« 日本経団連 「電子行政推進シンポジウム」(2009.12.08)開催の様子 | Main | 名古屋市が住基ネットから離脱? »

2010.01.19

パブリッククラウドコンピューティングが普及すればITガバナンスが重要となる?

 こんにちは、丸山満彦です。日経ITProの「東葛人的視点」の2010.01.18のエントリーに「SaaSを勝手導入、クラウドで生じる新たなサイロ化」という話がありますが、私が以前から気にしていた点と同じ問題意識ですね。。。

 
東葛人的視点
・2010.01.18 SaaSを勝手導入、クラウドで生じる新たなサイロ化

=====
 米国で問題になりつつあるのは、ITガバナンスに関するものだ。米国企業では、利用部門がSaaSを勝手に導入してしまうことが、情報システム部門を悩ましているのだという。情報セキュリティ上で危うい事態だし、各利用部門が独自の判断でサービスを選定するものだから、SFAひとつとっても部門ごとに異なるサービスを導入していたりする。なんとかして情報システム部門がそうした動きを統制しないと大変なことになる、そんな話だった。
=====

 法人という枠組みをはずして機能として考えると営業部門は効果的かつ効率的な営業を行うために目的に適合した(セキュリティも含む)低価格なITサービスを活用したいと考えますよね。。。営業部門の利益だけを考えると別に自社の情報システム部門やグループ会社が提供するITサービスでなくてもよいわけです。しかしながら、従来は、システム開発窓口として情報システム部門等をはずすことができなかったわけです。新たな営業支援システムを構築するためには、必ず情報システム部門を通して、開発等を子なってもらう必要があったわけです。。。
 ところが、このようなITサービスを簡便に(たとえば、ウェブ閲覧ソフトがあるだけで)利用できるのであれば、情報システム部門等を通す必要はなくなってくるわけです。。。
 そうすれば、営業部門は情報システムに営業支援システムの構築依頼をすることなく、直接取引先からITサービスを購入してしまうことになりかねません。。。
 それがセキュリティ上の問題や全体最適の観点から問題になることがあり得ますので、全体をコントロールできる仕組みを作っておく必要がありますね。。。
 ITサービスの利用まで含めた全体的なITガバナンスというのが重要となるでしょうね。。。

 とある会社でユーザー部門が独自にSaaSの導入を決めてしまいそうになっていたそうです。ITサービスの利用については情報システム部門が承認することに規定上なっていて、部門の人が情報システム部門に確認したので情報システム部門が承認しての導入という方向になりそうです。
 ただ、当初の想定では、ITサービスの利用というのはネットワークや開発といったいわばインフラ部分の委託が多く、情報システム部門の承認が必要というのは違和感がなかったのですが、SaaSといった業務側のITサービスの利用となれば、情報システム部門が前面にでて承認というのは違和感があるかもしれません。そのあたりの既定のかきぶりというのは工夫の余地がありそうです。。。

 そういう意味も含めてITガバナンスのあり方は今後の検討課題となりそうです。。。 

|

« 日本経団連 「電子行政推進シンポジウム」(2009.12.08)開催の様子 | Main | 名古屋市が住基ネットから離脱? »

Comments

 システム部門で管理していないシステム、というのは以前からあったかと思います。
 J-SOXの対応時によく出ていたのは、人事・給与システムですね。人事部門がシステム部の管轄外で管理していた例が多かったです。

 社内のシステムの管理を誰がどのように行うのか?という点に帰着すると思いますが、「東葛人的視点」の記事にもあるように、「社内管理にしたとたんにコストが何倍にもなる」という状況だと、コストがかかる理由を社内に納得させないといけないと思います。
 システム部門が、単なるシステムのお守りだけを社内に提供していると、規模の大きい社外サービスに価格で勝てない、となりかねないので、ここはコンサル型(ソリューション志向)のサービスを社内にも提供することが求められるように変化していくのではないでしょうか。<J-SOXでも「業務でどのようにITを利用していくのか?」というのが問われていたハズとは思いますが、システムの全般統制整備で疲労してしまった会社も多いと思っています。


