高度ネットワーク社会の脆弱性
−大阪NTT回線事故(1998.10.28)の社会的影響に関する調査研究−
Vulnerability of the Advanced Network Society:
A Study of the Social Impact of 1998.10.28 Accident in the Osaka NTT Network

三上俊治 Shunji Mikami 中村 功 Isao Nakamura
福田 充 Mitsuru Fukuda 廣井 脩 Osamu Hiroi

目 次

1.序 論

1.1 研究の目的・概要
1.2 NTT回線事故の概要
2.航空管制
3.金融関係
3.1 銀 行
3.2 大阪証券取引所
4.警察、消防
4.1 警 察
4.2 消 防
5.その他
5.1 NTTドコモ関西
5.2 関西スーパー
6.まとめ
6.1 被害の大きさを規定する要因
6.2 システム障害の大きさを規定する要因

研究者氏名(所属)および執筆分担:
三上俊治(東洋大学・東京大学社会情報研究所客員研究員) 1.1 , 3.1.1 , 4.1 , 6.1
中村 功(松山大学) 2 , 3.1.2 , 3.2 , 5 , 6.2
福田 充(東京大学大学院・日本学術振興会特別研究員)1.2, 3.1.3 , 4.2 ,
廣井 脩(東京大学社会情報研究所)
キーワード: ネットワーク社会、脆弱性、NTT、通信、社会的影響、災害研究
1.序 論

1.1 研究の目的、概要

(1)研究の目的

情報化社会といわれる今日、電話、通信、放送などの情報通信ネットワークはますます高度に発展しており、社会の隅々にまで浸透している。いまや、われわれの社会生活は情報通信ネットワークなしには成り立たないといってもいい程である。
社会が情報通信ネットワークへの依存を強めれば強めるほど、ひとたび情報通信ネットワークの基幹部分に大きな災害や事故などが起こると、それが社会に及ぼす影響も大きなものになる。それが「ネットワーク社会の脆弱性」と呼ばれる問題である。
こうした脆弱性を克服するための一つの対策として、実際に大きな事故、災害が起こったときに、その原因、被害と影響の実態、復旧と対策、問題点などを詳しく調査研究し、そこから教訓を引き出すとともに、災害や事故に強いネットワークシステムのあり方を考察することが要請されている。本研究の目的は、1998年10月28日にNTT東淀川中継局で起きた専用回線事故とその社会的影響について、現地での聞き取り調査、関連資料の分析を通じて、ネットワーク社会の脆弱性の問題を解明し、今後の対策への手がかりを探ることにある。

(2)研究の方法

本研究は、東京大学社会情報研究所で調査研究チームを編成して実施した。研究メンバーは、廣井、三上、中村、福田の4名である。研究方法としては、@事故関連文献資料の収集、A事故の当事者であるNTTをはじめ、事故により影響を受けた主要企業の担当責任者への聞き取り調査、という手法をとった。対象業種(機関)としては、今回の事故で比較的被害の大きかった、航空管制、銀行、証券会社、警察、消防、その他(携帯電話、スーパー)に限定して調査を実施した。回線事故の影響が一般市民レベルでは小規模にとどまったため、市民に対する聞き取りや意識調査などは実施せず、企業への聞き取り調査にとどめることにした。
聞き取り調査の対象業種および企業(機関)は、次の通りである。
@NTT‥‥日本電信電話株式会社災害対策部
A航空管制‥‥運輸省東京航空交通管制部、大阪航空局関西空港事務所
B金融‥‥三和銀行、住友銀行、大和銀行、大阪証券取引所
C警察‥‥警察庁大阪府警本部
D消防‥‥吹田市消防本部
Eその他‥‥NTTドコモ関西、関西スーパー

聞き取り調査に快くご協力いただいた関係者各位に、この場を借りて心から謝意を表します。

(3)先行研究

これまでに、ネットワークの脆弱性の問題を実証的に研究した事例としては、1984年11月の電電公社世田谷ケーブル火災による電話不通に関する調査研究、阪神淡路大震災における情報通信被害に関する調査研究などがある。このうち、本研究ともっとも関連の深い研究事例として、1984年に起きた世田谷ケーブル火災事故に関する調査研究を簡単に紹介しておきたい。詳しくは、電気通信総合研究所(1985)、未来工学研究所(1986)、世田谷区(1985)、東京電気通信局(1985年)などの報告書を参照いただきたい。
@世田谷ケーブル火災事故の概要
1984年11月16日(金)午前11時47分、世田谷電話局前の洞道(共同溝)内で火災が発生し、17時間にわたって燃え続け、洞道内のケーブルが大きな損傷を受けた。このため、世田谷電話局内の一般加入電話88,817回線、公衆電話1,377回線、専用・特定通信回線等3,000回線、データ通信設備サービス74回線などが不通となり、世田谷区と目黒区の一部では3日〜10日間にわたって、一般の電話やオンライン回線が使えない状態が続いた。
電電公社では事故発生直後に災害対策本部を設置し、衛星通信回線などを利用した応急仮設電話の設置や重要加入電話の復旧、隣接電話局の余裕回線の一時的利用、可搬型無線機によるオンライン回線の確保、臨時回線の敷設などの応急復旧対策をとりながら、本格復旧作業を進めた。その結果、警察、消防などの重要加入電話が17日に約8割回復した他、オンライン回線は19日までにほぼ復旧し、また一般加入電話も24日までにほぼ100%復旧するに至った。
Aケーブル火災による社会的影響
このケーブル火災で電話が不通になった地域には、銀行の事務センター、区役所、大学、病院など重要施設があり、社会経済活動や市民生活に多大の影響を及ぼした。
不通地域には、三菱銀行や大和銀行などの事務センターがあり、これらのセンターでは全国の本支店、出張所との間でオンラインによるデータ交換ができなくなった。このため、三菱銀行では一時全国243の営業店でオンライン業務がストップし、CD(現金自動支払機)やATM(現金自動預け払い機)が使用できなくなった。大和銀行でも、首都圏を中心に63店舗でのオンライン業務に支障をきたした。世田谷区内の企業や商店も、一般加入電話回線やデータ通信回線の不通によって、「注文や予約の受け付けができなくなる」「顧客や得意先との連絡ができなくなる」など深刻な影響を受けた。電話の不通は、ふだんの生活で電話に慣れ親しんでいる一般の人びとにも少なからぬ影響を与えた。各種調査によると、電話不通で一般市民がもっとも不安になったことは、第一に、「自宅や近所で火災や犯罪がおきた時に、消防署や警察に通報できないこと」であり、第二に急病人が出た時などに、病院や119番に連絡できないこと」であった。
B事故の教訓、事後対策
電気通信総合研究所の報告書では、ケーブル火災事故の教訓をもとに、今後取り組むべき課題を、コモンキャリア側、システムユーザー側、市民側の3つに分けて整理している。コモンキャリア側の課題としては、ケーブルの不燃化、システム設計の改善(ネットワーク信頼性の向上、二重ルート化など)、無線通信の活用、競争原理の導入などをあげている。システムユーザー側の課題としては、バックアップ体制の構築、リスク・マネジメントの確立、情報化保険の整備、冗長性の確保などがある。また、市民側の課題としては、パーソナルなコミュニケーションチャンネルの確保、日頃からの自衛措置、脆弱性と共存する知恵を身につける必要性などを指摘している。
以下では、今回のNTT回線事故の概要、事故による社会的影響、事故の教訓と今後の対策のあり方について、調査結果の報告と検討を行うことにしたい。

1.2 NTT回線事故の概要

1998年10月28日(水)午前10時7分、大阪を中心に日本電信電話(NTT)の専用回線がダウンし、関西各地の公共施設、企業などで電話が使えなくなるという事故が発生した。大阪府東淀川区にあるNTT東淀川ビル内の中継施設で専用線設備にトラブルが発生したのが原因で、関西地域の専用回線1万9千回線(うち専用線14,000回線、パケット5,000回線)が一時不通となり、3239社にのぼるユーザーが影響を受けた。そのユーザーには、多くの重要な公共施設も含まれ、関西空港、大阪空港といった空港施設(航空回線101回線に障害)、大阪府警、兵庫県警といった警察(113回線に障害)、大阪市消防局、吹田消防署などの消防(6回線に障害)から、大阪証券取引所、銀行、スーパーといった金融・流通系まで、広範囲に渡り専用回線が不通になり、都市のネットワーク機能が遮断されるという事態に陥った。例えば、関西空港では、航空管制が影響を受け、飛んでいる飛行機との連絡が一時とれなくなったため、航空便を減らす「間引き運用」がなされた。また、大阪府警では、110番が不通になり、住民からの110番通報が受けられない事態となった。吹田消防署でも119番が不通になるという事態が発生している。いずれも、110番、119番電話がすべて鳴りっぱなしになり、どれをとっても無音であるという「無音電話」の現象が発生した。さらに銀行では、オンラインのATM端末が停止して利用不能となった。このような現象が関西のさまざまな施設・企業で見られ、この混乱は約10時間後にNTTの回線設備が復旧するまで続いた。
事故の原因は、NTTの中継局であった東淀川ビル内の電源装置の故障であった。NTTの発表によれば、東淀川ビルにある「中継用専用装置」が故障したため、それと同一電源系統の他システム(「電話線加入者線試験装置」)のヒューズを抜いたところ、一部コンデンサが給電回路からはずれ、それにより故障した装置の給電回路が発振状態となり、装置内の電圧変動を引き起こした。電圧変動により中継用専用装置が電源スイッチのオン・オフを激しく繰り返したことにより、異常が発生し、装置内のメモリが破壊され、中継専用装置が停止したため、この中継局を経由していた専用回線が不通になった。電源装置の故障は初めてであり、電圧変動を想定したバックアップ体制はとっていなかったことが、今回の事故をもたらしたという。

