75%の事業主がITのブラックボックス化を認識。その解決の方向性とは

※0円で無料コンサルあり!公式サイトと求人サイトを兼ねたホームページ制作
最近、ホームページの重要性が増しています。特に自社のサービス紹介だけでなく、新卒・中途の人材採用に効果のあるホームページが注目されています。リクルートで長年ノウハウを積んだプロが、無料でコンサルします。
☞ホームページの無料コンサルはこちら

今回PwCコンサルティングが作成した企画書の内容は、日本の現在のITシステムの問題点を鋭く突いている興味深い内容です。

日本情報システム・ユーザー協会のアンケートによると、「約75%の事業主が事業運営上重要なシステムでブラックボックス化したシステムを保有している」という回答データがあるとのことです。

有名な事例としては、みずほフィナンシャルグループのシステム統合があります。2002年、日本興業銀行と富士銀行、第一勧業銀行が合併して誕生した旧みずほ銀行は、その目的を“戦略IT投資の強化”と発表しました。

しかし、日本興業銀行は勘定系と営業店系が日立、富士銀行は勘定系がIBM、営業店系が沖電気工業と日立、第一勧業銀行は勘定系と営業店系が富士通と、それぞれ開発メーカーが異なっており、そのシステム統合には大きな懸念がありました。

結果として、2002年の開業初日と2011年東日本大震災後にATMが使えなくなったり、送金ができなくなる大規模なシステム障害が発生したのです。投資総額は4000億超に達し、“IT業界のサクラダファミリア”と揶揄されるようになってしまったのです。

このように増築の連続によるシステムの複雑化、特定の担当者運用によるブラックボックス化、恒常的なIT人材不足、情報漏洩のリスクなど、日本国内のITシステムは問題が山積みです。日本の産業競争力を支えるIT投資は緊急の課題であり、今回の企画書の内容は、無視できない内容満載です。

 

生活に密着したITシステムの障害は、社会に大きな影響を与える

◆みずほ銀行ATM障害

 

【目次】
1. 今回の企画書の特徴
2. 『平成30年度我が国におけるデータ駆動型社会に係る基盤整備(ITシステム実態調査事業)報告書』から学ぶ
1.調査概要
1.1  背景と目的
1.1.1 背景
1.1.2 目的
1.2  調査内容
1.3  調査結果概要
1.3.1 ブラックボックス化の原因・現状・影響
1.3.2 ITシステムの長期計画、監査等
1.3.3 今後の施策

 

1. 今回の企画書の特徴

今回の企画書は、今後日本の産業競争力を支えるべきITシステムの課題について、幅広く指摘しています。ポイントとなるキーワードを、以下に記します。

・ユーザー企業
・ITシステムの継承
・属人的な運用・保守
・ブラックボックス化
・情報漏洩リスク
・日本国内のIT人材供給は、2019年に減少に転じると予測
・日本のIT投資の80%は維持運営に使われ、戦略的なIT投資に資金が割り当てられていない
・新規開発や先進的技術の導入に対応できる人材の確保・育成が、進まなくなる可能性がある
・各システムの複雑な連携により、改修やバッチ処理の複雑化が常態化している
・日本企業は、カスタマイズ志向が強い
・上流工程人材の不足感が強い
・1社ベンダーに委託している場合、他社に依頼した場合仕様を再現できない可能性が大きい
・今後は、AI,IoT、ビックデータ関連の開発、運用・保守に取り組むIT人材ニーズが高まる

 

2. 『平成30年度我が国におけるデータ駆動型社会に係る基盤整備(ITシステム実態調査事業)報告書』から学ぶ

では、PwCコンサルティングが作成した企画書を以下具体的に見ていきましょう。

表紙

目次

1.  調査概要
1.1  背景と目的
1.1.1 背景
1.1.2 目的
1.2  調査内容
1.3  調査結果概要
1.3.1 ブラックボックス化の原因・現状・影響
1.3.2 ITシステムの長期計画、監査等
1.3.3 今後の施策


