 |
|
動かないコンピュータ・フォーラム 第29回 「下請けは不可欠」に甘えてはいけない 動かないコンピュータ・フォーラム 主宰者 中村 建助=日経コンピュータ編集 |
|
|
システムの開発や運用において、下請け会社の利用は避けられないことです。しかし、下請け会社を利用することが当たり前のことだからといって、無反省に現状を受け入れてはならないでしょう。
前回の動かないコンピュータ・フォーラムは、「防衛庁データ流出事件で残った謎を考える」というテーマでした。同事件の謎はおそらく第三者には解明することはできないでしょう。しかし、安易な下請け企業の利用が、大きな問題をもたらす可能性があることは、間違いありません。
こうした現状を変えるように努力していかなければ、第二、第三の防衛庁データ流出事件が起こるのではないでしょうか。そのためにできることはあるはずです。
情報の重要性を認識していたのか
ご意見を寄せていただいた皆さんからは、機密情報の管理体制を変える必要があるのではないかというご指摘がありました。
5月7日には、システム部門の方から、次のようなご意見をいただきました。
| 結局企業が固定費を減らすことを重視する以上は下請けは減らない。通常業務で派遣、委託が増えているのにシステム開発だけが例外にはならない。システムに限らず派遣社員が機密データを持ち出すことは共通の問題だと思う。 有形物を持ち出すのは窃盗の意識が働きやすいが情報の価値はそれが働きにくい点に差があると思うので、情報価値をもっと明示的にできるような仕組みが糸口にならないかと思う。もっともそれがヒントになって確信的に持ち出す輩も生み出す心配があるが。 (40代、ユーザー企業、情報システム部門) |
情報が無形物であるために、大きな罪の意識もなく簡単に持ち出してしまえるという点は、その通りだと思います。しかも紙に記録したものに比べて、デジタル・データの複製ははるかに簡単です。持ち出した痕跡すら分からないままということもあり得ます。
現在、システム部門のアウトソーシングに踏み切る企業が増えていますが、会計や人事にかかわる業務については、機密性が高いことを考えて、アウトソーシングを取り止める企業が現れていることも確かです。システム部門が扱う情報の機密性についても、再考の必要があるかもしれません。
5月6日には、システム・インテグレータのエンジニアの方から、リスク管理の視点の欠如を指摘するご意見がありました。
| 官も元請けも、発注時のリスク管理の意識のなさが一番大きな問題だろうと思う。通常、このようなデータの場合、作業は閉じた職場内に収め、自宅での持ち帰りも、職場外への発注もコントロールした状態で作業することが普通なのではないか? このようなコントロール自体を知らないのなら、発注側としての姿勢を強く問われても仕方があるまい。 一方、このような管理もできないくらいに予算がきつい条件で発注されているのであれば、そもそもの発注仕様が「国防」という仕様を満たしていなかったのだろう。リスクがしかるべき手法で管理されていないように見える現状が恐い気がする。 (40代、システム・インテグレータ、システムエンジニア) |
リスク・マネジメントのかけ声は高くなっていますが、実態としてどの程度の企業や官公庁が真剣に取り組んでいるのでしょうか。リスク・マネジメントは、ベンダーや下請け会社に外注できるものではありません。しかも、リスク・マネジメントには「終わり」も「完全」もありません。コンサルタントなどの協力を得ることは可能でしょうが、最後は自分で取り組むしかないのです。
防衛庁データ流出事件では、データの流出源が富士通だったことが比較的早くから明らかになった上に、防衛庁のデータを持ち出して富士通を恐喝しようとした犯人たちが、富士通の管理のずさんさを強調したこともあって、防衛庁のリスク・マネジメントの姿勢について、詳しく触れられてはいませんでした。
読者のご指摘のように防衛庁は「国防」に直結する官庁です。機密漏洩に対するリスク・マネジメントは、いくら厳しくても厳しすぎるということはなかったのではないでしょうか。同庁のリスク・マネジメントについても不備があったとは言うべきではないでしょうか。
入札の不備も外注への甘えを促進
現行の入札制度と、発注者である官公庁の問題点を指摘した意見もいただきました。記事を公開してから日が経つごとに入札の問題について指摘した意見が増えたことは、個人的に興味深いことでした。
5月7日に、システム部門の方から以下のご意見がありました。このご意見は防衛庁データ流出事件ではなく、本誌4月21日号で取り上げた、仙台市役所の給与支払報告書の紛失の問題についてのものです。