図1 NTT東淀川ビル事故の発生原因(NTT資料)

このような事態に対し、新聞やテレビなどのマスコミは、この事故を大きく取り上げて報道した。「NTT回線に障害/空港・銀行など混乱/関西中心110番通報も不能に」(朝日新聞大阪版10月28日付夕刊1面)、「電子社会のもろさ/NTT専用回線故障/110番、各署に転送」(毎日新聞大阪版10月28日付夕刊3面)といったセンセーショナルな見出しが新聞に踊り、高度情報化社会、ネットワーク都市の「脆弱性」が指摘された。なぜ、NTT中継局で、また被害を受けた各施設でバックアップが働かなかったのか。なぜ、これほどまでに被害が広範囲に広がったのか。なぜ、完全な復旧まで約10時間もの時間が必要だったのか。そして、今回の事故の実態は、どのようなものであり、今後、どのような対策が必要なのだろうか。それらの疑問を明らかにするために、NTTをはじめとして、他に大きな被害を受けたユーザーを中心にヒアリング調査を行い、今回の専用回線事故がもたらしたものの全容を明らかにし、実際に彼らがどのような被害を受け、どのような対応をし、今後どのような対策をとろうとしているのか、具体的に考察を行うことにより、ネットワーク社会の頑健性を高めるための方策を探りたい。

2.航空管制

(1)システムの概要

航空交通管制業務は、管制する空域によって3種類に分かれている。すなわち、第一に飛行場内およびその周辺の低空領域の「飛行場管制」がある。この空域は「管制圏」とよばれおよそ半径9q、高さ900mまでの空域で、飛行場の管制塔から管制される。第二に、さらにその周辺の空域は「進入管制区」と呼ばれ、空港内のターミナル管制所により「ターミナル・レーダ管制」が行われる。第三に、巡航高度になるとそこは航空路になっており、その空域は「管制区」と呼ばれ、その管制は「航空路管制」である。管制区は全国に4つ(札幌、東京、福岡、那覇)ある航空交通管制部(ACC)によって管制される。今回障害を起こした近畿上空の航空路は所沢にある東京ACCで管制されている。そして全国の航空路の交通量を調整し、これらの管制をサポートするために航空交通路管理センターが福岡に置かれている。
飛行機の管制には様々な情報通信が必要であるが、基本的なものには@管制官とパイロット間の音声通信(RCAG)A航空路における位置をとらえるレーダー(ARSR/SSR)情報の伝達B飛行場周辺の飛行機の位置をとらえるターミナル・レーダー情報(ARTS)の周辺空港への伝達C飛行計画に関する情報(飛行計画情報処理システム:FDP)を航空交通流管理センター−管制部−各空港の間でやりとりするシステム(CADIN)D管制の引継情報などを各空港の管制官間でやりとりする音声通信E飛行機に方位や距離情報を提供する無線装置(VOR/DEME)とその監視のための通信などがある。(『航空通信入門』『数字で見る航空1998』より)

図2 RCAG関連回線図

@RCAG(Remote Center Air to Ground Communication)は地上の管制官と飛行中のパイロットがVHF波を利用して会話できるシステムである。近畿には和歌山県の三国山に対空通信施設(無線基地局)がある。近畿上空の飛行機からの電波は管制官のいる東京で直接受信されるわけではなく、まず飛行機に近い三国山の無線局に伝達され、そこから地上の有線回線を通じて所沢の東京ACCまで伝達される。東京ACCと三国山との通信は図のように2重化されている。すなわち東京 ACCと三国山を直接結ぶ一般専用線と、東京−関空間の高速デジタル回線を経由して、そこから一般専用線(アナログ専用線)で三国山に接続されるラインの2通りである。全国の通信施設間の回線はこのように2重化されている。この2回線は一方は現用、他方が予備という配置ではなく、両方現用で使っている。しかし通常1つのセクター(地域:例えば東阪間の飛行は4つのセクターにまたがり、進行するにつれ交信する周波数を変えていく)では1つの周波数を使っていて、混雑したり問題があると2波目を使うようになっている。したがって実際は1つが予備的になっている。ただ、セクターによってよく使う回線が高速デジタル経由であったり、一般専用線経由であったりと両者の使い分けはまちまちである。
RCAGのための対空通信施設は三国山周辺には岡崎、平田(島根県)、土佐清水などにある。さらに串本、伊丹にもあるがこれは山影などの不感地帯対策用である。これらの施設は全国に41カ所あり、同一地域を2重3重にカバーしている。そのため1つが使用不能になっても対空通信を確保できるようになっている。
A航空路レーダー(ARSR/SSR)は三国山をはじめ全国16カ所に設置されており、NTTの映像伝送サービスによって管制部に伝達されている。今回はこの回線は被害を受けなかった。
B関空のターミナルレーダーの情報は徳島、高知の両空港に送られているが、これも航空路レーダと同様に映像伝送サービスによって送られている。
C飛行計画はFDPを通じて入力され管制部(ACC)、交通流管理センターに送られる。ACCはこれを受けて交通路の混雑状況などを考慮しながら出発のための管制承認を空港管制官に与える。また飛行計画情報は各レーダーの情報と統合され、各機の便名、機種名などが位置情報とともにレーダーモニターに映し出される。関西周辺を例に取ると、飛行計画の情報は次のように伝達されている。東京管制部と関空の間には高速デジタル回線と一般専用線の2系統がある。関空にあるFDP端末の内の何台かはデジタル回線、何台かが一般専用線で接続され、日頃から両方を使っている。そして関空からさらに近畿中国四国地方の各空港に一般専用線で接続されている。なお東京地区周辺では自営のマイクロ・ウエーブ回線によって接続されている。

図3 飛行計画関連回線図

D管制官同士を音声でつなぐ情報システム(ダイレクトライン)は一般専用線でつながっている。
E方位や距離情報を提供する無線装置(VOR/DEME)は基本的には電源があれば単独でも作動しているが、これが正常に作動しているかを常に航空局では監視しており、そのために専用線が使われている。

(2)被害の実態
@RCAGの地上回線は2重化されているので、1カ所の障害があっても全面的なダウンはないはずである。今回障害があったのは三国山の対空無線施設と東京管制部を結ぶ回線であった。関空から三国山間での専用線と東京管制部から直接三国山を結ぶ回線が両方とも東淀川局を通っていたため、三国山の無線装置が完全に使えなくなってしまったのである。NTTは経路を公開していなかったので、このような弱点は航空局としては障害が発生するまではわからなかったという。このことにより近畿周辺の飛行機と管制官との音声通信が一時的に中断してしまった。しかし、すでに述べたように、対空無線は2重3重に地域を覆っているために他の無線基地からの電波は利用可能であった。しかし突然何の前触れもなく切れてしまったために他局の波も利用できなかった。これはどの周波数に変更するという交信ができなかったためと考えられる。空白となったのは三国山周辺の3セクタである。こうした事態になると、とりあえず空中衝突を避けるために、フローコントロールセンターによって飛行間隔を広げる処置がとられた。またこのセクターに飛行機を入れないよう迂回させる処置もとられた。その影響で関西空港では事故発生2分後の10時9分から離陸の待機を行った。しかし、他局の波に切り替えて空白域が解消し、約20分後から間隔を広げての離陸を再開した。しかし一度制限した流れはすぐには戻らず、フロー・コントロールは午後2時半くらいまで続けられた。その結果、関空では出発便45便に30分から2時間50分の遅れが発生した。
AB航空路レーダーやターミナル・レーダの情報は一般専用線ではなく映像伝送サービスによっているために、今回は被害はなかった。
C飛行計画に関する情報は関空では一般回線経由の端末はダウンしたが、高速デジタル回線経由の端末が生きていたために問題はなかった。しかし関空から新広島、高松、岡山、高知の4空港に至るラインが切れたために、飛行計画のやりとりに支障が生じた。
D管制官同士を音声でつなぐシステムは一般専用線でつながっており、関空と八尾、高松、南紀白浜、大阪の各空港間で停止した。これは一般の電話によって代替した。
E関空では友が島にあるVOR/DEME装置との回線が切れ、通常の監視ができなくなったが、関空で直接電波を受けて正常に作動しているかどうかを監視できたので、問題はなかった。

