情報システム構築やホームページ作成を外部業者に丸投げするリスクと対策の方向性

ITの有効活用・コスト見直しに強いコンサルタント

経営

金子清隆

かねこきよたか

デルタエッジコンサルタント株式会社

[ 中央区 ]

職種

経営コンサルタント

ITコーディネータ

コラム

公開日: 2016-02-15 最終更新日: 2017-05-01

情報システム構築やホームページ作成を外部業者に丸投げするリスクと対策の方向性

ITマネジメント

情報システムを開発する際に社内のリソースで対応する日本企業は少数であり、ほとんどの企業はいわゆるITベンダーに作業を委託しています。また、日常業務ではExcelで対応するような中小企業でも、ホームページの作成は外部に委託するケースが多いでしょう。そして、委託元企業が大企業であれ中小企業であれ、委託業者に丸投げされるケースが散見されます。

このような話をすると多くの委託元担当者は、「餅は餅屋」という回答をよくします。つまり、自分はITのことはよく分からないから、専門家にお任せしたほうがいいでしょう、という考え方です。しかし、丸投げで行われた結果の大半は、委託元企業の思い描いた内容が実現されず、投資に対して十分な効果が得られないことが多いのが現状です。時には、無駄なコストをかけてしまったと後悔するような場合もあります。

ありがちなITプロジェクトの例

A社は業務システムをリニューアルする際に、とあるITベンダーを委託先として選定しました。選定理由としては以下の通りでした。
・大企業を含む著名な企業において、同様のシステム構築の実績がある
・委託元が希望する内容を、最近流行りのアーキテクチャを使って構築することを委託先の担当営業が提案した
・見積金額が予算の範囲内だった

プロジェクトが開始し、要件定義から設計、開発、テストまでの作業すべてを委託先が実施する請負契約を締結しました。A社担当者は委託先からの問い合わせに対応することが主な作業でした。
予定していた納期が来ても委託先からの連絡はなく、問い合わせると作業が難航して2か月ほど遅れるという回答でした。
それから2か月後、委託先から作業完了の連絡があり、最終的な検収テストを行いました。その結果、入力した内容の取消ができない等の基本的な要件レベルで大きな漏れがありました。一通り全部の機能を確認したところ、さらに多数の抜けや漏れが確認されました。

どこに問題があったのか

上記の例のように、丸投げで委託したITプロジェクトが平穏無事に終了することは稀少です。冒頭で述べたように、丸投げする委託元の心理は「餅は餅屋」です。確かに技術的な面では委託先であるITベンダーにお任せすることは間違いではありません。しかしながら、情報システムの前提となる業務、ホームページに掲載する製品やサービスの特性、といったことに関しては、委託先は「素人」であることを認識しなければなりません。そのような素人に要件定義を任せた時点でITプロジェクトは破綻することが運命付けられたと言っても過言ではありません。

上記の例では、委託先を決めた理由の一つに過去の実績がありましたが、このようなITベンダーの場合、委託元の業務内容を十分に調査せずに他社での経験をそのまま当てはめている可能性もあります。同じ業種の会社であっても、社内の業務プロセスは大なり小なり変わってくるものです。つまり、過去の実績は参考にはなりますが、決定的な要因とはなりません。

要件定義を委託先に任せたことによるもう一つの問題は、要件定義から開発、テストまでが一貫した契約となってしまったことです。つまり、設計、開発の作業見積は要件定義の前に行わなければならず、見直しの機会がなければ、要件定義の結果開発作業が増えることになっても対応できないことです。その場合、（業務に関しては素人である）委託先の判断で重要性が低いと考えられた要件が削られてしまい、結果として機能の抜け漏れにつながります。

最後の問題点は、委託元と委託先とのコミュニケーション機会が少ないことです。上記の例のように問い合わせ対応だけということは通常ありませんが、最低限節目ごとに委託先の作業状況や成果物を確認できれば、最終的に構築されたシステムがおかしな結果になることはないと考えます。

どう改善するか

上記で示したプロジェクト例の様にならないために、どうすればよいのでしょうか。
前提となるのは、業務や製品・サービスの内容など、委託元にしかわからないことは積極的に関与するということです。
まず契約については、大規模なプロジェクトであれば要件定義、設計、開発、というようにフェーズ毎に区切ることで、フェーズの終了段階で委託元が作業内容を確認する機会を設けるようにすることです。短期間、小規模のプロジェクトであれば一本の契約でも構いませんが、各フェーズの終了段階でチェックポイントを設けるべきです。

要件定義に関しては、できるだけ委託元主導で進めるべきです。業務上の要件出しは委託元主導で行うべきです。システム的な要件定義の取り纏めは委託先で行ってもよいですが、要件定義の段階で抜けや漏れが発生しないよう、業務要件との突合せを行うべきです。

設計／開発／テストでは委託先主導で作業を進めることになりますが、定期的に会合を行うことで、スケジュールや予算の遵守状況、設計・開発上の課題等を共有する必要があります。開発が難航している場合、優先順位を決めるのはあくまでも委託元であるべきです。

検収テストでは、実務担当者を交えたテスト項目を作成し、検証を行う必要があります。業務システムやホームページの利用者の視点で、作成したモノが有効かどうかを見極める必要があります。

その他の注意点

以上は業務等にITを組み込む上での注意点になります。これに追加して、IT固有の問題にも目を光らせる必要があります。特に内部統制や情報セキュリティ上の対策は、ITを利活用する上で必須事項になります。

以前、ある会社のECサイトが不正アクセスされ、クレジットカード番号を含む顧客情報が流出したという事件がありました。この会社はECサイトの構築を外部委託したのですが、その際に委託元はセキュリティ上の要件を全く提示せず、発注を受けた委託先も「言われていないので」という理由でセキュリティ対策をまったく行わなかったということでした。

この事件は委託元による損害賠償請求訴訟に発展しました。結果は、この時の不正アクセスがSQLインジェクションという基本的な手口で行われており、そのレベルの対策は明示していなくても対処すべきであるということで被告である委託先が支払いを命じられる判決となりました。

しかし、顧客情報が流出したという事実は変わらないので、その会社のブランドや信頼性に対するダメージは損害賠償で獲得した金銭で補てん可能なレベルではないと考えられます。

この事例はITベンダーにとって大きなインパクトを与えたことで注目されていますが、一方で、ITに不案内な企業でも、少なくともIT上の施策として何を確認すべきかを理解していないと、情報セキュリティ上のリスクを抱えた情報システムやホームページが構築される可能性があることを示唆しています。当然、検収時にもセキュリティ対策の有無を確認できなければ、事件が起きるまでリスクの存在が分からないことになります。社内リソースで対応できなければ、ITベンダーと議論できるような第三者を使うという手段も検討する必要があるでしょう。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。

デルタエッジコンサルタントでは、システム構築やホームページ作成などのITプロジェクトを支援するため、
・ITベンダーの選定
・業務上の要望をシステム要件化する支援
・ITベンダーによる提案書等の文書評価
・定期ミーティングの支援
・内部統制、個人情報保護、等に関わる要件追加の支援
といったサービスを提供しております。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子　清隆
URL　　http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_