失敗百選 〜東証の株式売買システムが稼動せず〜
失敗百選 〜東証の株式売買システムが稼動せず〜
【事例発生日付】1997年8月1日【事例発生場所】東京都中央区 【事例概要】 東京証券取引所でコンピューターによる株式売買システムが稼働せず。午前中の取引を中止した。 売買システムのプログラムのバグが直接原因であった。 【事象】 東京証券取引所でコンピューターによる株式売買システムが稼働せず。午前中の取引を中止した。 |
|
【経過】 6:50、東京証券取引所で株式売買システム立ち上げ、正常に作動していた。 8:20、証券会社からの売買注文受付を開始、システムは正常に機能し、1秒あたり100万回 以上の「付き合わせ」計算処理開始。外国株の値幅制限値設定。 8:21、売りと買いの注文を付き合わせるシステム(TRS)が、停止。直後、 ホストコンピュータが停止した。 8:22、バックアップ用の予備機に自動的に切り替わったが、直後、予備機も停止。 復旧処理を行なうが失敗。 東証では、売買高が大きい150銘柄は立会場で人が手の合図で直接取引しており、別のシステムを採用しているため、 通常通りの取引が行われた。 これら「立会場銘柄」を除く上場1,702銘柄(第1部の約9割に当たる1,150銘柄と第2部の488銘柄、外国株64銘柄) の取引が停止。取引停止にからむ転換社債724銘柄、ワラント債2銘柄や個別株式オプション取引(7月18日開始) 4銘柄なども停止。 8:55、注文受付の停止を証券会社に通知、午前中のシステム取引を正式に停止。 9:20、コンピュータの電源を落とし、システムを再起動。 このため、取引開始前に受け付けた売買注文が抹消されてしまった。 10:30、正常な売買システムの稼働を確認。 証券会社の店頭では顧客からの注文を受けられず、問い合わせが殺到。取引停止銘柄の取引は全体の出来高の約半分を占めており、前場の出来高はこのところの半分強の水準の1億2,300万株だった。 11:00、午前の取引終了、日経平均株価の終値は前日比35円61銭高の2万367円4銭。 11:30、午後の取引に備え通常より35分早く注文受付開始。 12:15、東証がシステム売買再開を発表。 12:30、後場の取引再開。売買システム稼動。直後から日経平均株価が急落。 14:30すぎ、先物相場が急落、現物株市場で裁定取引解消売りが増える。 15:00、午後の取引終了、日経平均株価終値は前日比527円5銭安の1万9804円38銭。 17:30、故障原因調査の中間報告実施。 |
|
【原因】 1.システムのプログラムにバグがあった・・・・・不注意 売りと買いの注文を付き合わせるシステム(TRS)で、本来違う時間に行われる、外国株の1銘柄の注文受付と値幅制限 (基準価格帯)設定の2つの処理が偶然同時に実行され交錯したことが、トラブルの発端になった。 値幅制限を外れた注文は自動的に排除されることになっているが、そのための交錯防止プログラムにバグがあったため 起動せず、注文が消去されないままコンピュータが値幅制限内で取引成立のための処理を無限に繰り返す「ループ状態」に陥った。 値幅制限を外れた注文は自動的に排除されることになっているが、そのための交錯防止プログラムにバグがあったため起動せず、 注文が消去されないままコンピュータが値幅制限内で取引成立のための処理を無限に繰り返す「ループ状態」に陥った。 2.緊急システム用プログラム不良・・・・・仮想演習不足 この状態がホストコンピュータのOS上で行われていたうえ、システムに異常が生じたとき、取引停止などの措置を一部に とどめ他に波及させないようにする「局所化」プログラムが、プログラム作成時に今回のような事態を想定していなかっ たため作動せず、ホストコンピュータがこの異常をシステム全体の異常とみなして他のプログラムもすべて停止してしまった。 3.バックアップはソフト不具合に未対応・・・・・理解不足 バックアップ用の予備機に自動的に切り替わったが、バックアップ機はハードの故障に対応したもので、メーンと同じ場所に 置かれ、同じプログラムソフトで動くため、予備機も停止。 4.売買注文の抹消・・・・・状況変化時動作不良(ヒューマンエラー) コンピュータの電源を落とし、システムを再起動した。 このため、取引開始前に受け付けた売買注文が抹消されてしまった。 |
|
【対処】 東証売買システム・ソフトウェアの大半を請け負った日立製作所は、1日朝、東証からシステムダウンの連絡を受け、 原因を究明するために、40〜50人のシステムエンジニアを急きょ東証に派遣した。 事故当日17:30、東証の常務理事らが会見、停止原因を中間報告した。 |
|
【対策】 プログラムバグの修復。 |
|
【背景】 証券会社から送られてきた売買の注文は、システム売買か、取引所内の仲介人を通じて行なう立会場売買 の二通りの方法で行なわれる。このシステム売買は東証が1982年から導入しているもので、短期間で大量の売買注文に 対応できるのが最大の特長であった。 ロンドン、香港、シンガポールの取引所はすでにすべての取引がシステム売買で処理され、立会場はない。東証はビッ グバン(金融制度の抜本改革)に合わせた市場改革案で、大口売買を円滑に進めるために新たなコンピュータ・ネット ワークの開発に乗り出していた。 今後ますます、システム売買の比率は高まっていくのは疑問の余地がない。 また、大型コンピュータのみでなく、インターネットや電子商取引などで社会が急激に電脳化しているので、ネットワ ークの一部がパンクするだけで、混乱する脆弱性を持っている。故障を直ちにバックアップする体制が不可欠である。 |
| 【知識化】 @ 実績ある大型汎用コンピュータシステムでもダウンする。 A ハードおよびソフトではじめてバックアップシステムといえる。 B 非常時には、基本的な事項も忘れられてしまう。 C 不具合に対する手直しなしでもオペレーションが続けられる。 注文受付の処理とデータ入力のタイミングが合う確率は、天文学的に小さいとの ことだが、実際に再発したらどうなったのか。この事実を知っておくことが大切 である。 |
|
【総括】 ダウンした株式売買システムは、コンピュータの中でも最も信頼性の高い大型汎用機システムであった。 それがダウンしたのだから、情報システムの世界では故障ゼロや完璧なセキュリティはあり得ないということを改めて 感じた。(北条日本IBM社長談)のように、絶対に不具合が発生しないことはあり得ない。また、本事例のように、 偶然の組み合わせによる不具合の発生は、入念 なテストを繰り返しても、困難と思われる(といってもあきらめることは出来ないが)。そこで不具合があったときに、その 被害を如何に最小に留めるかということが、非常に大切である。株取引などは人間の心理状態が大きく左右されることから、 的確で迅速な情報提供が不可欠といえる。また、売買注文を取り消すといった株式取引では考えられないヒューマンエラーも 引き起こしている点に着目したい。 また、本事例では、システムを構築した日立製作所に対する損害賠償請求や、東証関 係者の責任問題も話題になったが、このリスクは常に抱えているシステムといえる。 以上 |