1. 調査概要

1.1 背景と目的
1.1.1 背景
【複雑化・ブラックボックス化したITシステムの残存】
我が国では、官民でITの活用に早くから取り組んだ結果、多くの業務においてITシステムが導入され、効率的な業務遂行に寄与してきた。

一方で、多額の初期投資で構築したITシステムを可能な限り長く活用したいユーザー企業の意向から、ITシステムの全面的な刷新ではなく、既存システムを活かした更新が実施されてきた。

また更新の際、業務との整合性を確保するため、多くのカスタマイズが実施され、全貌を把握することが困難な「複雑化」したシステムが多く構築されてきた。尚、「複雑化」については更新時だけではなく、スクラッチ開発やパッケージ導入時のカスタマイズでも発生し得る。

複雑化したITシステムの継承が組織内で不十分な場合、特定の担当者により属人的に運用・保守されている状態、もしくは現行システムの仕様を再現できない状態といった、いわゆる「ブラックボックス化」した状態となる。

ブラックボックス化したITシステムが存在すると、トラブル発生時の対応の遅れや障害、情報漏洩等のリスクへの対策が手薄になり、業務の安定性に影響が生じる。日本情報システム・ユーザー協会のアンケートでは、約75%の事業者が事業運営上重要なシステムでブラックボックス化したシステムを保有していると回答している。

【IT人材の不足】
ブラックボックス化を解消する際、人材の不足が大きなハードルとなる。既にブラックボックス化に該当するシステムの仕様を理解できる人材はユーザー企業内外で不足しており 加えて日本国内のIT人材供給は2019年に減少に転じると予測されている。

既存ITシステムは業務上必要であるため更新、運用・保守に従事するITシステム人材の確保が優先され、新規開発や先進的技術の導入に従事する人材の確保・育成が進まなくなる可能性がある。

【デジタル・トランスフォーメーションの遅れ】
日本企業のIT費用の約8割が現行ビジネスの維持・運営(ラン・ザ・ビジネス)に割り当てられており、戦略的なIT投資に資金を振り向けられていない。米国企業との比較でも、日本企業はITによる製品/サービス開発やITを活用したビジネスモデルの変革といった攻めのIT 投資が少ない。

実際に、AIやIoT、ビッグデータ等を活用したビジネスの付加価値向上・ビジネスモデル転換を図るデジタル・トランスフォーメーションの足かせとして、約7割の企業が複雑化やブラックボックス化等が影響していると回答している。これは、今後の日本企業の中長期的な競争力に影響を及ぼすと懸念される。

1.2 調査概要

1.2 調査内容
本事業では、文献調査とITシステムのユーザー/ベンダー企業・団体へのインタビューを実施した。文献調査では主に、ブラックボックス化したシステムの残存状況や残存により発生するリスク・トラブルの事例収集を実施した。

インタビューでは、ユーザー企業にブラックボックス化したシステムの残存状況や具体的な内容、残存により発生するリスク・トラブルの具体的事例、ブラックボックス化の原因、政府に期待する施策、各種IT人材の需給見通し等を聴取した。

インタビュー先企業・団体の構成は以下の通り。

・ユーザー企業12社
(高速道路1社、鉄道3社、空港2社、港湾1社、金融2社、病院3病院)
・ベンダー企業4社
※尚、企業・団体の機密情報が含まれるため、本報告書では企業・団体名、及び各社の回答詳細は非公開とする

1.3 調査結果概要

1.3.1 ブラックボックス化の原因・現状・影響
今回、社会的重要分野(高速道路、鉄道、空港、港湾、金融、病院)の企業・団体にインタビューした結果、ブラックボックス化の現状・原因・影響について多くのコメントを得ることができた。

得られたコメントを集約すると、ユーザー企業のブラックボックス化の原因は人材の不足だけではなく、システムのマネジメントの難化も影響していること、ブラックボックス化したシステムの保有によりトラブルを誘発し、国民生活に影響を与えると共にベンダー企業の労働環境にも影響していることがわかった。以下、ブラックボックス化の各原因、影響について記述する。