管制用の通信機能は事故後、数分で回復することができた。これは不通になった三国山以外の対空通信施設が近畿エリアをカバーすることなどによってなされた。通常システムの回復には時間がかかり、最終的には翌日の午前3時20分に全通信システムが回復したことを確認し終えた。

(3)対策・問題点

当日大阪からも東京からも障害を受けた各部署からNTTへの問い合わせを行ったために、NTT側がかなり混乱した。NTTとしては航空局は東京も大阪も区別がつかない。またNTTも人によって情報が異なっていた。そこでNTTへの問い合わせは東京管制部に1元化することにしたという。今後は双方の情報を1元化してその混乱を防止する必要があるだろう。これは航空局ばかりでなく他のすべての組織でもあてはまることである。
NTTはネットワーク経路を公開していなかったために、まずどこに障害が発生したか確認するのに手間どった。そこで事故後、航空局が使用している専用線ネットワークの経路をすべて明らかにしてもらった。航空局では、そのデータをデータベース化して、どこが切れたらどのラインがそこを通っているかが即時にわかるようにした。
また航空局のラインはNTTの工事などで迂回するときは必ず回線借用の手続きをとってもらうことになっている。
航空局のシステムの設計は分散処理をしており、うまくいくはずだったが、NTT側の問題でこのようなことになってしまった。専用線の完全分散化などをNTTに要望した。

3.金融関係

3.1 銀 行

わが国の銀行は1960年代以降、3次にわたるオンライン化を進めてきた。1983年以降整備されてきた第3次オンラインシステムでは、業務処理を行う「勘定系システム」を中心に、「資金証券系システム」「国際系システム」「対外接続系システム」「情報系システム」「営業店システム」「集中センターシステム」などが構築されている。
1984年の世田谷電話ケーブル火災事故では、被害区域内に事務センターをもつ三菱銀行と大和銀行がオンラインシステムに大きな被害を受け、これをきっかけに、バックアップシステムの強化などの対策が講じられた。今回のNTT専用回線事故では、大阪に本社をもついくつかの都市銀行が、当日いっぱいある程度の影響を受けた。本研究では、このうち住友銀行、三和銀行、大和銀行について、現地聞き取り調査を行った。

3.1.1 三和銀行

(1)システムの概要

三和銀行では、1988年に第3次オンラインシステムが完成している。東京都大阪に東西のシステムがあり、オンラインシステムを運用している。オンライン化には熱心に取り組んでおり、平成9年6月には、いち早くテレフォンバンキング・サービスの提供を開始している。全国に356の店舗をもっている他、738カ所の現金自動設備(無人店舗)をもっている。
(2)被害の実態
今回のNTT回線事故の影響で、西日本で営業している154店舗のうち、34店舗でATMが一時使用不能になった。また、無人店舗のうち93店舗が使用不能になった。さらに、東三国にある「振り込み発信センター」のオンラインシステムがダウンした。千葉にある情報処理センターのホストコンピューターと振り込み発信センターとを結ぶ専用回線がダウンしたために、勘定系だけではなく、すべてのシステムがダウンした。東淀川を経由していない店舗では影響はなかった。
三和銀行では、ネットワークシステムが3回線ある。通常は2本使っているが、公衆回線でバックアップをもっており、計3本ある。その2本ともが、たまたまNTT東淀川局を経由していた。そこで、公衆回線でバックアップをかけたが、公衆回線(INS64))はあくまでも非常用であったために、回線数が足りず、バックアップをかけられる営業店の数が限られていたため、34店舗がダウンしてしまうことになった。営業店を結ぶ回線には、アナログ回線を使っており、高速デジタル回線のように、片一方がやられても片一方が生きているということはなかった。それが、システムダウンを引き起こした原因である。
顧客への被害としては、ATMが使えなくなったことが主である。顧客から、指定日決済できずに損害賠償があったという話はなく、機会損失などの被害はとくになかった。
同行でオンラインシステムが導入されて以来、これほど長時間にわたり、影響の大きいシステムダウンははじめてのことである。

(3)対策、問題点

三和銀行では、システム部、事務企画部が復旧を担当した。システム部では技術的なシステムの復旧を担当し、事務企画部では営業店から現場からの情報を集め、復旧支援を行った。また、事務企画部では各集中部門をコントロールしているので、そこを統合して、復旧の統括を行った。また、営業店、現場、顧客への対応には事務企画部が統括してあたった。
当日の午前10時7分、営業店とホストコンピューターとを結ぶ専用回線に障害が発生しているという一報があった。銀行のオンラインシステムがダウンしているという状況がわかってきた。まだ始業して間もない時刻で、あちこちで会議している最中だったが、東西のシステム部と事務企画部で緊急の会合を持ち、検討するチームを作った。直後は、なにがどうダウンしているか全く分からない状況だった。
影響のあった34店舗では、オフライン運用という対応をとった。たとえば、ATMについていえば、10万円までの出金制限をかけた。この場合、ATM自体は動くが、土日の画面のように、出金(払い出し)のランプしか点灯しない状態になる。1回あたり10万円までしか出ないような設定にして、入金や振り込みはできない状態になった。顧客に対しては、店員が機械の前で誘導し、対応した。
振り込み発信センターでは、営業店で受け付けた振り込み依頼をOCRによる「イメージ処理」という形で集中発信していた。ところが、今回の事故で、ここがダウンしたために、他のいくつかのセンターに振り分けた形で振り込みの発信をして、急場をしのいだ。
店舗での混乱はとくになかった。とくに決済資金などで急ぎの顧客に対しては、復旧のめどが当初の正午から延びたために、決済リスクが予想されたので、基本的に他行に依頼した。その場合、他行との間に振り込み手数料で差があった場合には、還元するという措置をとった。他行宛の振り込みは、時限がある話なので、優先順位をつけた上で処理した。もちろん、店同士のやりとりもあるが、三和銀行では日頃から後方事務をいろいろなセンターにまとめて集中処理する方法をとっているので、その意味では臨機応変に対応できたとのことである。
復旧状況は、NTTの復旧に合わせて、順次立ち上がるという状況だった。10時45分の時点で15店が復旧した。午後3時の営業終了時刻まで立ち上がらなかったところが17店舗あった。最終的にすべてのシステムが回復したのは午後7時台だった。
事故後の改善策としては、次の対策が実施ないし検討されている。
@高速デジタル回線を引く(すでに1998年夏に決定済み)。
A今回の事故では、営業店がダウンしたことも痛手だったが、東三国の振り込み発信センターがダウンしたのが最大の問題だった。それが、最終的に営業店での勘定合わせに苦労した最大の原因だった。そこで、東三国の振り込みセンターを強化するということになっている。
BNTTに対しては、厳重に抗議し、完全二重化を改めて検討しているところである。
C営業店が動かない場合の、分散する方式について、いろいろと支障もあったことも確かなので、内部の分担について、今後検討していきたいと考えている。
振り込みが混む日だとか、事故の状況によって対応も異なるので、今後は、いくつかの異なるケースを想定した上でのマニュアルをつくる必要あるとしている。

3.1.2 住友銀行

(1)システムの概要

住友銀行のシステム構成は次のようになっている。まず、東京から大阪にコンピュータセンターがあり、センターと支店のミニコンピュータは基本的には今回被害のなかった64Kの高速デジタル専用線でむすばれている。またそのほかに64KのINSを引いておりバックアップと情報量が多いときの一時利用に供用している。またさらにバックアップとして電話回線を1回線引いており、回線及び支店のミニコンピュータが使用不能の時センターのミニコンの遠隔操作で情報処理ができるようにしてある。電話線1回線で24台分の端末が動かせるようになっている。

図4 住友銀行のシステム構成

またセンターのほかに中継センターを作り、複数店舗を組み合わせたネットワークを作っている。例えば、東京地区では溝の口にあるセンターのほかに、新橋に中継センターがあり、両者は高速回線で結ばれている。A店舗は溝の口センターに、そしてB店舗は新橋センターにそれぞれ専用線とINSでつながっている。この場合、組み合わされるのは地理的に離れた店舗であるが、両店舗はそれぞれINS回線でむすばれており、どちらかの専用線が故障した時でも他店舗をループして孤立しないよう設計されている。INSは公衆回線なのでチャンネルを変えれば店舗同士だけではなく、支店とセンター間も接続でき、バックアップとして考えられている。

図5 住友銀行のバックアップシステム
(2)被害の実態
NTT回線事故によって、13カ所の店舗外ATM(通常1カ所に2台づつ設置)が使用中止になった。そのような店舗外ATMは全国で約500カ所ある。対応としては職員を配置し、最寄りの店舗を利用するように誘導した。その他の営業店の核システムは全く影響を受けなかった。
店舗外ATMは最寄りの営業店のミニコンピュータに接続されている。2台で1回線の専用線(9600bps)が引かれており、それに対するバックアップ回線はない。

