元社員がカード偽造、3100万円の窃盗容疑で逮捕された事件は、NTTデータには痛すぎる出来事だろう。容疑者はシステムの運用責任者の立場を利用し、ATMのローンカード取引記録を不正に持ち出し、カードを偽造した挙句、17人分の現金を引き出したというから、かなり大胆な犯行だ。取引記録を盗むために出力プログラムも改ざんしたそうだが、聞くところによると、それを「カイゼン活動」の一環として行っていたという。ちょっと暗澹たる気分になった。
この容疑者はNTTデータの協力会社から派遣され、NTTデータが運用を受託している仙台銀行のデータセンターで働いていた。元社員ということでNTTデータから信頼され、運用責任者の重責にあった。しかも、出力プログラムだけでなく、入退出のための指紋認証システムの履歴も改ざんしたとのことで、技術者としてのスキルも高い。こんな信頼とスキルのある人が犯罪に手を染めたら、いくら強固なセキュリティシステムでも突破される。NTTデータはそう弁明しているようだが、本当にそうだろうか。
カイゼン活動と称してプログラムを改ざんしていた――このことが今回の事件を象徴している。いくら運用責任者とはいえ、プログラムの“修正”を周りの誰もが不審に思わない。プログラムの“修正”結果を誰もチェックしない。そんなことがあり得るのだろうか。その話を聞いたときは、そう思ったが、よく考えてみると十分にあり得る話だ。システム運用の現場の多くは、技術者の属人的な努力によって支えられているからだ。
課題を発見したら、放置せず、指示を待たず、主体的にカイゼンする。もちろん報告とチェックは不可欠だが、そうした内部統制よりも、技術者の善意と献身という“現場力”がシステムの運用を支えてきたのだろう。プログラムの修正はカイゼン活動として当然やるべきことだし、彼なら正しくやり遂げるはずだ――容疑者はそこを突いた。一方、NTTデータもそうした技術者の善意や献身にもたれかかって内部統制を怠った、そんな印象を受ける。
これでは金融庁などのセキュリティ対策基準を遵守していようが、指紋認証システムなどを導入し万全のセキュリティ体制を構築していようが無意味。まさに内部統制不備の典型的な事例といえる。そう言えば、NTTデータは、内部統制ソリューションやITIL関連ソリューションの展開でも、動きが鈍い印象があった。今後は、まず自社の内部統制の強化やITIL導入を進めていく必要があるだろう。
こうした事件が起る度に、やむ得ないことが、運用現場はガチガチに管理させていく。それこそ内部統制の強化だから仕方ないじゃないかと言われれば、それまでだが、ガチガチの管理は日本企業の強さでもある現場力を圧殺していく。統制と現場力の両立こそ必要で、そのためにも「普通に動いて当たり前」と思われがちなシステム運用の重要性に、もっと光を当てるべきだとも思う。