原因①重要ITシステムのマネジメント難化

企業・団体のITシステム担当者にとって、ITシステムをマネジメントする難易度は増している。このため、十分なITシステムマネジメント体制を構築できない場合、マネジメントが不完全となる可能性がある。

ユーザー企業担当者に、直近10年程度の間に自社のITシステムの全体を把握し、維持・更新・刷新を検討することが難しくなっているかを聞いたところ、12社中9社が難化していると回答した。

難化している原因について、「把握すべきITシステムの増加」、「ITシステム全体を把握できる人材の不足」を9社中7 社、「新しいITシステム・技術の登場」を9社中6社が回答した。

社内に導入されたシステム数が増加しているだけではなく、各システムが複雑に連携していることにより、システム改修や夜間バッチ処理等が複雑になっている。その他、クラウドやセキュリティ対策等の新しい知見を獲得しなければならないこと、多くの外部ベンダーとも連携が必要となっていることから「重要ITシステムをマネジメントする人材に求められる能力は高まっている(空港)」といった意見があった。

また、ベンダー企業からは「日本企業のカスタマイズ志向がITシステムの仕様を複雑にし、開発、運用・保守の難易度・費用を引き上げている」という指摘もあった。

一方、難しくなっていないと回答した企業・団体からは、「直近のシステム刷新で全体像を可視化できたためマネジメントが容易となった(港湾)」、「紙ベースで行われていた業務が減った(病院)」、「パッケージ製品の管理は外部ベンダーが実施している(病院)」等の理由が挙げられた。

原因②IT 人材の不足(ユーザー企業)
ITシステムをマネジメントすることの難化に加え、IT人材の不足(特に上流工程人材)がIT システム部門の課題となっており、体制上、共有・把握しきれない仕様の発生がブラックボックス化に結びついている。

前述の通り、把握すべきシステムが増加し、相互連携やカスタマイズによる複雑化、新しい技術の登場でマネジメントの難易度も向上しており、本来はITシステム担当者の増員・専門人材の確保が必要とされる。

しかし、インタビューではそういった人材を十分に確保できている企業・団体は限られていた。実際に、ITシステムのマネジメントが難化している原因として9社中7社が「ITシステム全体を把握できる人材の不足」を挙げた。

原因②IT人材の不足(ユーザー企業)

今回、インタビューで得られた各社・団体のIT人材データより、産業別(高速道路、鉄道、空港、港湾、金融、病院)のIT人材需給・不足数を推計した。推計方法は以下の通り。

推計方法
現状の把握
①インタビュー結果から把握したユーザー企業内部のIT人材数に、ITベンダーへの支払額をエンジニア平均単価で除して算出した社外のIT人材数を加えることで、現在自社業務に従事するIT人材数を把握

※金融分野はITベンダーへの支払額を得られなかったため、社内に常駐またはリモートで常時対応するITベンダー社員を社外のIT人材数とした

②インタビューで把握したユーザー企業のIT人材充足度から、現在のIT人材不足数を算出将来動向の推計

③経済産業省「IT人材の最新動向と将来推計に関する調査結果」報告書に掲載されているIT人材数の推移から、2030年までのIT人材供給数を推計(なお今回は、産業間のIT人材の偏りは考慮せず、産業毎の供給の変動率は日本全体の変動率に等しいと仮定)

④IT投資額の変化・IT人材需要の見通しのうち、ユーザー企業ごとにインタビューで聴取できたいずれかの値を用いて、産業毎に2030年までのIT人材需要を推計。いずれも聴取できなかった企業が存在する産業においては、IDC「国内ITサービス市場 産業分野別予測」に掲載されている、産業ごとのIT投資額推移(2022年まで)を線形外挿し、2030年までの IT人材需要を推計

⑤将来のIT人材需要とIT人材供給のギャップから、IT人材不足数を算出

原因②IT人材の不足(ユーザー企業)

推計の結果、将来的なIT人材需要は増加傾向にある一方、IT人材供給は減少するため、既に発生しているIT人材不足は今後さらに拡大すると予想される。

今回の集計では、IT部門の現状業務を実施する上で不足している人材数を不足分としている。一方、企業によっては現行IT人材数のキャパシティを超過する案件を断念しており、潜在的には 2-3 倍の需要がある企業も存在する。

