【ネット時評 : 内田勝也(情報セキュリティ大学院大学)】
CIO補佐監として考える情報システムの課題

uchida02.jpg
 
 2007年9月より、人口約370万人、職員約27,000人の日本一の政令指定都市、横浜市のCIO補佐監を拝命した。
 

 自分の本務は情報セキュリティ大学院大学の教員であり、非正規職員である。まだ就任後1年にも満たないが、過去にいくつかの自治体から依頼を受けセミナー等で講演した際にも感じていた課題(自治体だけの問題ではないが)について考える機会を持つことができた。
 
 複数のCIO補佐業務を経験している良き友にも恵まれ、自治体での情報システムの考え方について貴重なアドバイスを受けたり、あるべき姿について意見交換する機会も得られた。このような観点から、わが国の自治体、そして企業が抱える情報システムの課題を考えてみた。
 
 なお、本稿の内容は横浜市など、特定の自治体を対象としたものではないことを最初にお断りしておきたい。

 
なぜ外部委託をするのだろう?
 
 国内では特に2000年以降、情報システムの外部委託が自治体や中堅以下の金融機関などで盛んに行われるようになってきた。
 
 情報システム開発にはSDLC(System Development Life Cycle)という考え方がある。そこには①開始、②調達/開発、③実装、④運用/保守、⑤廃止の5つのフェーズがある。
 
①開始:計画立案、実現可能性調査、予算設定など
②調達/開発:要求仕様の作成、システム設計、プログラム作成、テストなど
③実装:システムの導入、検収、ユーザ教育など
④運用/保守
⑤廃止:システム破棄など

 現在、このSDLCを厳密に適用しているプロジェクトは少なくなってきているが、基本的な考え方は大きく変わっていないようである。
 
 外部委託では、②の大部分から④までの中核のフェーズを外部に委託することになる。内部に残るのは、①と②の要求仕様の作成、⑤のシステム破棄程度で、これでは情報システム部門とは言い難い。このため、多くの組織では、情報システムの専門家をどのように育成するかが課題になる。さらに、外部委託後の時間が経過すればする程、情報システムがブラックボックス化し、最悪の場合、要求仕様さえ作成できなくなる。
 
 外部委託の方が費用が安い、とも言われるが、中核部分を手放してしまえば、外部委託先の言うことに従うしか方法がなくなる。
 
 情報システムだけでなく、どのような業務であっても、外部委託を行う場合は委託業者と同等の能力の専門家が委託元でも必要である。そうでなければ、外部委託でなく「丸投げ」になってしまうからだ。
 
 また、情報システムというものは対応業務をシステム化して終わりではない。むしろ、システム化した時点が始まりで、システムの管理・運用や制度変更があれば、業務変更を正しくベンダーに伝え、変更させることができなければ「ベンダーロックイン」とも呼ばれる状況に陥ってしまう。


単年度委託契約の課題
 
 中央政府や自治体は、原則として単年度予算になっている。このため、予算成立後に入札準備が必要で、その後入札を実施し、業者選定を行い、その業者にシステム構築を委託する。単年度予算であれば、年度末には納品を行うことになる。
 
 一般的には、入札は7月前後に行われ、8月位から構築が行われ、納品は翌年3月末となる。システム構築を行う期間は8カ月しかない。
 
 もし1つのシステムを8カ月で構築する場合と12カ月で構築する場合とどちらが総額で高くなるだろうか。情報システム構築経験者であれば、通常は「8カ月の方が高くなる」と回答するはずだ。
 
 一部の業務については複数年度での契約を行っているケースもあるが、年度末には報告させる制度が残っていることが多い。情報システムの各ステップは、年度単位で終わるようになっているのだろうか。各ステップ終了ごとに報告を行う方法がなぜ採用されないのか?
 
 情報システムでは、100人月の仕事を10人でやれば10カ月でできる可能性があるが、100人でやっても1カ月で終わらないのは常識である。これはF. P. ブルックスJr.の「ソフトウェア開発の神話」(企画センター、1977年・絶版。現在「人月の神話―狼人間を撃つ銀の弾はない」としてピアソン・エデュケーションから出版)ですでに指摘されている。


手段と目的

 随意契約やベンダーロックインの解消は重要なことだと言われる。しかし、随意契約やベンダーロックインを解消すること自体は目的ではない。適切な費用で、迅速な対応を委託先に行わせることが目的ではないのか。
 
 「良い随意契約」や「良いベンダーロックイン」もあるような気がしてならない。最近聞いた話であるが、某自治体は10年の契約で外部委託を行ったとか。詳細を確認していないが、業務システム構築のSDLCを使って言えば「(開始)、システム構築、運用、システム更新、運用、(廃止)」というサイクルの契約であろう。短期の入札を繰り返した時の費用総額や、ベンダーの迅速な対応を求めることを考えると、この様なベンダーロックインが問題とは思えない。
 
 また、一定金額以上の情報システムの場合、分割発注を行うことが望ましいとも言われる。分割することにより、大規模システムを大手ベンダーだけでなく、地元の中小ベンダーに発注することが可能になると言う。しかし分割を行えば、全体を統括するプロジェクトマネジメントが必要になる。それを発注側で行えなければ、プロジェクトマネジメントを行う委託先も必要になる。更に、分割した各フェーズで遅延があれば、次のフェーズを受託した企業に影響を及ぼす。中小ベンダーは、それらに柔軟に対応できる余力を持っているだろうか?


