変わる「動かないコンピュータ」
――頻発する情報漏洩を考える

中村建助

2004.04.05

　日経コンピュータでは，創刊直後から「動かないコンピュータ」という連載を継続してきた。簡単に言えば，開発の大幅な遅れや深刻なシステム障害などといった情報システムに関連するトラブルを実名で紹介するコラムである。

　創刊直後は，その名の通り高額の費用をかけて導入したコンピュータを思ったとおりに使うことができず，本当にホコリをかぶってしまったような企業の事例を取り上げることが多かった。その後，大規模システム開発が増えるにつれて，破綻した大規模プロジェクトの実態を取り上げるようになった。オンライン・システムの利用が広がったり，インターネットが普及するとともに，こういったシステムの障害について紹介するようにもなった。

　記者は過去3年ほど，動かないコンピュータというコラムにかかわってきた。現在は，後述する「動かないコンピュータ・フォーラム」の主催者でもある。その経験から痛感するのは，時代の変化につれて思いも寄らないことが，新たな「動かないコンピュータ」を引き起こしているということだ。

　情報システムの活用の範囲はどんどん広がっている。また社会の変化につれて，情報システムに求められるものの質も変化する。こういったなかで新たな「動かないコンピュータ」が生まれるのである。

多発する情報漏洩・流出，深刻化するトラブル

　具体的な例を挙げよう。企業や個人の情報漏洩・流出に関連するトラブルがそうである。その増加については，言うまでもあるまい。今年に入っても，ADSL事業者のソフトバンクBBとアッカ・ネットワークス，三洋信販，テレビショッピング大手のジャパネットたかた，東武鉄道，サントリーといった企業で相次いで顧客情報などの情報漏洩が明らかになった（関連記事）。

　伝統的(？)な定義に沿って考えると，個人情報の漏洩・流出は「動かないコンピュータ」と言えるかどうか難しいところがある。システムは正常に動いている。開発が大幅に遅れているわけでもないし，システムがダウンして種々の業務に影響が出たわけでもない。しかし，記者は情報漏洩・流出は「動かないコンピュータ」だと考える。理由はある。

　まず，情報の漏洩・流出には，情報システムの一部を構成するデータベースが深くかかわっており，漏洩・流出の過程にはシステム部門やITベンダーが深く関与することも少なくない。情報システムに直結する問題である以上，動かないコンピュータで取り上げるにふさわしいと思うのである。

　もっと重要なことは，情報の漏洩や流出が，企業経営に大きな影響を与え始めたことである。

　冒頭に一例として挙げたソフトバンクBBは，情報漏洩対策に総額で40億円を投じる。40億円といえば，相当大規模なシステムの新規開発に相当する金額である。また，あるソフトバンクBBの競合会社幹部は，「情報漏洩が明らかになってから，ソフトバンクBBのYahoo!BBを解約して当社のサービスに乗り換えるユーザーが激増している」と打ち明ける。情報漏洩の影響がどこまであるかは不明だが，Yahoo!BBの利用者の伸びも鈍化している（関連記事1，関連記事2）。

　システムに関連するトラブルが，企業に大きな影響を与える深刻な事象になっているわけだ。影響の大きさを考えると，「動かないコンピュータ」だと考えるのが自然ではないだろうか。

背景にある構造問題は不変

　この「記者の眼」のタイトルは「変わる『動かないコンピュータ』」としたが，一方で変わらないものもある。それは，情報システムにまつわるトラブルが起きる構造である。従来存在しなかったような「動かないコンピュータ」の背景にも同じ構造が見える。

　情報漏洩や流出が起きる背景にも，過去の多くの「動かないコンピュータ」を生んできたとの同じ問題点が関係している。

　一つは，IT業界で根強い多段階の下請け構造の問題である。情報が流出した企業などを見ると，ユーザー企業からITベンダー，さらにITベンダーは外部企業に再委託しながら，3者が共同で個人情報を管理している例がある。このとき，再委託先，平たく言えば2次下請け以降の関係者が，本来秘密にしておくべき情報を持ち出しているケースが存在する。重要な個人情報を含むデータを下請け会社に移送する過程で紛失するといったケースもある。

　システム開発においても，多数の下請け会社がプロジェクトに参加するなかで，伝達すべき情報がスムーズに伝わらなかったり，あるいは本来必要なスキルを持たない人間がプロジェクトに参加するなかで，開発が難航する原因になることがある。開発の現場なのか，完成したシステムのデータを守るという，運用現場の一部なのかという違いはあるが，安易に下請け会社を利用することが，トラブルにつながるという構図に差はない。

　個人情報の漏洩・流出と経営のIT軽視の関連を指摘することもできる。情報漏洩・流出が相次いだ後に，ある大手外資系ベンダーの大企業向け営業部隊の幹部に会う機会があった。この幹部に，情報流出・流出のリスクを減らす方法についてたずねたところ，興味深い回答が返ってきた。その回答はこうだ。

　「情報流出などへの対策を含めたセキュリティを強化するには，システム部門だけでなく，経営トップの関与が欠かせない。こういった問題に取り組むには，法務部門や調達部門の協力が必要だ。複数の部門をまとめて進めていくのにはトップの力が必要だ。日本のすべての企業が，こうした視点からセキュリティに取り組んでいるとはいえないのではないか」

　経営がITをきちんと評価するかどうかということは，情報システム全般に共通する問題である。「動かないコンピュータ」の取材を続ける中で，改めてIT業界や情報システムが抱える問題の根深さに思い至ることも多い。

「動かないコンピュータ・フォーラム」営業中

　以上，「動かないコンピュータ」の変遷を巡る状況に引っかけて，相次ぐ情報漏洩・流出について述べてきた。実はこういったことは，通常の「動かないコンピュータ」で触れるのは難しい。日経コンピュータ本誌の「動かないコンピュータ」は，あくまでもニュースという位置付けの連載だからだ。話題になった最新のシステム・トラブルについて取材する，まだ他誌・他紙が取り上げていないシステム開発にまつわる問題を取り上げるのが目的なのである。

　ただし，こういった連載の位置づけには不満をお持ちの読者の方も多いようだ。よく，日経コンピュータ読者のみなさんから，「動かないコンピュータの話はわかった。できれば，そのシステムをいかに動かしたかを詳しく検証してほしい。こちらの方が役に立つ」といった声が寄せられる。

　もちろん，ニュースとしての「動かないコンピュータ」だけで，読者のみなさんの興味に十分に答えることができていないことは，編集部でも分かっている。いかにして動かないコンピュータを減らすか，というのは大問題である。とはいえ，解決法を見つけるのは簡単ではない。しかし，読者のみなさんの意見にも答えたい。

　そこで，みなさんの意見にこたえるための試みとして日経コンピュータでは2002年4月から，Webサイトで動かないコンピュータについての議論を進めてきた。冒頭に少し触れた「動かないコンピュータ・フォーラム」がそれである。

　これまでは日経コンピュータの読者を中心に「動かないコンピュータ・フォーラム」を進めてきたが，より参加者を増やしてフォーラムをさらに活性化したいと考えるようになった。実は，動かないコンピュータ・フォーラムへの参加者を増やしたいという考えもあって，この記者の眼を執筆している。

　ちなみに，今回の動かないコンピュータ・フォーラムは，「個人情報漏洩・流出を考える」と題して個人情報の漏洩・流出の問題について議論している。こちらも合わせてご覧いただければ幸いである。同フォーラムでもご意見を募集中だが，「記者の眼」の読者の皆様にも「情報漏洩・流出の防止」について，ぜひご意見をいただきたい。よろしくお願いします。