(3)対策、問題点

住友銀行では全国のATMの稼働状況をモニターしており、今回の事故でも使用不能ATMの配置がすぐわかったので、NTT側の問題で事故が発生したことがわかった。
このように住友銀行ではINSという公衆回線をバックアップとして考えている。この場合、今回の事故のように専用線だけが障害を受けたときにはバックアップとして機能するはずである。しかし両者とも支店の最寄りの電話局に1局収容されているため(セン側ターは2局収容している)、その電話局が全面的に機能不全に陥ったときはバックアップ機能が果たせないという欠点もある。
今後の対策としては、今回ほとんど被害がなかったこともあって、NTTに複数回線の完全別ルート化を要望する以外に、特別に考えてはいない。

3.1.3 大和銀行

(1)システムの概要

大和銀行では、店舗同士や振込発信センター、事務処理センターなどを結ぶ専用回線を、以前から2ルート化していたが、どちらかが主で、どちらかがバックアップという使い方ではない。ケース・バイ・ケースで両方が主であり、両方がバックアップたりうるシステムとなっている。だから、どちらか一方がダウンしたら常にもう一方でカバーするという体制にはなっている。
大阪と東京に電算機センターを設置し、非常時には「相互バックアップ体制」により業務を継続できるシステム構成になっている。勘定系、情報系などの基幹システムについては、2000年問題にも対応もすでに終えている。

図6 大和銀行における東西相互バックアップシステム

(2)被害の実態

NTT東淀川局の事故により、大和銀行の支店14店舗のATM端末が全面ダウンした。ほか数十店舗で一部ATM端末がダウンした。一般専用回線9600の被害が大きかったようである。「振込発信センター」は生きていたが、勘定系の2ルートが、東淀川局を通っていたようである。
以前から、専用回線のバックアップ体制を考慮して2ルート化を行ってきたが、たくさん専用回線がある中で、偶然、その2本ともがNTT東淀川局を通っている回線があり、その回線ダウンの影響が14店舗の全面ダウンとして現れた。1本だけが東淀川局を通っているケースには、もう1本でカバーできたため、一部ダウン(数十店舗)で済んだという状況である。
10時06分 回線障害発生
営業店舗と、それをモニタリングする「千里センター」、NTTが
それぞれほぼ同時に異常を検知。連絡を取り合う。
10時30分 関係セクション集合
千里センターで「ミーティング体制」 電話会議
「マニュアル」の実行により、対応策をとる
お客様対策、マスコミ対策
11時00分 NTTから原因特定の連絡(東淀川−淡路)
復旧情報、NHK報道も見る
12時00分頃 「今日中の復旧は無理だな...」と感じ始める
(3)対策、問題点
@当日の対応
専用回線がダメになったために、ATM端末・窓口端末が使えなかっただけで、元のコンピュータは生きていたので、マニュアル通りに、「窓口手作業」に切り替え、営業を行った。一般客の窓口対応には大きなトラブルはなかった。時間が少しかかったということはあったが、苦情はなかった。経済的損失もほとんどない。また、オフライン機能(自動的に10万円以下に制限)はとらなかった。とくに金額制限はせず、マニュアル対応を行った。
また、企業客の被害に関しても一般客と同様、振込ができないという被害があったが、これも文書によるファックス連絡で対応した。
営業店舗同士をつなぐISDN回線がありそれは生きているため、それを使って両店で照会しあい、営業が可能であった。これはマニュアル通りの対応である。

図7 事故当日の大和銀行の支店間バックアップ対応

A事故後の改善策

大和銀行では、事故の後、次のような改善策をとった。
1)NTTに「専用回線の完全2重化」を要請
これまでは、「ルートを分けて欲しい」と言えるが、実際にはNTTまかせだった。
NTT以外の専用回線採用も考慮しているが、信頼性とコストの点で躊躇している。
2)非常時・緊急時マニュアルの見直し
大枠ではうまく対応できたが、個別の点では想定し得なかった問題もあった。
システムにもマニュアルにもパーフェクトはあり得ないのだから、日頃からの準備・ 意識が大切だと考える。しかし、システム自体の見直しはしない

3)バックアップ体制を発動した後の問題

いくらシステムが復旧しても、バックアップ体制を確立したら、その日のうちは元に 戻せないという問題がある。それは、元のシステムに戻して2重処理などのミスが多発 する恐れがあるためである。だから、その1日はそのまま対応する。今回の事故で、元 に戻すタイミングが難しいことが分かった。

3.2 大阪証券取引所

(1)システムの概要
大阪証券取引所では97年度から立ち会いを完全に電子化し、吹田市の千里山にあるコンピュータセンターで行っている。各証券会社等は各社におかれた大証用端末や自社のコンピュータセンターを経由して株の注文を出し、それが千里のセンターで取り引きされる。取引用のコンピュータは先物・株式用のものと指数・オプション用の2システムがあり、それぞれバックアップ用のコンピュータがある。そして両者はLANで結ばれている。
大証用の端末は大きな証券会社などは1社で50台程度入れている。千里センターと端末間は9600bpsの専用線でむすばれている。今回の事故ではこの回線の一部が東淀川局を通っており通信不能になった。また大規模な証券会社では自社のコンピュータセンターと千里センターが結ばれ、そこから先は各社のオンライン網で営業所に接続されている。また東日本の会員用には東京中央区のNTT局に専用線が敷かれ、そこから会員各社につながっている。
また大証のシステム管理部は管理用端末があり、千里センターとは1.5Mbpsの高速回線と9600bpsの低速回線で結ばれている。
一方取り引き後の決済をする決済システムも千里のセンターにある。取り引き終了後に磁気テープを介して取り引きシステムからデータが移入される。このシステムと会員各社の間は3.4Kbの専用線で結ばれている。
一方相場や売買の情報は2つのシステムで証券会社やロイターやクイックという情報会社に送られている。その1つは千里山センターにある相場情報伝達システムで、これは売買システムとLANでつながっており、4800bあるいは9600bの専用線で会員各社に情報を送る。もう一つは館林市にある電子情報システムで、これは千里山センターの売買システムと富士通フェニックスという回線業者を介して専用線で結ばれている。ここから128kbの専用線で会員各社に接続されている。両システムとも売買はできず、情報を伝達するだけである点は共通しているが、後者の方が売買のより詳しい情報が流されており、次第に後者のシステムに移行しつつあるという。

図8 大阪証券取引所の情報システム

(2)被害の実態

上記のシステムの内、被害の発生した箇所はA会員各社の大証用端末と売買システム間の回線の一部@大証管理端末と売買システム間の回線の全部B会員各社と決済システム間の回線の一部、そしてC相場情報伝達システムと会員各社間の回線の一部であった。これら断線した回線はすべてNTT東淀川局の罹災したユニットを経由していた専用線であった。
各部分での実際の被害は次の通りであった。@大証の管理端末を結ぶ回線は全部で9回線だったが、事故発生と同時にすべての機能が停止した。システム管理課では、はじめ千里山センター内のLANが故障したのではと疑ったが、館林経由の回線は動いているとの情報があり、NTTの専用線が障害を受けたことが間もなくわかったという。また5,6社から障害のあった問い合わせが来ただけで、被害は小さいと予想された。そのため大証では取引をとめる必要はないと判断した。当の大阪証券取引所が情報的に孤立していても実際の取引は千里山のコンピュータセンターで行われているので、センターが機能していれば大阪証券取引所の取引は問題なく行われるのである。
Aの売買システムの大証用端末については全部で1200回線あるが、罹災したのは44回線であった。会員各社は複数の回線を引いていることが多いため、1本でも生きていれば売買注文をすることができる。また大きな証券会社とは証券会社のコンピュータセンターを経由して売買がされているが、そちらの大容量の回線には被害はなかった。そのため実質的な被害を受けたのは大証用端末だけで売買をおこなっており、しかも複数の回線がすべて被災した小規模の会員5社だけであった。しかも証券の現物取引の場合は1,2分発注が遅れても取引のスピードが遅いためにそれほどの問題とはならないという。問題となりうるのは取引スピードが秒単位の先物や指数などのデリバティブ取引である。しかもこれは証券会社のコンピュータ経由の取引はされず、専用端末でのみ取引がなされる。しかし今回は実質的な被害を受けたのが先物取引は行わない小規模の5社だけであったため、実害は少なかったと考えられる。なお、これら障害を受けた会社は午前11時過ぎから証券取引所や東京郵船ビル内の障害時用端末室を利用して取引を行った。
つぎにBの決済システムだが、これが働くのは売買の結果に伴う資金が決済される取引終了後である。決済システムと会員各社との間は3.4kbpsの高速専用線20本と9600bpsの専用線によってつながれている。このうち被害を受けたのは9600bpsの76回線であった。今回の事故で最も問題となったのはここである。取引終了後、会員各社から大証に対して清算データが入手できないとの悲鳴にも似た電話が何本もかかってきたという。しかし午後4時過ぎに回線が不安定ながら一時的に回復する状況になり、その瞬間をぬってデータが伝送され、混乱は収拾していった。
C情報伝達システムはロイター等の情報会社に情報を提供したり、証券会社の店頭に株価を呈示するシステムである。情報会社のロイターとクイックはそれぞれ複数の回線があったがいずれも障害を受け1日中ダウンした。しかしブルームバーグへの回線はたまたま大丈夫であったという。