尚、本推計は一部企業へのインタビュー結果を元に各産業の人材需給を推計したものであり、必ずしも産業全体のIT人材需給を正確に示すものではない。

原因②IT人材の不足(ユーザー企業)

原因②IT人材の不足(ユーザー企業)

図9 先端/従来IT人材需給(空港)

更に、IT人材の内、AIや IoT、ビッグデータ関連の開発、運用・保守に取り組むIT人材を先端人材とし、その他を従来人材と仮定した場合の人材需給を産業別に推計した。

結果、各産業とも人材需要に対する供給不足が拡大し、不足人材数は先端人材需要を超過する。そのため、将来的に先端人材だけではなく、従来人材の確保も困難となることが予想される。

図11 先端/従来IT人材需給(金融(証券))図12 先端/従来IT人材需給(金融(損保))

図13 先端/従来IT人材需給(病院)

原因③ 現行システムの把握が困難 図14 ブラックボックス化の原因

原因③ 現行システムの把握が困難
企業・団体においてブラックボックス化が発生する原因として12社中9社が「現行システムの内容・全体像の整理・明確化が不十分」と回答し、12社中7社が「ベンダー企業への依存」と回答した。

インタビュー時のコメントでは、「人材不足で副担当やバックアップ体制を構築できていない(空港)」、「ITシステム部に在籍している社員の数が少ないため、こなせる仕事の範囲に制約がある。

例えば担当者の入れ替わりがあるため仕様の文書化を実施したいが、現状は手が回っていない(港湾)」、「ITシステム運用・保守の全体管理を1社のベンダーに委託しており、他社と契約した場合最新の仕様を再現できない(病院)」、「一部のシステムについて、外部ベンダーのIT人材がいないと要件定義できない箇所が存在する(金融)」といったものがあった。十分な予算が得られていないことを原因とする意見も出されたが、必要なIT投資であれば予算の確保は可能という意見も多くあった。

これらの意見から、ITシステムマネジメント自体の難化とIT人材不足により、仕様・リスクを把握しきれないITシステムや属人的な管理が発生し、ブラックボックス化に至ると考えられる。また、自社で管理しきれないITシステムはベンダー企業に委託されるが、次回更新・刷新時に自社で要件定義できない状態にまでベンダー企業依存が進むこともブラックボックス化した状態に繋がっていると考えられる。

原因④ IT人材の不足(ベンダー企業)
ユーザー企業側でITシステム全体を把握できる人材が不足していれば、ベンダー企業のサポートを受けることも手段となる。しかし、ベンダー企業側でも上流工程をサービスとして提供できる能力・経験を有する人材は不足している(大手ベンダー企業)。IT人材全体の中でも高いスキルを持った人材は限られていることに加え、近年はメーカー側でも自社でIT人材を確保する動きがあり、ITベンダー側の人材不足は深刻化しつつある。

また、運用・保守業務を重要な収益源の1つとするベンダー企業もあり、上流工程を支援することでユーザー企業のIT システムが整理・統合され、運用・保守業務が効率化されることは必ずしも利益に繋がらない可能性がある。

後述する「影響③IT人材の労働環境悪化」では、ブラックボックス化したシステムの更新・刷新プロジェクトでトラブルが発生するリスクが高く、発生すると長時間労働といった労働環境悪化の結果、退職者も増加するとの意見が出された。

ブラックボックス化は喫緊の課題

ブラックボックス化は喫緊の課題
上述の原因の結果、ユーザー企業12社中9社でブラックボックス化したITシステムが存在するという回答が得られた。また、ブラックボックス化したシステムと認識していないが、一部システムの運用・保守業務をベンダー企業に委託しており、社内に必ずしも最新の仕様が存在するわけではない企業も存在する。

ベンダー企業に運用・保守を委託する時のリスクを考慮し、許容できると判断したシステムについてのみ委託している企業も存在するが、許容できるリスクかどうかの判断を経ずに委託している例も見られた。

