシステム障害を計８回発生させており、そのうち、２月28日の障害においては、システムに高い負荷がかかりやすい月末にデータ移行作業を実施することのリスクについて十分な検討を行わないまま作業を実施し、多数のATMが稼働停止する事態を招くとともに、ATMへの通帳やカード取込みを発生させ、多数の顧客にその場での待機を余儀なくさせる事態を生じさせた。また、８月20日の障害においては、全営業部店で一定時間店頭取引が行えない事態を招いた。
　さらに、９月30日の障害における復旧対応においては、資産凍結等経済制裁措置に関する法令及び「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」の遵守態勢に係る問題も認められた。

当行及び当行の親会社である当社は、このように短期間に複数のシステム障害を発生させたことにより、個人・法人の顧客に重大な影響を及ぼし、社会インフラの一翼を担う金融機関としての役割を十分に果たせなかったのみならず、日本の決済システムに対する信頼性を損ねたと考えられ、関係する当行及び当社の経営陣の責任は重大である。
　今回の一連のシステム障害が発生した直接の原因は、当行において、

開発や障害対応における品質を確保するための検証が不足していること、
保守・運用に係る問題点を是正しておらず、委託先への管理を十分に行っていないなど、当行の新基幹システム（以下「MINORI」という。）を安定稼働させるための保守管理態勢を整備していないこと、
危機対応に係る態勢整備の状況について、訓練や研修などを通じて十分に検証していないこと

にあると認められる。

このような原因の背景には、当行及び当社の執行部門が、IT現場の実態を十分に把握・理解しないまま、MINORIが安定稼働していると誤認し、障害発生時も影響範囲が局所的になりやすいというMINORIの特性を過信したことから、システムの安定稼働に必要な事項（有事を想定した被害の極小化に必要な取組みを含む。）を十分に洗い出さずに、MINORIを開発フェーズから保守・運用フェーズへ態勢を移行させた上、MINORIの保守・運用に必要な人員の配置転換や維持メンテナンス経費の削減等の構造改革を推進したことが認められる。
　また、当行の執行責任者は、MINORIは安定稼働していると誤認して、システムリスク管理態勢の実態を把握しないまま、人員の再配置、ベンダーからの業務の引継ぎを行ったことが認められる。
　これらの結果、MINORI等の運営態勢を弱体化させているものと認められる。

こうした対応が、令和３年２月から９月に発生した一連のシステム障害において認められた、障害の予兆管理や障害からの復旧に係る対応力といった、IT現場における業務対応力の脆弱化を招く一因となったものと認められる。

当行の取締役会は、障害分析や予兆管理の状況、障害に係る訓練の実態、IT人材の適正配置の状況などを継続的に報告させるといった、有効な牽制機能が働くシステムリスク管理態勢を整備していなかったことから、複雑なMINORI等の運用管理に係る脆弱な実態を把握しておらず、執行責任者に対し、適切な指示等を行える態勢となっていない。
銀行持株会社である当社においては、当行を適切に経営管理していく必要があったが、当社自身に以下のガバナンス上の問題点が認められる。

業務執行を担う経営陣が、適切な資源配分を目指すという構造改革の真意を当社及び当行職員に浸透させられないまま構造改革を推進した結果、コストの最適化が強調され、IT現場の声を十分に拾いきれないまま、MINORIを安定稼働させるための人材の配置転換や維持メンテナンス費用の削減が実施されたという問題
取締役会において、構造改革に伴うシステムリスクに係る人員削減計画と業務量の状況について、十分に審議を行っていないという問題
執行責任者が、過去のシステム障害等も踏まえた危機管理を含む高度な専門性が求められるCIOの人選や候補者育成の指針となる人材像を明示的なものとして策定していなかったという問題。また、取締役会は、グループCEOや主要経営陣の候補者の人材像について十分な議論を行っていないという問題
リスク委員会が、トップリスク運営の導入に当たり「大規模なシステム障害」を選定し、選定したトップリスクに対するアクションの策定等が重要であることを提言したにもかかわらず、当社の執行部門において十分な対応がなされず、また、リスク委員会によるフォローもされていないという問題
監査委員会が、重点監査テーマとして「IT関連ガバナンス態勢」を設定したにもかかわらず、当社内部監査グループから改善提言無しとの報告を受けた際に、経営資源配分の適切性について調査・報告を求めるなど、具体的な指示を行っていないという問題