(3)対策・問題点

千里山センターから大証までの専用回線は、まずNTT西吹田局に収容され、最終的にはNTT北浜局から大証に来ている。その間の回線構成は不明である。大証へは1.5Mの光ケーブルが4本来ており、1本がやられても大丈夫だと言われている。しかし大証、センターともそれぞれ1局収容であるため、センターの最寄り局で障害が生じたら全面的なダウンの可能性もある。バックアップとしては、西吹田局からは別ルートを設定して北浜局以外の局から市内某所に別の管理システムを配置している。
一方取引システムと会員各社間のバックアップは会員各社に任せている。
大証システム管理部によると、NTTはシステムの安全性に対して良いことばかりをいい、弱い点については情報を提供していないという。
今後の対策だが、例えば衛星でバックアップすることを考えると、衛星では時間差があり、証券取引とくにデリバティブでは秒単位の取引であるために使いものにならないといい、ハード的な対策は特にないようだ。ソフト面では年に1回システム障害訓練を行っているが、今回の事故を契機にNTT回線故障の対応訓練も行うようにしたという。

4.警察、消防

4.1 警 察

本節では、NTT事故によって大阪府警察本部の110番業務に生じた障害とその影響について報告する。

(1)システムの概要

大阪府警察本部の通信司令室で取り扱っている110番回線は、全部で549回線ある。110番通信司令室における、通常の110番受理件数をみると、平日平均で約3000件ある。このうち、毎朝の通話試験での通話が約500件あり、また、いたずら、間違い電話が約1000件あるので、これらを差し引いた「有効受理件数」は、1日平均1500~1700件程度である。

(2)被害の実態

当日の午前10時7分に75回線で障害が発生した。事故発生と同時に、司令室では赤い着信ランプがつきっぱなしの状態になった。回線でノイズが発生したために、いかにも110番着信があったような状態になった。ふだんだと着信ランプがつくと担当者がボタンを押し、話ができる状態になる。用件が終われば切断のボタンを押して、それで終わりとなるのだが、このときは、切っても切ってもまたランプがつくという状態で、出ても、無音状態か、あるいはブツブツというクリック状の雑音しか聞こえないという状態で、回線も非常に不安定だった。こういった悪い状態の回線からの信号がランダムに入ってくるという状態が続いた。最初は、全回線がだめになったのではないかと思ったという。クリックノイズの発生した障害回線は、一部の正常回線にも悪い影響を与えた。
障害の起きた回線をチェックして、順番に悪い回線を切っていったが、どれが悪い回線かのチェックに手間取ったため、しばらくの間、悪い回線からのノイズが継続することになった。このため、悪い回線をすべて迂回回線に切り換えて、障害がなくなったのは、午後2時30分頃だった。それまでは、異常状態が断続的に続いた。
午後7時56分、NTT東淀川ビル中継装置の設備が回復したあと、NTTと協力して、異常のあった75回線を1本1本、異常の有無をチェックしながら試験をして、22時すぎには、全回線が正常に復帰した。
回線断絶による実際の影響はそれほど大きくなかった。通話不能だったのは、110番通報全体の1割以内におさまったと推測される。すでに述べたように、大阪府警本部では、平日平均の110番「有効受理件数」は、1日平均1500~1700件程度である。翌日に集計結果をみたところ、28日の有効受理件数は1500件をこえていることが確認された。これは平日の平均値とほとんど変わらない。したがって、影響はあまり大きくなかったと大阪府警では判断している。
影響が最小限で抑えられた原因としては、緊急の迂回措置が機能したことの他、事故直後でも生きている回線があったため、受信可能だったという事情もあったようである。
事故発生直後でも、タイミングよく受けられる回線もいくつかあった。雑音や無音の異常状態の中で、間隙を縫ってたまたま正常に着信できた通話もあった。
午後1時30分頃、堺市で殺人事件が発生、110番通報があったが、この通報は、生きている回線経由で正常に受信された。
障害が発生している間、一般市民からの苦情はなかったという(広報調べ)。
ただし、NTTの障害受付専用113番には、市民から何件か「110番がかからない」という通報が寄せられたという(あとでNTTから聞いた話)。

(3)対策、問題点

事故発生当初、担当者は警察本部内の設備に障害があるのではないかと考え、5~10分ほど、内部点検を行ったが、本部庁舎内に異常はみられなかった。
10時20分、署内に異常がなかったため、NTTに連絡をとり、公衆網迂回措置と署落ちの応急対策の実施を要請するとともに、全警察署に対して署落ちで110番受付けをできるよう準備を指示した。その後、正常地域については順次解除した。
10時50分、NTTより、対応方法の連絡があった。このときから、公衆網迂回の切り替え措置が開始され、13:20分に完了している。
公衆網迂回措置とは、警察本部の専用回線が使えなくなったときにとる応急措置のことで、110番にかかってきた通話をNTTが自動的に一般加入回線の特定の電話番号(空き番号)に振り替え、そこを通じて110番の受付台につなげるという緊急措置のことをいう。この公衆網迂回措置は、NTTがコマンドを打ち込むだけで自動的に切り替えができるので、迅速な応急対応が可能だった。この公衆網迂回措置のおかげで、迂回接続経由での110番通報が徐々に増えてきた。
迂回接続経由の110番通話をどうやって識別できたのだろうか。通信司令室では、受付台が地域別に分かれている。公衆網迂回回線からの110番通報は、ランダムにすべての台に着信する。そこで、ディスプレイ上に、迂回回線か専用回線かを識別するための表示が出ることになっており、これによって識別することができた。
不良回線による110番着信ランプの異常点灯という事態に対する府警本部の対応は次のとおりである。府警本部では、不良回線を切断すれば受付台の異常点灯がなくなることから、障害発生当初NTTに対して「警察関係の回線が具体的にどの程度不良になっているのか、回線番号を連絡してほしい」との依頼をしたが、NTTからは「障害発生の太い束のユーザー毎の内訳はすぐには分からない」との回答だった。そこで、警察本部側ですべての110番回線を順次チェックしていくことにしたが、不良回線が不安定で雑音があったり止まったりしていたことから、最終的に不良回線を判定し、切断できたのは、午後2時30分頃となった。その頃まで異常点灯が継続したが、切断が増えるに伴い異常点灯も少なくなっていった。
こうした異常事態が起こっている間、市民向けの応急PRも迅速に実施されている。一般に110番回線の障害が発生したときに、市民向けに広報すると、その地域での犯罪を誘発する恐れがあるために、一般向け広報はできないという事情がある。このような場合には、通報困難地域の全警察署およびパトカーに対して、「重点警戒」の指令を発し、特別警戒にあたらせることになっている。今回もこの方式を採用した。
事故覚知当初、すべての110番回線で障害が発生したと考えたため、管下の全警察署ならびに全パトカーに無線で、「重点警戒」の指令を発した。
その後、110番通報困難地域が限定されていることがわかったため、障害のない地域から順番に、重点警戒指令を解除していった。
14時12分、NTTでは、「署落ち」対策を順次開始し、18時07分に完了している。署落ちとは、一般からの110通報を専用線集約装置から大阪府警本部につなぐかわりに、最寄りの警察署に接続する措置のことをいう。NTTの新システムがある地域では、コマンド操作で自動的に署落ちに切り換えられるが、旧システムで完全自動化していないところがかなりあり、そこでは現地の電話局へ出かけていって、マニュアルで切り換え操作をしなければならない。
このため、署落ちが完了するまでにかなりの時間がかかった。ただし、今回のように公衆網迂回措置をとっていない緊急の状況であれば、もっと迅速に署落ち対策をとっただろうと思われる。
19時56分、NTT東淀川ビル中継装置の設備が回復した。このあと、NTTと協力して、異常のあった75回線を1本1本、異常の有無をチェックしながら試験をして、22時すぎには、全回線が正常に復帰した。
今回とった署落ち対策などは、震災以前から実施していたが、震災後、警察庁を通じて全国的な周知徹底がはかられたので、今回の事故に際しても、震災の教訓が生かされたとのことである。
署落ち対策で、一部地域ではまだNTTの古い設備が更新されずにあるが、これについては、NTTでも順次新システムに切り換えている。今回の事故のあと、NTTにも改善の要望を行った。
警察庁からNTTに対し、全般的な対策について要望を出した他、大阪府警本部からも、NTT関西支社に対して、詳しい要望を出している。そのおよその内容は次のとおりである。
@警察庁からNTT本社に対し、警察通報迂回線などの信頼性の確保について以下の要請を行った。
・障害発生時の迅速な迂回ルートの確保に万全を期されたい
・バックアップシステムの確保等信頼性の向上に努められたい
・障害発生時におけるNTTと警察機関との連携を密にされたい
A大阪府警察からもNTT関西支社に対して以下の要請を行った。
・障害発生時の連絡体制の確立
・署落ち110番への迅速な切り替え対応
・公衆網迂回接続のための常設回線の増設
・警察回線の完全2ルート化(経路の分散化)
・警察回線の各電話局から警察本部までの経路構成図の提供

