「このままでは、システム構築3法を必要とする日が来るかもしれない」。ITサービス業界におけるコンプライアンスの重要性を、こんな形で表現するのはCSKホールディングスの有賀貞一代表取締役だ。
いまやシステムは社会インフラと化しており、ソフトウエアの重要性が増している。それにも関わらず、システムを開発する側も利用する側もその認識が低いことに対する危機感からの発言で、有賀氏は決して法制化を望んでいるわけではない。
だが、「ほんのちょっとしたことなので、1行直せば済む」という安易な考えがあるのではないか。システムに何らかのトラブルがあっても、「ソフトのバグだった」の一言で処理し、徹底的な原因究明をしない。二度と起こらないよう対策を施されたのかを明らかにしないケースもあるのではないか。社会的に重要なITシステムなら、その1行のミスが重大な事故に発展するかもしれない。自動車や家電などに組み込まれたソフトのバグが社会を混乱に陥れる可能性も否定できない。電気が止まったらどうなるかではないが、「システムの重要性を認識するために、1日だけでいいからソフトを全く使わない日を作ったらどうだろう」と有賀氏は真顔で語る。
これまでも金融機関などでシステムにまつわる事故・事故は後を絶たない。そのたびに局所的とも見られる対応策を打ってきた。だが、必要なのは、トラブル発生時の緊急対策を企業として事前に決めておくことだ。「それが不十分だと感じるのは、社会インフラとして安心、安全をどう守るかを徹底的に議論していない」(有賀氏)からだろう。
家電などには製造物責任法があり、法を犯せば何らの罰則がある。事故にいち早く対応することも欠かせない。場合によっては、損害賠償を求められるだろうし、不二家のように社会的な制裁を受けることもあるだろう。でも、システムではトラブルが発生しても何ら罰せられない。ITサービス業界は、いつまでも未熟のままになってしまう。
まずは業界の自主規制を
そうした事態を防ぎ、システムに対する認識を改める上でも、「業界の自主規制が必要になる」と有賀氏は言う。業界の立場で責任を明確にすることでもある。もちろん要求仕様をきちんと説明できない利用者側の責任者はあるが、システム開発に対する社会的責任の大きさを示すためにも、ITサービス業界が自らITシステムや組み込みソフトの品質、信頼性、安全性を保証する仕組みを作るべきだという。決められたルールやガイドラインに沿ってシステムを開発しているか、利用者側との責任分担を明確にしているのか、などが求められる。
それでもITサービス業界が自主規制を徹底できないときはどうするか。そのときに「システム構築3法」といった公的な規制が必要になるだろう。例えば建築3法のように、IT業界全体で品質や信頼性を守る「システム構築基準法」、ITサービス会社がシステム構築のルールやガイドラインを適正に実施するための「システム構築業法」、そしてシステム開発に携わる技術者が倫理規定を守る「システム構築士法」と、業界、企業、個人を対象とするものだ。
そのためには、技術者の資格や能力も明確にする。例えば、「ある規模以上のシステムなら、必ず2人のITアーキテクトを配置する」といった具合だ。トラブルの説明責任を明文化し、システムを対象にした保険制度も必要かもしれない。システム障害や再構築の補償を、当然のように求められるからだ。「そうしないと、システム開発の緊張感がなくなる」(有賀氏)し、ユーザー側に業界の強い信念を伝えられない。システムが止まれば、事業継続に支障を来たすことも説明しなければ、「経営目標を達成するための仕組みなのに、ユーザーは少し話せばやってくれると思ってしまう」(有賀氏)。利用者に、ソフトへの依存が高まっていることに加えて、システム開発は労働集約型という事実を知ってもらうことも欠かせないだろう。
自主規制にせよ、システム構築3法にせよ、ルールやガイドラインの明確化は、ITサービス業界にとって、品質の向上、さらには品質の計測化にもつながる。計測化を実現できれば、ITサービス会社はサービスの質に対する料金体系も提示できるだろう。「この手法には高度な技術者が必要で手間もかかるが、高品質なシステムを構築できる」といったことを示せれば、システムの価格低下を避けられる。
社会インフラとなるような重要なシステムを、「安く費用で仕上げてほしい」と要望されても無理である。コストが安ければ、それなりのインフラしか開発できない。ルールやガイドラインの明確化により、「一般的な手法なら梅ですので、品質もこんなものですが、どうしますか」と利用者側に自信を持って言える。ITサービス会社は品質や信頼性で勝負する時代になる。
本コラムは日経ソリューションビジネス07年3月15日号「深層波」に加筆したものです。