ブラックボックス化したITシステムを保有する9社において、ブラックボックス化したITシステムが全体の75%以上と回答した企業が2社、25%以上が1社、25%未満が4社であった。75%以上と回答した企業では大半のITシステムで属人的な管理が実施されており、トラブル対応が特定の担当者でしかできない状態にある。25%未満と回答した企業では、重要IT システムの一部(特にメインフレーム上のITシステム)について継承が正確になされてこなかったため、ブラックボックス化が発生している。

影響①ブラックボックス化したシステムの存在によるトラブル・リスクの発生

影響① ブラックボックス化したシステムの存在によるトラブル・リスクの発生
ブラックボックス化したシステムが存在することで、何らかのトラブル/リスクが発生する可能性があると回答した企業・団体はユーザー・ベンダー企業合わせて16社中13社であった。

トラブル・リスクの内容としては、「要件定義が不完全となり、プロジェクト開始後に仕様変更や不具合等で作業期間・工数・コストが増加」を10社、「システム構成や障害対応方法が正確に継承されず、現在の担当者が障害時に早期復旧できない」を9社、「脆弱性・セキュリティホールの存在が不明確となり、サイバーアタックによるリスクが拡大」を7社が回答した。

ブラックボックス化によるトラブル・リスクは障害発生やサイバーアタックによる短期的影響だけではなく、ITシステムの刷新・更新時に仕様変更や不具合を引き起こし、継続的な対応が必要となる中長期的影響を及ぼす恐れがある。

企業・団体からコメントがあった具体的トラブル・リスクは以下の通り

◆業務復旧の遅れ
・障害発生時にITシステム担当者が不在であったため、業務上必要なシステムの復旧を翌日担当者出勤するまで断念したことがある(空港)
・定常的に管理されていないシステムが存在する場合、そのシステムに障害が発生すると、復旧に一定以上の時間を要するケースがある(ITベンダー)
・大規模な取引を行うシステムについて、処理量の増加によって早晩許容量を超える予兆があったにも関わらず、保守・運用を担当するITベンダーからユーザー企業にそのリスクが引き継がれていなかったため、リスクが顕在化し、復旧まで時間を要した(ITベンダー)
・障害対応が属人化しており、対応策を把握している社員が常駐していないため、障害が発生すると復旧に遅れが生じると思われるユーザー企業が存在する(ITベンダー)
◆セキュリティリスクの高まり
・自社ITシステムの仕様を把握している社員が少ないため、システムの脆弱性について理解が進んでおらず、サイバーアタックを受けるリスクが大きくなっている(鉄道)
・医師が診療現場においてITシステムを独自に構築するケースが発生しており、ITシステム担当者が診療データの所在を確認できないため、サイバーアタック等によるトラブルリスクが増大している(病院)
・ユーザー企業のシステム管理状況が十分でない場合、データが紛失・滅失するリスクが存在する(ITベンダー)
・システムがブラックボックス化していた場合、データが流出・滅失したとしてもユーザー企業が認識できない恐れがある(ITベンダー)
・データ処理に活用されていたサーバーがどこに存在するか把握していないユーザー企業が存在した(ITベンダー)
◆個人情報の滅失
・ユーザー企業の運用・保守担当者が、どのサービスで利用している個人情報かを把握していなかったことによって、誤って本来必要な個人情報を滅失した事例がある(ITベンダー)
・ユーザー企業がシステム内のデータ処理ロジックを把握していなかったために、業務上必要であった顧客情報を必要性の低い顧客情報と誤解したままのデータベースを更新し、障害が発生した事例が存在する(ITベンダー)
◆将来の要件定義における仕様再現の難化
・社内にシステムの仕様を把握している担当者は存在するが、ドキュメント化されていないために他の社員と共有できず、結果として ITベンダーにシステム管理業務を依存している(空港・港湾)
・更新・再構築の度に担当者が変わっているため、ITシステム管理が属人化するとともに、継続的な人材育成が困難になっている(港湾)
・メインフレーム上に構築されたITシステムが正確に継承されてこなかったため、仕様の再確認に多くのコストと工数を割いている(鉄道)
・医師が診療現場で独自に構築したITシステムについて、その管理が行き届かないために、担当医師が退職した場合に仕様の把握が困難になる可能性がある(病院)

