図1●みずほ証券が12月8日に出した誤発注後の経緯
図1●みずほ証券が12月8日に出した誤発注後の経緯
[画像のクリックで拡大表示]
図2●誤データの入力を防げなかったシステムの甘さと、障害時にシステムを止める基準や手順の不備が問題を拡大した
図2●誤データの入力を防げなかったシステムの甘さと、障害時にシステムを止める基準や手順の不備が問題を拡大した
[画像のクリックで拡大表示]

12月8日に起きたみずほ証券の誤発注問題は、同社に約400億円の損失をもたらしただけでなく、市場の信頼をも揺るがした。東証の売買システムが抱える不具合はもとより、“誤り”が発生することを前提とした対策のお粗末な現状が浮き彫りになった。

 発端は、みずほ証券が12月8日、午前9時27分に出した誤発注だった。

 当日、東証マザーズに公募価格61万円で新規上場したジェイコム株は、初値が付くのを待っていた。そこに、みずほ証券の担当者が「1株61万円で売り」とすべきところを、「1円61万株で売り」と発注してしまった(図1[拡大表示])。

 これにより、ジェイコム株の初値が67万2000円に確定。同時に、売買価格の制限幅(上下10万円)が設定された。「1円」の誤発注は、下限価格57万2000円で取引する「みなし処理」に移行し、次々と売買が成立していく。

 誤りに気付いたみずほ証券は、自社端末から2回、東京証券取引所(東証)の端末から1回の合計3回、取り消し注文を出す。だが、東証の売買システムは取り消し注文を受け付けない。みずほ証券は9時37分、自ら47万株の買い注文を入れ株式の買い戻しに動いた。

 最終的に同日、ジェイコムの発行株式数1万4500株(市場流通株は3000株)を大幅に上回る70万株の取引が成立。これら70万株は、1株91万2000円で現金決済するという特例措置が採られ、みずほ証券は400億円もの損失を出すことになった。

 東証は、11月1日にも運用体制の不備から半日間、全銘柄の売買を停止させたばかり。金融庁は東証に業務改善命令を出し、2006年1月31日までに業務改善状況を報告するよう求めている。

東証の不具合は、バグの可能性大

 損害が拡大した原因としては、取り消し注文を受け付けなかった東証のシステム不具合が問題視されている。「新規上場株のみなし処理が発生し、かつ買い気配から一気に売り気配に変わる段階でのみ発生する不具合」だ。

 不具合の内容ついては、東証とシステムを開発した富士通のいずれもが「調査中」を理由に12月18日時点でも明らかにしていない。一部には“あいまい契約”に起因する仕様漏れを指摘する声もある。しかし、本誌の取材では、仕様漏れはなく、システムの注文取り消し処理部分にバグが存在した。

 通常、約定(取引の成立)処理の実行中(「対当中」)に出された取り消し注文は待ち行列に入り、対当中が解除されるとすぐに実行される。今回の条件下では、取り消し処理を待ち行列に入れずに、キャンセルしてしまっていた。

 同様のバグは、名古屋証券取引所(名証)のシステムにも存在することになる。東証のシステムをカスタマイズして使っている名証は12月13日、東証と同じ不具合が存在したと発表している。名証は、みなし処理時の挙動を検証していたが、「東証の不具合と同じ条件下でのテストが抜けていた」(名証関係者)という。東証でも、テストが不十分だった可能性が高い。

なぜ「誤データ」が入力されたのか

 しかし、大規模基幹系システムの開発に携わるソフト開発会社の社長は、「バグ問題以前に、『1円で61万株』といった誤データがシステムに入力されてしまうことが、そもそもおかしい。SEの“常識”が消えようとしている」と警鐘を鳴らす。

 みずほ証券の誤発注では、少なくとも2度の誤データ排除のチャンスがあった。一つは、みずほ証券が運用するシステムでのチェック。同社システムは誤入力を気付かせる警告を発していたが、誤入力した本人が警告を無視し、発注処理を続けている。

 法人市場に強いみずほ証券は、個人市場でも法人向け売買システムを利用している。別の大手証券会社のシステム担当幹部は、「法人の注文は、個人以上にスピードが命。チェックを減らしたりチューニングして、注文を早く出すことを競っている。みずほ証券は、スピード重視のあまりチェックが甘かったのではないか」と指摘する。

 この点について、みずほ証券は、「警告を発する条件は厳し目に設定してある」(広報室)とする。その一方で「そのため警告は珍しくはなく、慣れた担当者が警告を飛ばし発注してしまった可能性はある」(同)ことを認める。証券会社向けシステムを開発するITベンダーの幹部も、「証券会社全般で警告無視が常態化している」と明かす。

切り札「取引停止」も出さず

 2度目のチャンスは、みずほ証券が入力したデータを東証のシステムが受け付ける段階だ。現状、証券会社が運用するシステムと東証のシステムは専用線で直結されており、この段階でデータはチェックしていない。

 東証は、「誤入力は、証券会社側のシステムによるチェックと、警告発生時には発注者とは別の担当者が確認するといった運用とで排除するよう要請し、各社の運用体制を専任部隊が考査している」(東証・経営企画部)とする。しかし、証券会社側の運用現場で警告無視が常態化しているとすれば、東証が期待する運用体制は期待できない。

 さらに、先の開発会社社長は、「誤入力に気付けば、システムを止めて被害の拡大を防ぐことが最善策だ」と指摘する。今回は、最後の防波堤となる「ジェイコム株の売買停止」という切り札は、切られなかった。

 実は、みずほ証券の誤入力に対し東証は、「入力ミスではないか」と確認したり、取引停止を協議したりしていた。みずほ証券も東証に取り消し処理を依頼した。しかし、取り消しの協議中に、「みずほ証券から買い注文が入り誤発注が消えたため、取引を継続した」(東証・経営企画部)という。

過度のシステム依存は本質を見誤る

 誤入力から、みずほ証券の買い戻し注文までの時間は、わずかに10分。取引がどんどん成立していくこの間に、的確な判断を下すのは容易ではないだろう。だからこそ、誤入力を生まない仕組みが重要になる。その上で、障害時に業務を継続させるための手順や意思決定基準の明確化が不可欠だ。

 金融市場はもとより、ほとんどの業務はシステム抜きには成立しない。だが、過度にシステムに依存し、市場や業務そのものを停止させては本末転倒だ。その意味で今回の誤発注は、プログラム品質の向上だけでなく、データ発生現場の運用に即したシステムの設計や、利用者・運用者への教育の徹底など、システムを取り巻く環境を広く考慮することの重要性を示したと言える。

出典:日経コンピュータ 2005年12月26日号 15ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。