なお、当行及び当社は、令和３年２月及び３月に発生したシステム障害を受け、抜本的な再発防止に組織全体として取り組むとして、６月15日に再発防止策を公表しているが、８月及び９月にも４回のシステム障害を発生させ、これらの障害の発生原因の一部は当該再発防止策の点検範囲に含まれていなかったことなどを踏まえれば、当該再発防止策は限定的なものに留まっていた。

当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。

（１）システムに係るリスクと専門性の軽視

（２）IT現場の実態軽視

（３）顧客影響に対する感度の欠如、営業現場の実態軽視

（４）言うべきことを言わない、言われたことだけしかしない姿勢

これらの真因の多くは、当行において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。

したがって、当行及び当社においては、

（１）システム障害に係る再発防止策（MINORI等の安定稼働に必要となるシステムリスク管理態勢の整備、システム障害が発生した場合であっても顧客影響を極小化するための対策を含み、さらに当社にあっては適切な資源配分に係る改善策を含む。）、

（２）システムの安定稼働等に必要となる経営管理（ガバナンス）態勢の整備に係る具体的な取組み、

（３）一連のシステム障害の真因として挙げたシステムに係るリスクと専門性の軽視、IT現場の実態軽視、顧客影響に対する感度の欠如や営業現場の実態軽視、言うべきことを言わない、言われたことだけしかしない姿勢といった企業風土を改め、各々の役職員が顧客影響に対する感度を高めていくなど、組織的行動力を強化し、行動様式を変革していくための具体的な取組み

に係る業務改善計画を策定（当社にあっては当行が策定する業務改善計画についての検証及び必要な見直しを含む。）し、これを速やかに実行するとともに、当該業務改善計画について継続的に再検証及び見直しを実施していく必要がある。

お問い合わせ先

金融庁　監督局　銀行第一課

Tel　03-3506-6000（代表）（内線3444、3328）

サイトマップ

金融庁についてページ一覧を開きます: 大臣・副大臣・政務官; 金融庁の概要; 金融庁の改革; 所管の法人; 予算・決算; 採用情報
報道・広報ページ一覧を開きます: 報道発表資料; 記者会見; 談話等; アクセスＦＳＡ（金融庁広報誌）; フォトギャラリー; 講演等; 白書・年次報告; 利用者の方へ; 業界団体との意見交換会において金融庁が提起した主な論点; その他広報
政策・審議会等ページ一覧を開きます: 政策; 審議会・研究会等; 金融研究センター
法令・指針等ページ一覧を開きます: 法令等; 金融関連法等の英訳; 金融検査・監督基本方針関係; 監督指針・事務ガイドライン; Ｑ＆Ａ; 金融上の行政処分等
金融機関情報ページ一覧を開きます: 全金融機関共通; 銀行等預金取扱機関; 保険会社関連; 金融会社関連; 店頭デリバティブ取引規制関連; 日本版スチュワードシップ・コード関連
国際関係情報ページ一覧を開きます: 国際関係事務の基本的な方針等; グローバル金融連携センター（GLOPAC）; 職員による英文講演; 職員が務めた国際会議議長等; 日本にある金融関係国際機関; 金融安定理事会（FSB）; バーゼル銀行監督委員会（BCBS）; 証券監督者国際機構（IOSCO）; 保険監督者国際機構（IAIS）; その他
アクセスＦＳＡ（金融庁広報誌）ページ一覧を開きます: 令和4事務年度（第227号～第238号）; 令和3事務年度（第216号～第226号）; 令和2事務年度（第204号～第215号）

みずほ銀行及びみずほフィナンシャルグループに対する 行政処分について

Ⅰ．業務改善命令の内容

Ⅱ．処分の理由

サイトマップ

みずほ銀行及びみずほフィナンシャルグループに対する
行政処分について