影響② ブラックボックス化したシステムの更新・刷新時のトラブル・リスクの発生

影響②ブラックボックス化したシステムの更新・刷新時のトラブル・リスクの発生
ブラックボックス化したシステムを更新・刷新する際に何らかのトラブルに直面したことがあると回答した企業・団体は、ユーザー・ベンダー合わせて16社中13社であった。

トラブルの内容としては、「既存システムの現状把握やニーズ把握が不十分な状態で開発した結果、業務との不整合が発生する」が9社と最も多い。程度差はあるものの、人材不足や属人化により自社のITシステムの仕様や業務との整合をチェックする能力が低下することで、トラブルに繋がっている。

また、「無理なスケジュールが原因で開発にミス等が生じ、刷新後のシステム稼働後にシステム障害を引き起こす」も 7社から回答があった。要件定義が不十分となることで、ユーザー・ベンダー相互にスケジュール設定を誤り、ミスを誘発する結果となっている。

企業・団体からコメントがあった更新・刷新時に直面したトラブルは以下の通り

◆追加工数・コストの発生
・システム導入プロジェクトの途中で仕様に漏れが発覚し、多くのカスタマイズを行っていたこともあり、仕様の追加が多数発生(港湾)
・ITシステムのリプレイス時に、以前のシステムで用いられていた仕様を多数取り込まなければいけなかったことで、想定外のトラブルが発生し、移行後数か月の間、障害に見舞われた(港湾)
・ベンダー企業と設定したスケジュールに無理があることが判明し、半年や1 年導入が遅延したシステムがあった(港湾)
・システムの開発や運用・保守の担当者が仕様を正しく理解していないため、刷新時に仕様を一から洗い出すこととなり、膨大な時間とコスト(5年で30億円程度)を費やしている(鉄道)
・ある病院において、仕様が曖昧なまま詳細設計フェーズに入り、ベンダーが設計時に想定していなかった仕様が発覚してトラブルとなった事例を耳にしたことがある(病院)
・老朽化したシステムを使用していたこと、一部アプリケーションを自社製作して使用していたことから、刷新を担当する IT ベンダーも仕様の理解に手間取り、膨大な時間を費やす結果となっている(鉄道)
・仕様の追加が発生し、多額の追加予算を投じる結果となった事例がある(空港・港湾)
・刷新プロジェクトにおいて、クライアントのシステムがブラックボックス化していると判断した場合、そのリスクの大きさに応じて追加コストを見積もっている。このことで、ユーザー企業は運用・保守コストを抑制するためにブラックボックス化したシステムを保有している場合でも、更新・刷新時に相応のコストを計上することになる(ITベンダー)
◆業務内容との不整合
・ウォーターフォール型の開発プロジェクトにおいて、事後的に業務内容との不整合が発覚し、手戻りが発生(鉄道)
・病院システムの仕様作成をITベンダーに委託したが、院内に既存仕様や業務を把握している担当者がいないため、ITベンダーが作成した仕様が業務の実態に合っているかを判断できない(病院)
・運用・保守を特定のITベンダーに委託しており、院内に仕様を把握している担当者がいないために、異なるベンダーに業務を委託する事態が発生した場合に仕様が再現できなくなることを懸念している(病院)
・仕様設計時の漏れから、開発中に個人情報が外部ネットワークに流出するリスクが発覚し、応急処置的に社内ネットワーク内で管理することとなったため、当初描いた業務効率化を実現できなくなった事例が存在する(ITベンダー)
◆稼働後のトラブル
・他の病院において、システム刷新時の仕様が正確でなかったことが診療現場に伝達されておらず、混乱を招いた事例を耳にしたことがある(病院)
・タイトなスケジュールにシステム開発が追いつかず、稼働後に障害を引き起こした事例の中で、ユーザーが仕様を把握していれば防げたと思われる事例がいくつか存在する(ITベンダー)
◆その他
・RPA(Robotic Process Automation)によって業務が代替されると、業務の流れを継続的に把握するインセンティブが薄れるため、ブラックボックス化が進行する懸念がある(ITベンダー)

