[オピニオン from CIO賢人倶楽部]

2022年1月11日(火)CIO賢人倶楽部

リスト

ATMはこのように動作する

　少し前の話になりますが、みずほ銀行におけるシステム障害が度々報道され、高い関心を集めました。ATM（現金自動預払機）は障害が発生すると、基本的にはカードや通帳などを返却する設計になっています。しかし取引途中で障害が発生した場合には、それらを取り込むこともあります。みずほのケースでは後者の状況になり、批判を浴びました。この件について説明しながら、表題について考えてみましょう。

　ATMからの現金引き出しを例にしましょう。銀行カードには預金残高やパスワードは記録されていません。ですからATMの最初の処理はカードを読み取り、物理的にどの銀行のカードかを判別し、利用者に取引を選んでいただき、さらにパスワードを入力していただくまでです。この時点で問題があればカードは返却されます。

　次に、入力されたパスワードとカードから読み取った銀行コードや店番、口座番号が正しいことを基幹系（勘定系）システムに照会し、確認します。NOが返ってくればカードを返却します。暗証番号の間違いが連続して一定数を超えた場合の処理は、銀行によってさまざまです。カードを取り込んで窓口へ誘導する／基幹系側で暗証番号を無効としカードを使用不可にして返却する、といったケースがあります。

　次に引き出したい金額、お札の種類などを入力していただき、基幹系システムに送ります。基幹系システムは支払い可能な残高があることを確認し、取引の記帳を行ってATMに対して処理の続行を指示します。処理続行の指示が来ると、ATMは先に入力された金種内訳に従って現金を用意して受け取り口に搬送し、レシートを印刷し、カードを返却します。

　しかし、基幹系システムから一定時間内に返答がなかったり、通信のセッションが切れたりと、処理続行の指示を受け取れなかった場合、ATMは取引を中止して停止します。この時、ATM側では基幹系システム側で取引がどこまで進んでいるかわかりません。カードを返却するのか、取り込んで人的対応を求めるのかも、銀行ごとの考え方でさまざまです。不完全な結果を中途半端に残さないようにするため、人的な確認が必要になることが多いからです。

　これ以外にもATMが機械としてのトラブルを起こすなど、結果として人的対応が必要なケースは存在します。システムは障害を起こしますし、そんな状態でもATMはカードを取り込むことがあるのです。そこで、障害が起きた時、銀行はどう動くのか、お客様への影響を最小にするにはどのようにするのか。こうした対応は基幹系を内製化できているかによって、大きな違いがあると思います。

システムで動いている以上、ATMは止まるものである。銀行にとって重要なのは障害発生時にどう動くかである

IT部門の責任者として全面障害を2回経験

　私はIT部門の責任者として、銀行の基幹系システムの全面障害を2回経験しました。一度目は給料日が集中する25日のお昼時に約1時間、2度目は日曜日の日中約8時間です。営業店システム、ATM、インターネットバンキング、オープンAPIなどチャネルの障害であれば基幹系が生きていますから、お客様には別のチャネルをご利用いただくよう誘導するなどの対応が可能です。

　しかし基幹系の全面障害では、すべての取引ができません。そんな時にはどうするか？ システム部門では障害箇所の特定と問題判別を行うためのメンバーを集め、初動対応のための手順に従って活動を開始します。同時に、代表取締役を長とし、銀行のすべての部門で構成する緊急事態対策委員会を招集して営業の状況、店頭の状態を把握します。

　システム部門から全面障害であると伝えられると、対策委員会は現場での人的対応の要否を判断し、休日の場合、例えば定めてある危機対応を担う職員の出勤を全営業店に指示します。本部対策要員も営業現場もすべき業務はマニュアル化されていますが、個々に判断する必要のあることは当然に多く、システムの復旧から営業現場のお客様の対応終了まで、各部門が連携して対応します。

　日曜日の日中のケースでは、障害発生から最初のシステム部門の初動まで20分程度、システム部門の対策委員会の設置まで40分。全部門の非常事態対策委員会の招集はシステム部門のそれの設置とほぼ同じタイミングで行い、その後30分程度で主要な委員会メンバーが参集しました。当行の組織がメガバンクに比べて非常に小さいのと、地方の特性で職場までの時間距離が短いことに助けられましたが、しかし障害時の参集訓練を定期的に行うなどの準備もしています。

●Next：内製化できる体制がピンチを救う