NTT関西支社ではこうした要請に応じて、早いところでは11月末に工事を完了、最終的に12月までにはすべての工事を完了することになった。

4.2 消 防

引き続き、本節では、NTT回線事故によって大阪における消防の119番業務に生じた障害とその影響について報告を行う。調査対象は、吹田市消防本部(吹田消防署)である。

(1)システムの概要

消防の専用回線(9600bps)は、NTTの費用を国が負担する、原則無料である。消防署の専用回線は「地下」と「地上」の2系統による2ルート化がなされている。一方がダウンしたらもう一方でという切り替えが可能であるが、実際、どの回線がどのルートを通っているかはNTTまかせであるため、2局化、完全2重化がなされているかどうかは、消防本部でも分からないのが実状である。また、このNTTに対するルートの注文もまだできない状況である。
また、消防のネットワークは非常に公共性や重要性が高く、テロやゲリラ活動に狙われやすいため、具体的に、どういった回線がどこを経由してどういうルートでつながっているかという情報を公表することは通常出来ない。吹田消防署に関して公表できる範囲内で119番のネットワークを説明すると、NTT万博局を経由したルート、東西南北からなる吹田ルート、他に千里ルートなどがある。消防のネットワークシステムには、119番だけでなく、病院の受け入れなどの連絡に用いる「1)医療情報システム」、老人や病人の家庭に設置した「2)緊急通報システム」、「3)大阪府防災行政無線」などがある。

(2)被害の実態

今回の大阪NTT回線事故により、10月28日、関西地域では、大阪市消防局の専用回線8回線中、平野区の2回線が、また、吹田消防署では、NTT万博局を経由する4回線がともにダウンした。
吹田消防署における被害の実態について説明すると、まず、10時08分に、大阪ガスとの専用回線が着信するが、応答がなかった。続いて、千里を経由する千里1番線、千里2番線が着信するが応答がない。ここから、10時10分、万博局(1〜4番線)、千里1・2番線、吹田1・4番線が一斉に鳴り出し、しかも、すべて無音電話である状態が続いた。これに対し、吹田消防署では、電話が鳴ればすべて受話器をとるという対応をとった。NTTからは「とっても無駄である」と言われたが、万が一、その中で1件でも本当の火事や救急があればたいへんなことになるため、念のため、すべて電話をとったという。通常の1日当たりの119番電話は、30〜80件くらい(通常平均約70件)であるが、その28日だけで、7128件もの数に上った。このほとんどすべてが無音電話である。実際の救急件数は9件であり、これにも十分対応ができた。
兵庫県の消防署は、阪神・淡路大震災の時の消防の無音電話を経験して、無音電話対策をとっているが、大阪府ではとっていなかったため、このような事態が発生した。兵庫県と同じ様な無音電話対策をとる必要があろう。
吹田消防署の被害としては主にこの「無音電話」だけであるが、その経緯と対策については以下の通りである。

平成10年10月28日 119回線障害

10時08分 大阪ガスとの専用線を着信するが、応答がない
千里2番線着信するが応答がない
専用線が不通になり、大阪ガスに連絡がとれなくなる
千里2番線、千里1番線着信するが、応答がない
10時10分 万博局(1〜4番線全て)、千里1・2番線、吹田1・4番線が一斉 に鳴り出す
10時11分 NTTに障害連絡。(NTTでは「わからない」という答え)
システム・メンテナンス会社に連絡
10時12分 発信地表示システムで発信地照会できず。
10時15分 消防本部(吹田市)からの119番通報試験。異常なし

指令回線通話試験。異常なし (これらは東淀川局経由してないため)

10時19分 東署と北署に管内パトロールを指示
10時21分 吹田警察専用線試験実施 異常なし
関西電力専用線試験実施 異常なし
10時23分 水道部専用線試験実施 異常なし
10時24分 東署(万博局)からの119番通報試験 通話できず。
10時28分 吹田市民病院専用線試験実施 異常なし
10時43分 道路公団専用線試験 異常なし
12時30分 司令室4名増員
12時40分 NTTより連絡「NTT淡路ビル内の中継ケーブルの故障による障害 と判明、ケーブル故障原因は不明。復旧見込み時間は分からず」
13時12分 東署(万博局)からの119通報試験実施 雑音のため不通
13時16分 東署(万博局)からの119通報試験実施 話し中のため不通
13時40分 NTTから「万博局からの119通報を、衛星回線に切り替えて通話 可能」の連絡が入る
13時47分 東署(万博局)からの119通報試験実施。
衛星回線で正常に受信。1回線。
13時48分 西署(万博局)からの119通報試験実施 正常に受信
15時30分 NTTから連絡「16時頃に復旧の目途がつく」
16時10分 万博局の119番通報の着信音停止処置
4本を切断した。無音電話無くなる。
20時00分 全面復旧の報告を行う

(3)対策、問題点

28日当日の対策としては、通常行われる「署落とし」は行わなかった。それは、NTTにその対策のためのシステムをお願いしているが、まだ途中でできていないためである。
専用回線のどの線が通じて、どの線が駄目なのかを確認するために、徹底的に外の諸機関に電話したところ、後に万博局経由の回線がダウンしていることが判明。よって、万博局の119通報を衛星回線に切り替えた。そして、その万博局経由の4本を切断することにより、無音電話はなくなった。
今回、吹田消防署では初めて「衛星回線119番」を1回線利用した。北署からテストを行い、正常に機能したが、実際には救急では1件も使われなかった。テストとしてはいい機会であった。しかしながら、緊急時には使えるが、まだ1回線しかないため、10万人程度にしか対応できず、人口34万人の吹田市には4回線ほど必要であると吹田消防署では考えている。NTTにも要望を出したが、今後、充実させていく予定であるという。
また、警察ならば、「110番回線がダウンしている」事を公表することは危険であり、公安上できないが、火事や医療などの救急を担う消防署にとっては、「119番回線がダウンしているため、消防署の他の一般電話に電話して下さい」という広報はすべきではないかと判断し、吹田消防署では、吹田市民への広報活動を行った。10時40分からそれぞれの地域で、広報車やポンプ車などを使い、マイクによる巡回広報、巡回パトロールを行った。それに関する問い合わせやクレームもなく、火災も発生しなかった。火災などがなかったことで、余裕があったため、回線事故の対策が充分にとれたのだと思われる。
98年12月の大阪市消防会議で、この事故後の対策について議題にあがったという。これまでの専用回線をやめて、ISDN回線で消防電話(119番)を受ける新しいシステムの導入についてである。これは、これまでも検討されてきたことであったが、導入が早まる見通しである。すでに大阪府警は、ISDN回線の利用についてプレス・リリースした。ISDN回線により網の目状のネットワークにすれば、緊急時や非常時に迂回措置が容易なため、リスクも分散され、信頼性を高めることができる。

図9 大阪市消防局を中心とするバックアップシステムの将来計画

今回の一件では、消防においても、「専用線神話」が崩れた。専用回線のバックアップ機能が万全ではないことも知った。消防はこれまでNTTからもそういったことは何も聞いていなかったという。NTTに現状の専用線の完全2重化を要請すると共に、ISDN化を進めるのが消防の対策であり、同時に、無音電話対策を行う予定である。
5.その他

5.1 NTTドコモ関西

(1)システムの概要

携帯電話やポケットベルといった移動体通信は、端末(ポケベル本体・携帯電話機)から基地局までの末端部分は電波による無線通信が行われているが、基地局から先の部分は専用線などの有線回線により情報が伝達されている。ポケットベルや携帯電話の無線基地局まではたいてい1本のNTTの専用線を借りて接続している。その先には交換機があり交換機から先はメッシュ状に回線が構成されている。そして東京や大阪間等の基幹回線は携帯電話会社が自社の専用線を持ちNTTに依存していない。
ところで一般の電話や携帯電話は音声を伝達する音声信号と、電話番号や課金関係のデータを伝達する共通信号の2種類の信号によって行われている。両者は別の回線と交換システムによって伝達や処理がなされる。音声の伝達に関しては上記のように自社回線を使っているが、共通線はNTT専用線に頼る割合が高くなっている。
また携帯電話から110番や119番にかける場合は通常と異なる経路を通る。携帯電話から発せられた電波は最寄りの基地局が受信し、そこから県に1つの自動車電話交換機まで専用線で伝達される。ここから警察の場合は県警本部の通信センターに県警が加入している専用線でつながる。一方119番は自動車電話交換機から各市町村の消防本部まで専用線を引かなくてはならない。そのためかつては携帯電話から県庁所在地の消防本部にしかかからない状態だったが、現在ではブロック単位で専用線が引かれ、地元の消防本部までつながるようになった。