影響③ IT人材の労働環境悪化(ベンダー企業)

影響③IT人材の労働環境悪化(ベンダー企業)
ブラックボックス化したシステムを保有するユーザー企業に対し、ITサービスを提供することはベンダー企業社員の労働環境悪化に繋がる可能性がある。ベンダー企業へのインタビューでは、仕様の変更や不具合といったトラブルの発生は、労働時間の長時間化やモチベーション低下、退職者の増加に繋がるとの意見が聞かれた。また、プロジェクトに従事する時間が増えることで新しいスキル・言語等の獲得に費やせる時間が減少するとの意見も聞かれた。

ブラックボックス化したシステムの更新・刷新を行うプロジェクトでトラブルに直面することで、「労働時間の長時間化」、「モチベーション低下」が発生し得ると回答したベンダー企業は4社中4 社であった。

また、「退職者の増加」と回答した企業は4社中3社、「新しいスキル・言語等の獲得に費やせる時間の減少」と回答した企業は4社中2社であった。

あるベンダー企業からは、クラウドサービス等、多様なITサービスが次々と登場する中で、IT人材に新たなスキルを習得させる必要性を感じている一方、スキルの習得に費やせる時間が減少すると、企業の競争力に影響が出ると懸念の声が聞かれた。

1.3.2 ITシステムの長期計画、監査等

1.3.2 ITシステムの長期計画、監査等
本調査では、企業・団体のITシステムに関する長期計画策定状況やITシステム監査実施状況、サイバーセキュリティ対策の実施状況についてもインタビューを実施した。

長期計画については、回答が得られたユーザー企業11社中9社が1年以上の長期的なシステム開発・更新計画を策定している。9社の内5社は中期経営計画を策定するタイミングに合わせてITシステムの長期計画を策定している。病院では、中期経営計画ではなく、電子カルテシステム更新時期に合わせて計画を策定しているケースも見られた。

一方、長期計画を有していてもITシステム部門が全てのITシステムを把握して計画を策定しているわけではなく、各業務部門が個別に策定している企業も存在した。また、長期計画の内容は投資計画であって、必ずしも経営戦略上必要となるITシステムの刷新を規定していない企業も存在した。

長期的な計画を策定していない企業・団体では、「刷新プロジェクト立ち上げ時のみ計画を策定している」、「特定プロジェクトのみ中期経営計画と紐づいて計画を策定しているが、その他システムを含めた全社的な計画は存在しない」という状況であった。

ITシステム監査については、回答が得られた9社中6社が定期的な監査を実施している。上場企業の場合、日本版SOX法(J-SOX)対応の一環でIT統制監査を実施している。その他企業・団体では会計監査、又は内部監査の一環としてITシステムに関する監査を実施しているという回答であった。

いずれもITシステム部門の業務が規定やマニュアル通りに実施されているかを監査するものであり、ITシステムの構成・仕様まで踏み込んだ定期的な監査(セキュリティリスク診断等)を実施している企業は3社であった。

サイバーセキュリティ対策として各社・団体が実施している事項について、「メールやダウンロードの監視/遮断」、「社内システムへのアクセス状況監視/遮断」、「社外との通信監視/遮断」、「端末のセキュリティ強化」は部分的なものも含めると回答が得られた9社中9社が実施している。

「専門家によるセキュリティリスク診断の実施(不定期を含む)」は9社中7社が実施しているが、過去に1度実施したこ
とがある企業や内部監査の一環として実施している企業がある一方、外部有識者を招聘して毎年実施している企業もあり、内容にはバラつきがある。

1.3.3 今後の施策

1.3.3 今後の施策
ブラックボックス化の解消を図る際、政府に期待する支援策を聞いた質問に対しては、IT人材育成について多くの要望が出された。その他、ITシステム開発、運用・保守の困難さを緩和する産業全体での取り組み、積極的な投資に対するインセンティブ付与についても期待する声が聞かれた。