人材育成

 外部委託を行えば、情報システム人材は不要だと考えているケースが多い。情報処理産業とも言える金融機関でも、外部委託すれば情報システムを考える必要がなくなる、と思っている経営トップ・幹部が多いと聞いている。
 
 自治体の業務も、金融機関ほどではないが、情報システムは住民サービスを行うための重要なインフラだ。
 
 先日、ある中規模の自治体の担当者と話をする機会があった。業務知識をきちんと把握している職員が現業部門で減っているのだという。システム化すると重要な部分がコンピューターで処理されるため、業務について知る機会が減るためであろう。今始まったことではないが、システム化されると業務知識はシステム部門に移る。しかし、外部委託ではシステム部門の機能が内部にないため、業務知識が内部に残らない。
 
 システム部門の強化は、必ずしもベンダーなどからシステム経験者を採用することではない。 少なくとも、基礎的な業務知識と自分の知らないことを業務部門から聞き出す能力があれば、相当のことが可能になる。
 
 必要なのは、いわゆるPMO(プロジェクトマネジメントオフィス)で、プロジェクトマネジャーとして活躍できる人材ではないかと考えている。このような人材育成ができれば、入札も適切に実施できるし、「悪いベンダーロックイン」を阻止できる可能性は高いだろう。
 
 
CIO補佐という仕事

 CIO補佐という役割を考えてみると、主に3つの機能があるように思われる。
 
1.情報システムの基盤を適切に把握し、その方向性を理解できる知識・能力
2.業務知識をもって、プロジェクトマネジメントを行える知識・能力
3.情報システム戦略を策定できる知識・能力

 このような機能を持つ人材を内部から育成するのか、外部から調達するかはその企業・自治体特有の課題になるだろう。
 
 もう1つ重要な事柄としては「CIO補佐担当者の地位」がある。中央官庁の多くでは、CIO補佐官は、課長職以下、室長レベルに位置づけされている。権限も予算も十分に与えられていなければ、誰もなり手がいないのが現実ではないだろうか。某省では、システム関係部門への異動の内示をうけた職員が、そのために退職したという笑えない話もあると聞いた。


当たり前のこと

 当たり前のことが、情報システム関連ではできていない所に問題があるように思われる。システム部門やシステム要員が、自分達とはかけ離れた存在であるとの考え方から脱却することが大切だ。
 
 7月初旬にソウル市で開催された、「World e-Government Mayors Forum 2008」に参加する機会があった。 ソウル市の主催で、国連経済社会局(UNDESA)や国連ガバナンスセンター(UNGC)などが後援として名を連ねていた。
 
 韓国、特にソウル市は、電子政府・電子自治体でトップクラスであり、2つの調査で上位にランクインしている。ラトガース大学と成均館大学による「Rutgers-SKKU Global E-Governance Survey」、そしてIT活用の先進地域を表彰しているインテリジェント・コミュニティー・フォーラムの「Top Seven Intelligent Community of the Year」だ。
 
 調査の1つは、米国と韓国の大学が共同で実施しているので、多少、割り引いて考える必要があるとの話もあった。しかし今回会議に参加してみて、ソウル市では情報システムが基盤として機能しており、単なる箱物的な発想ではないように感じた。市のマスタープランに情報システムが組み込まれており、ネットワーク化されている。個々の計画はわが国の多くの自治体でも考えていることだが、それを総合的にとらえ、統合化した計画を立てている所にソウル市のすごさを感じた。

 自治体や経営者トップの方々が考えなければならないことは、情報システムの知識・経験がなければ、まずは、関心を持つだけでも大きな変革をもたらす、ということだ。
 
 CIO補佐監を拝命して、昔、そんなことを言っていたことを思い出している。

<筆者紹介>内田勝也(うちだ・かつや)情報セキュリティ大学院大学教授
電気通信大学経営工学科卒。中央大学理工学研究科博士課程修了。博士(工学)。オフコンディーラーにてシステム開発、ユーザー支援等を担当。在日外国銀行でシステム監査、ファームバンキング技術支援などを担当。大手損害保険会社にてコンピュータ包括保険導入プロジェクト、情報セキュリティー調査研究等に従事。中央大学 にて、「ネットワークセキュリティ」(修士課程)講師、情報セキュリティ人材育成プロジェクト推進、21世紀COEにて事業推進担当等。情報セキュリティ大学院大学にて、情報セキュリティマネジメントシステム、リスクマネジメント、セキュアシステム実習を講義。Computer Security Institute(CSI、本部:米国)会員、情報処理学会会員、ISMS審査登録機関 審査判定委員会委員長。2007年より、横浜市CIO補佐監を務める。

<関連リンク>
内田氏のホームページ
http://www2.gol.com/users/uchidak/
 

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/266

コメント一覧

メニュー