(2)被害の実態

上記のようにNTTドコモ関西では様々な部分に専用線を使つているので、被害のあらわれかたも一様ではない。
@ポケットベル基地局では、ほぼ全体の1割に当たる27基地局との専用線(9600bps)に被害があった。おもに兵庫と大阪であったが、他局で不通エリアをカバーできたので影響は少なかった。Aアナログ携帯電話基地局(3月末で廃止する)は近畿全体で1000局程度(デジタル・アナログ併せて)あるが、そのうち27局との専用線(9600bps)に被害があった。地域的にはバラバラであった。利用者がほとんど居なかったので、影響はほとんどなかった(苦情は1つもなかった)。B携帯電話の共通線は交換機間を結ぶ48kbpsの回線で障害が発生した。交換機間はメッシュ状になっており、大阪では他県に接続される関門交換局が4局ある。全国面(他社)との接点となる共通線交換局は関西に2局あるが、これらと接続されている。共通信号線を伝達する交換機間の回線はNTTの専用線を借用しており、全部で約240回線ある。今回はそのうち185回線が断線した。その結果、特に兵庫県の一部で通話量が増える夕方(4,5時)から午後8時頃まで電話が非常にかかりにくい状態になった。この日の夕方(5時34分)までに705件の苦情電話があった(通常は300件程度)。次にC119番・110番通報だが、2府4件における119番と110番通報がかかりにくくなった。約100回線中41回線が断線したが、ほとんどが119番であった(詳細は別項参照)。D社内回線は8回線が被害を受けた。これは顧客情報のデータベース用であったが、あまり使っていなかったので、ほとんど影響はなかった。

(3)対策・問題点

バックアップ体制としては現在、基幹回線は現用、予備の2重化されている。しかし基地局までの回線はすべて現用のみで予備はない。119番110番用もシングルで予備はなかった。このように携帯電話においては、110番・119番用回線の二重化対策はあまりおこなわれていないが、その一方で専用線が切断されたときは一般回線を通じて最寄りの所轄署に接続する処置がマニュアル化している。
ドコモ側でつらかったのは、NTT回線の収容がどうなっているのか教えてくれないために、被害箇所の予測や、回復状況が予測不能であったことだ、という。
これまでおこなった対策としては、いままで大阪をはさむドコモ各社の間(例えば東京と九州)では、回線はすべて大阪を経由していたが、大阪を経由しないように収容替えをした。また110や119番については現用の複数回線を2経路化(せめて収容装置をわける)するよう要請した。今までは2−3割が分局収容だったのを、今後は全部そうしてもらうよう要望する、とのことである。

5.2 関西スーパー

(1)システムの概要

スーパー業界でも情報化が進み、関西スーパーでも商品の発注のためにネットワークシステムを導入している。本部から各店舗へのネットワーク回線は、基本的には専用線1本である。これはNTTの近距離専用線サービスデジタルアクセス128(128kbps)を利用している。しかし店舗によってはISDN等の公衆回線も利用しているところがある。しかしこれは旧システムが残っているもので、通信コスト削減のために専用線1本に統一する方針である。

(2)被害の実態

関西スーパーで事故に気づいたのは午前20分頃で、阪神地区の14店舗で発注業務ができなくなった。関西スーパーではオンラインの故障に備えて、発注データを携帯端末に打ち込んで、それを近隣他店舗から本部に流す方法も用意していたが、複数の近隣店舗が同時に被害を受けたのでこの処置もとれなかった。そこでFAXで発注伝票を流し始めた。しかし店舗にはFAX用の発注伝票がなく混乱した。12時過ぎに一時回線が回復したが、その後繰り返しダウンした。その間一時的につながっている間を利用して発注データを送信することで、9店舗で発注業務を回復した。その他4店舗はFAXによる送信を続けた。そして午後4時頃に回線が復旧し、通常業務に戻った。業務は混乱したが発注もなんとかできたので、品揃えにも影響が出ず、実質的な被害はほとんどなかった。(聞き取りおよび『日経コンピュータ』98年12月7日号より)

(3)対策・問題点

今回のような事故に対して、関西スーパーでは今後の対応は考えようがないという。同社のような規模ではコスト的に専用線の2重化は考えられないので、NTT側での2重化を要望するしかないと言う。またNTTが回線の経由地を開示してくれないのは困るという。担当者は、開示してくれれば、店舗グループを設定して、ここがやられたらこうするというような対策も考えようがある、といっている。またコスト削減のために専用線1本にするというが、ISDNをカットすることはネットワークの脆弱性を高めることにつながる。しかし専用化するのはコスト削減のためなのであるから、厳しいコスト管理の下ではバックアップとしてのISDN契約ですらままならず、小規模事業体のネットワークのバックアップ強化の困難性が浮き彫りになった。

6.まとめ

6.1 被害の大きさを規定する要因

(1)規定要因の関連図

今回の事故は、ユーザー企業に情報通信回線を提供するNTTというコモンキャリア側の内部的原因によって発生したものであるが、それがネットワークユーザーである公共機関や企業に多大の影響を与えることになった。幸い、一般市民、消費者に対する影響は最小限で押さえられたが、障害の規模、継続期間、システムの構造的脆弱性などの如何によっては、もっと大きな被害を生じた可能性もある。
今後、こうしたネットワーク障害が発生した場合に備えて、事前の対策、発生時の迅速かつ適切な対応を実現するためにも、今回の事故を教訓に、ネットワーク事故による被害の規定要因がどこにあるのか、そのうちどの要因がコントロール可能であるのか、被害を最小限に押さえるための具体的方策はなにか、という点について体系的に整理しておくことが必要だと思われる。
そこで、最後に今回の調査研究で得られた資料をもとに、ネットワーク障害事故による被害の大きさを規定する要因を、図式的に整理してみたいと思う。図10に示す要因連関図は、ネットワーク回線事故による被害の程度がどのような要因によって規定されているかを示したものである。

図10 ネットワーク回線事故による被害の規定要因

一般に、ネットワーク回線事故による被害の大きさ(D)は、事故によるシステムの障害の程度(S)、システムの社会的重要度(I)、およびシステムのネットワーク依存度(N)に比例すると考えることができる。ここで、「システム」とは、今回の事故の場合には、主としてネットワークのユーザーである企業や公共機関を指しているが、より一般的には、コモンキャリア内部のシステムや一般市民の生活システムをも含めて考えることもできる。上の図は、次のような2つの数式によって表現することもできる。

D= I・N・S :被害の大きさの規定要因
S= W・T/B・R :システム障害の大きさを規定する要因

ただし、
D (damage)‥‥被害の程度
I (importance)‥‥システムの社会的重要性の程度
N (network dependency)‥‥システムのネットワーク依存性の程度
S (system disorder)‥‥システムの受ける障害の程度
W (width of disorder)‥‥障害の及ぶ範囲、規模、場所
T (time of disorder)‥‥障害の発生時刻、時期、季節、継続期間
B (backup system)‥‥障害発生時のバックアップの程度
R (recovering activity)‥‥障害発生時の応急復旧の程度

(2)システムの重要性

一般に、ネットワークユーザーが、そのネットワークを使って行う業務や、その提供するサービスのもつ社会的重要性が大きければ大きいほど、ネットワーク事故によって生じる被害の程度も大きなものになる。ここで「重要性」という場合には、一般市民の生命・財産の安全がどの程度危険にさらされるか、あるいはシステム障害が社会的にどの程度の影響を及ぼすかという程度を意味している。
今回の事故で被害を受けたネットワークユーザーのうち、もっとも重要性の高いシステムは、何といっても航空交通管制だろう。もし飛行中の航空機と管制官との間の通信連絡が途絶するような事態になったとしたら、航空交通は大混乱に陥り、重大事故の発生にもつながりかねないからである。二番目に重要度の高いシステムは、警察・消防の110番、119番受付だろう。これも、市民の生命・安全に直接関わる重要度の高い公共サービスである。三番目に重要度が高いのは、銀行・証券などの金融サービスだろう。今回の事故では顧客側に重大な被害が及ぶことはなかったが、システム障害の程度如何によっては、手形不渡りによる倒産といった重大な経済的被害に結びつく可能性もあるからである。
システムの社会的重要度が被害の大きさを規定する重要な要因であることから、ネットワークキャリアであるNTTでも、重要度に応じて緊急対応やバックアップの確保等における優先順位をつけている。しかし、警察・消防ではネットワークの二重化が完全ではなく、NTTとの連絡や事前の経路情報などに関する事前の情報公開も不十分だった。重要度の評価、順位づけについても、明確で客観的な基準がつくられていたとは言い難い。ユーザーシステムの社会的重要度の評価基準の確立と、それにもとづくバックアップ体制、緊急対応マニュアル、組織間の連携、情報公開といった面での改善が望まれるところである。