ブラックボックス化の原因は人材不足だけではなく、ITシステムの複雑化や技術の進歩等によるマネジメントの難化も該当することから、多面的な施策が必要と考えられる。

人材育成関連
・プロジェクトマネジメント能力、上流工程(IT構想、要件定義等)の設計能力等の汎用的な能力を鍛えるためのスキルアップ支援(港湾・空港)
・定期的なセミナー開催ではなく、当該スキルをいつでも学べるシステム構築を希望(港湾・空港)
・人材育成のガイドラインを策定し、国全体を挙げて業界で活躍できる人材育成方針を打ち出す(鉄道)
・業務全体を俯瞰したうえで、ビジネス要件をシステムに変換できる人材の育成が急務(金融)
・IT人材の認定制度導入により、IT人材の保有するスキルを見える化し、人材の流動性を向上、採用時のミスマッチを防止(病院)
・IT部門に資金・人員が重点的に投下されるよう、大学への助成・人件費削減方針の見直し(病院)
・ジョブローテーション対象者からの除外等、ITシステムの知見を継承できる体制構築(病院)
・上流工程人材を育成するための教育制度充実(現在のリカレント教育では不十分)(道路)
・サイバーセキュリティ人材を増やすための戦略や資格制度整備(金融)
・上流工程人材、ビジネスアナリスト(現場業務とシステム要件の橋渡し役)の育成強化(金融)

業界全体での取り組み
・政府による業界共通システムの整備(港湾ターミナル運営等で活用するシステムの一本化)(港湾)
・日本版 WMS(Warehouse Management System)のような倉庫管理システムの構築(港湾)
・システムの進化と所管省庁の認可時期のズレ解消(医療機関(病院))
・少ない人材で効率よくクライアントのITシステムを管理するために、IT人材の配置を最適化(日本企業はベンダー企業に依存する傾向があるため、IT人材がベンダー企業に集まり各社のシステム管理サービスを提供する仕組みを構築)
(ただし、自社のIT戦略を立案できる人材、自社の業務要件をシステム要件に翻訳できる人材はユーザー企業内に必要)(ITベンダー)

補助金等の資金的支援関連
・重要インフラに係るシステムの開発費用助成(鉄道)
・単年度支援や年度末での支援一時終了の回避(医療機関(病院))
・診療報酬を決める際、ITシステムの拡充度合いを考慮することで ITシステムへの投資インセンティブを確保(医療機関(病院))
・中小企業が情報化を進めるために必要な投資を実施できるよう、設備投資資金や、システムの設計・開発用資金または運転資金の融資が受けれるような仕組み(ITベンダー)
・資格取得(ITストラテジスト等)に向けた資金提供は有効(ITシステム毎にどの程度改修が必要かユーザー側で判断できるようになると、プロジェクトが効率的に稼働)(ITベンダー)
・ITシステムに関する認定資格保有者を一定以上採用した場合に、助成する仕組みの構築(鉄道)

その他
IT業務の費用対効果を定量的に測れるような指標の策定(経営陣にITシステム費用を確保を依頼する際の根拠として活用)(港湾・空港)

補助金等の資金的支援関連

◆企業規模が小さくても優れたソリューションを提供する企業に対する政府認定(ソリューション提供企業が倒産してもソリューションが安定的に提供される仕組みが構築されることで、先端技術導入が加速)(金融)

以上の様に、IT人材育成に対する期待が大きく、中長期的な取組として必要性は高いと考えられる。一方で、IT人材数自体の減少が今後見込まれるため、育成された人材の能力を可視化し、適切なポジションに就けるようにすることも重要となる。ユーザー企業が個別に人材を育成するには限界があるため、業界横断又は国全体として上流工程人材等の育成に注力する必要もある。

同時に、業界全体で共通化できるシステムを共通化することによる ITシステムマネジメントの負担軽減や人材育成・ITシステム投資へのインセンティブ付与等、多面的な支援がユーザー企業・ベンダー企業双方から政府に対して期待されている。