| 仙台の事例では、元請けが契約を無視しているといった問題以外に、発注側に大きな問題があるのではないか。発注側が作業量のコントロールが出来ないため(また、出来るのに面倒と思ったのかは定かでは無いが)に、全作業量を一社に一括で発注してしまう事は、官公庁や地方自治体ではよく行われている。 受注側は、見積もり依頼の時点で作業量と人員で出来る期間の見積もりを出しているべきであるが、実際には、期間も量も決まっていてそれを「出来るか、出来ないか」また「幾らでやるか」に見積もりの意味が限定されているのが、実態であろう。当然、この不況期に仕事の依頼を「出来ない」と断る企業は稀である。しかし、出来る能力は(臨時雇用も含めて)雇用している人員数で限られるわけである。 よって期間が限られている場合は、期間を優先するために出来ない部分を再委託してしまう事となる。発注側は、適正な発注とは何か(早いけれど高い、長いけれど安いのどちらを選択するかなど)を十分考える必要がある。 (40代、ユーザー企業、情報システム部門) |
日経コンピュータでも何度も指摘しましたが、官公庁の情報システムの調達にはいろいろな問題があります。仙台市や防衛庁がそうだったかどうかは別として、調達の内容について、合理的かどうかを判断できない官公庁があるのは残念ながら現実です。
また官公庁のシステム調達に関連する問題として、「無断で下請け企業を利用するのは禁止する」と決めておきながら、現実には無許可で下請け企業を利用するという事実があります。5月15日には、こうした事実についてのご意見がありました。入札資格や、下請けを事実上黙認するような調達体制には大きな問題があります。
| 官公庁の入札案件では、入札資格があり、その入札資格があることで事実上仕事を請ける企業が限定されている。請け負った企業は名前だけで、実際の仕事は下請けに出すことが前提で入札に参加している。この構造が腐敗と余分なコスト消費を呼んでいるといってもいいのではないか。担当者が自分の仕事で手を抜くために、仕事をまとめて大きくし入札制限をかけるということを止め、実際の仕事を請ける業者と直接契約するための工夫をしない限り、この腐敗の構造が呼ぶトラブルはなくならないだろう。 (30代、ハード・ソフトベンダー、システムエンジニア) |
5月20日には、エンジニアの方から、ベンダーが下請けを利用せざるを得ない事実の背景についてのご意見がありました。ご指摘のように、実際の企画の開始と調達時期に大きな開きが生じてしまうことは、単年度会計を原則とする官公庁が抱える問題の一つでしょう。
| 入札するためにはそれなりの体制を用意する必要がある(場合によっては100人月超)が、落札できなかった場合はすべてが無駄となる。無駄コストを削減するためには計画が必要であるが、入札案件はこの計画が立てられない。入札案件などが2次、3次外注発注などの必要悪を生んでいるのではないでしょうか? (30代、システムエンジニア) |
国産メーカーのリストラも関係か?
前々回の動かないコンピュータ・フォーラムで取り上げた国産メーカーのリストラが、下請けの質を下げているのではないか、という意見を5月8日にはいただきました。危機管理意識を高め、入札制度を改善したとしても、悪意のある人間がシステムの開発や運用に参加した場合には、情報の漏洩などのトラブルをなくすのは非常に困難です。
国産メーカーは、リストラを進展させる中で、いかに業務の質を維持させるのかについて、新しい回答を探すべきときに来ているのかもしれません。
| 2点の問題がある。1点目は、人件費・外注費削減によるエンジニアの人間性の低下である。前回の国産ベンダーのリストラとこの件は非常に密接な関係にあるといえる。下請けの多重化・階層化につながる最大の理由は、下請けSEの人件費削減である。また、人件費が下がれば、エンジニアの質は落ち、志の低い人間も混じって来ざるを得ない。 2点目はセキュリティの認識不足である。べンダーは紺屋の白袴状態であり、ベンダー内でISMS等を適用して管理している部門など、聞いたことすらないのが現状である。まして、現場ではアクセスされている情報の重要度をそれほど認識している訳ではない。大体、ベンダー内部でも現場は後回しで、事業部長やらお偉いさんが触る本来、あまりセキュリティが不必要な社内情報を扱うスタッフ系システムが、先にセキュリティ化対象になっているのが現状。現場を軽く扱う会社に先は無い。 (30代、システム・インテグレーター、コンサルタント) |
今回、総括記事の公開が当初の予定より遅れましたことを、お詫びします。