(3)システムのネットワーク依存度

ユーザーである企業や公共機関の業務、サービスがNTTなどコモンキャリアのネットワークにどの程度依存しているかという点も、ネットワーク事故の被害を大きく左右する要因となる。いわゆるオンライン化、ネットワーク化が進展するにつれて、企業や公共機関は外部ネットワークとの相互接続性を高めるようになっている。これによって、業務効率の増大、生産性の向上、在庫の減少、顧客サービスの向上、人件費の節減など大きなメリットを享受することができる。その半面、ネットワーク事故に対する脆弱性が著しく増大していることも確かである。
ネットワーク依存度は、業務サービスの中でネットワーク利用の占める比率が高いことだけではなく、ネットワークに障害が起きたときに、それに対する代替手段となり得るような非ネットワーク的資源・サービスがどの程度利用できるかという点にも規定されている。銀行のケースでは、オンライン回線が途絶しても、窓口対応とか文書によるファックス連絡などの代替手段があったため、被害は少なくて済んだ。また、警察・消防の場合には、巡回パトロールの強化によってある程度の代替が可能だった。しかし、航空管制の場合には、航空機との通信という業務の特殊的性格のために、非ネットワーク的な対応は本来難しい。このような場合には、無線や衛星波の活用を含めて、情報通信ネットワークにおけるバックアップを万全なものにしておくという対応が是非とも必要になる。
ネットワーク依存度は、後述するバックアップ度や復旧対応度と同様に、ある程度コントロールが可能な要因である。それゆえ、マニュアル対応、人海戦術、物流作戦など、非ネットワーク的資源の活用という旧来の代替的手段を確保、整備しておくことが肝要である。

6.2 システム障害の大きさを規定する要因

(1)障害の規模と範囲

1984年の世田谷ケーブル火災事故では、幹線ケーブルに収容された一般公衆回線と専用回線がともに被災し、1つの電話局管内の全域で全面的に通信が途絶するという深刻な障害が発生した。また、運悪く、被災地域内に全国のオンラインシステムの中核となる銀行の事務センターが位置していた。そのために、ビジネスや市民生活に多大の被害を生じることになった。これに対し、今回の事故では、障害箇所が一部の専用回線だけに限定されていたために、被害の範囲も特定の業種やユーザーにとどまった。また、東淀川局を経由しない専用回線を利用するユーザーには被害が及ばなかった。もし障害の規模、発生場所、障害の範囲が大きければ、被害もより大きなものになっただろう。

(2)障害の発生時期と継続期間

事故がどのような時間帯、曜日、季節に起こり、障害がどのくらいの期間にわたって継続するかということも、事故による被害、社会的影響の大きさを規定する重要な要因となる。この点についても、世田谷ケーブル火災事故と比べると、今回の回線事故の障害度はかなり低かった。世田谷ケーブル火災では、回復までに最長20日間ほどかかったが、今回の事故では、当日中に障害の復旧が終わっている。これが、被害の拡大を最小限にくい止めることができた大きな原因となっている。また、事故当日が平日であったこと、システムユーザーの企業、機関での繁忙期と重ならなかったことも、被害が少なくて済んだ原因の一つと考えられる。ただし、一部の銀行では、月末の決済日に近かったために、緊急の対応を迫られるケースもみられた。また、証券取引所でも、もし仮に一秒を争うでデリバティブ取引の回線に被害が及んでいたとしたら、もっと深刻な被害が生じた可能性もある。

(3)システム・バックアップ対策

ネットワークの事故において、被害を少なくするためには様々なことが考えられる。すなわち、理論的には上記の公式で分子にあたる諸変数を小さくし、分母を大きくすればよい。しかし現実問題として比較的容易に変化させうるのは、ネットワーク依存度を低下させることと並んで、システムのバックアップ・レベルならびに復旧の対応度を向上させることである。
システム・バックアップのレベルは資金をかけ、様々なバックアップ装置を用意することによっていくらでも向上させうる。しかし実際にバックアップシステムにかけられる資金は限られており、一様にレベルの向上を叫んでもそれは理想論である。重要度の高いシステムほど高度なバックアップが必要で、それほどでもないシステムはある程度のレベルでも仕方がないと考えるのが現実的であろう。そこで問題となるのは、重要度が高いシステムなのにもかかわらず、バックアップ・レベルが低いことである。
そこで今回調査した各事例において、システムの重要性とシステム・バックアップ・レベルの関係をみてみよう。ここでシステムの重要性とは、第一に生命に関係する場合、第二に他の社会システムに対する影響が広範な場合、システムの重要性が高いと考える。システムの重要度が高い順に並べると、@航空A保安(110番・119番)B銀行C移動体通信・証券取引D一般企業(スーパー)といったところであろう。一方バックアップのレベルは@航空(3重)A銀行(2重)B移動体通信・保安(1−2重)C証券取引・一般企業(1重)ということになる。ここで保安については生命に関わるという重要性がある割には専用線の2重化が十分ではない。また証券取引もバックアップ回線はない。これらの分野では、システム上のバックアップが重要性の割には十分ではない、と言えるのではないだろうか。

図11 バックアップ度と重要性の関係

(4)復旧対応

障害によるダメージは事故後の復旧対応をスムーズにすることによっても軽減できる。例えば警察や消防といった保安部門はハード上のバックアップ体制は弱いが、「局落とし」等といった対応がマニュアル化されているために、復旧は比較的スムーズであった。
復旧対応の面で今回最も大きな問題となったのが、NTTがユーザーに専用線の経路を教えないために、ユーザー側の対応が遅れたことである。事故発生後、ユーザーはまずどの回線が障害を起こしているかを把握するために、1つ1つの回線をチェックすることに追われた。もちろんこれに対してユーザー側の対策がないわけではない。例えば銀行のATMは常にどこが正常に動いているかをモニターしており、それによって回線障害によって被害を受けた場所が想像できる。しかし航空管制のように、様々な種類の機器が複雑に絡んでいて、しかも広域的に分散して被害が出る場合、ユーザー側のモニターにも限界がある。復旧対応をスムーズにするために、NTTはユーザーの使っている専用線がどの経路を通っているかユーザーに公開すべきであろう。実際、事故後、航空や公安といった重要回線については公開されるようになったようである。
こうした問題は安全性に関する組織間の齟齬として一般化できる問題である。それぞれの組織内では十分な検討がなされているが、組織間の連携が不十分なために両者をまたがるネットワークで問題が発生するのである。これは昨今ネットワークが巨大化複雑化し互いの依存性を高めてきたことを背景にしている。また通信の自由化で複数のキャリアが競合する状況もこの問題につながる。例えば輻輳時にも優先的に接続される災害時優先電話の制度があるが、通話が複数の通信事業者をまたがる場合、優先扱いが消えてしまうといった問題がつて存在した。これも今回の問題と同様に組織間の齟齬として考えられる問題である。
今後情報化がますます進展する中で、こうした問題は様々なところで発生しうる。しかしその中でも安全性に関わる事項は重要であり、安全性に関しては、組織間での情報の十分な交換・公開が必要であろう。

参考文献

日本電信電話株式会社「大阪・東淀川ビル 故障原因及び今後の対策について」1998年

11月4日公表資料
郵政省電気通信局電波部航空海上課監修『航空通信入門』電気通信振興会、1993年
運輸省航空局監修『数字で見る航空1998』航空振興財団、1998年
「関西地区でNTTの1万9000千回線がダウン」『日経コンピュータ』98年12月7日号 pp.116-122
電気通信総合研究所『世田谷電話局ケーブル火災による電話不通に関する調査研究』1985年3月
未来工学研究所『情報化社会のアキレス腱−東京世田谷電話局における通信ケーブル火災の社会的・経済的影響−』1986年8月
東京電気通信局『世田谷電話局とう道内火災事故復旧記録』1985年3月
金融情報システムセンター編『平成11年版 金融情報システム白書』財政詳報社,1998年

Vulnerability of the Advanced Network Society:
A Study of the Social Impact of 1998.10.28 Accident in the Osaka NTT Network

Shunji Mikami Isao Nakamura
Mitsuru Fukuda Osamu Hiroi

In contemporary society, the advanced telecommunication networks have been developed and penetrating into our daily life. As our society becomes more dependent on the networks, the societal impact of an accident in the core network upon various social systems increases and gets serious. Thus, it is quite important to do research on the social impact of an accident intensively and derive lessons and possible measures from them in order to explore the ways to construct the disaster-resisting system in the common carriers, system users, and the general public.
At 10:07 of October 28, 1998, the exclusive telecommunication lines of NTT Higashi Yodobashi branch in Osaka became impaired and about 19,000 exclusive lines became out of service for about ten hours and 3,239 users were affected by the accident. At several major domestic airports such as Kansai International Airport, the departures of airplanes were delayed for several hours. At the police departments and fire departments in Osaka, the emergency phone lines were temporarily interrupted. In several banks, the ATMs and CDs became unavailable for several hours.
In this paper, we report our research on the impact of the accident at the Osaka NTT network . We made interviews with the key personnel of NTT, air-traffic control agency, banks, stock exchange bureau, police department, fire department, and other network users who were affected by the accident.
From the research, we derived a causal model explaining the determinants of the damage of a accident in telecommunication networks. Three contributing factors were identified: importance of the system, degree of the impairment and network dependency of the system. The degree of impairment in a system is positively related with the area and time of the accident and is negatively related with the degree of backup system and recovering activities. Of these variables, it was found that the degree of network dependency, backup system and recovering activities are controllable factors and thus play the key role in mitigating damage.

Key Words: Network Society , Vulnerability , NTT , Telecommunication , Social Impact ,
Social Research , Disaster Research