 少し話を大きくすれば、システムだけではなく間接部門的なものは社外サービスで良いのかも知れませんね。例えば給与計算は既に社外委託も多いですし、物流業務・経理業務(IFRS化したら海外委託もありうる?)・総務業務もユニット化して社外のサービスを利用、という流れになるかもしれません。「自社の強みは何なのか?」という点を、経営者がどのように表現していくのかが、強く求められうようになるのかと。

Posted by: Mulligan | 2010.01.19 21:56

Mulliganさん、コメントありがとうございます。
確かに、監査先で人事・給与システムですね。人事部門がシステム部の管轄外で管理していた会社がありましたね。。。
 それ以外は、工場の現場の制御システムとか、、、 
 でも、それなりにシステムに精通している人が対応しているようにも思います。。。

 でSaaSというのは、いわゆるJ-SOXで問題となったEUCのアウトソーシングに近いのではないかと思っています。
 EUCは情報システム部門の管理が及んでいなかったので、J-SOXのときにいろいろと問題があった会社も多かったのではないかと思います。
 SaaSになればそれがさらに委託先の管理等の問題が生じることになると思います。。。
 今後検討すべき課題でしょうね。。。

Posted by: 丸山満彦 | 2010.01.20 09:40

丸山 様

夏井です。

個人データを含むデータ処理をSaaSで外部委託する場合,「必要かつ適切な監督」(個人情報保護法22条)が可能かどうかが問題になります。ところが,CSOもCIOもお飾りだとすれば,完全に違法状態ということになりかねませんね。

また,もし法の求めるとおりの義務の履行の有無をしっかりと行政監督するとすれば,現在の普通の約款に基づくSaaS利用の大半が個人情報保護法に定める義務違反を構成する違法なものとなってしまう可能性があります。

さて,今後,「統制」が重要になることはそのとおりだと思います。ただし,その統制の「あり方」のようなものが最も重要な論点になりそうですね。

例えば,絵に描いたような「統制」を前提とすると,従来の企業慣行の相当多くの部分を廃棄し,人事制度等も根本から変更してしまう必要があるだろうと思っています。本来あるべき統制は,普通考えられているよりももっと厳しく徹底したものであり,特定の企業内での部門毎の独立権限は大幅に縮小させられなければならないと理解しています。どちらかというと民主制というよりは独裁制に近い上命下服の仕組みが必要になるでしょう。それは,日本的風土とは全く異なる世界だと思います。労働者保護の観点からすれば,労働者の基本権をもっと強化しないと,そのような統制の世界ではバランスがとれなくなってしまいます。

逆に,「日本的風土が正しい」という前提にたつと,「統制は難しい」という結論に行かざるを得ないような気もします。

そのどちらの前提からスタートするかは経営者の判断の問題だと思います。でも,どちらにしてもそれを徹底しようとすると様々な問題が浮かび上がってきてしまうわけで,要するに,一筋縄ではいかない問題ということになりますかね。

Posted by: 夏井高人 | 2010.01.20 21:49

夏井先生、コメントありがとうございます。

パッケージサービス(たとえば、宅配便もそうです)に対する個人情報保護法でいうところの外部委託の監督の義務についてはSaaSに限らず論点を解決せずにそのまま、今に至っているような気もします。

SaaSなどの場合は、大きな問題ともなることが想定されますので、Googleという委託先の監督ができるのか?という問題に対応しないといけないのかなぁ・・・とも思います。。。

=====
今後,「統制」が重要になることはそのとおりだと思います。ただし,その統制の「あり方」のようなものが最も重要な論点になりそうですね。
=====
そうですね。。。
統制のスタイル(つまり「あり方」)は幅がありますよね。。。

もっとも上命下服なスタイルは、軍隊です。(軍隊は組織の基本です)
もっとラフなスタイルとしては、サークルのような組織ですね。。。

それぞれの組織風土に合わせた統制のスタイルがあります。

これは経営論として非常に重要ですね。。。

Posted by: 丸山満彦 | 2010.01.22 12:25

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference パブリッククラウドコンピューティングが普及すればITガバナンスが重要となる?:

« 日本経団連 「電子行政推進シンポジウム」(2009.12.08)開催の様子 | Main | 名古屋市が住基ネットから離脱? »