システム障害予防・対応のためのガバナンス体制構築
第2回 体制構築の具体例の分析
弁護士法人琴平綜合法律事務所
弁護士・公認不正検査士 澁 谷 展 由
1 はじめに
本年10月20日には東京外国為替市場で1ドル=150円台に突入するなど円安に歯止めがかからない状況である。
これがシステム障害の問題にどう影響するか。筆者が最近見聞している因果関係は以下のようなものである。
日本企業が導入しているシステム、クラウド、ITソリューションなどに外国製品・外国製サービスが含まれる比率が年々上昇している。これが円安により値上がりする。
他方、IT・システム予算が潤沢とは言えない会社では、円安によるコスト増があったとしても予算増が見込まれない。システム、クラウド、ITソリューションの費用を削減できない場合、人件費にしわ寄せが行く。増員ができないだけでなく、人員が削減されるところも出てくる。
その結果、保守・メンテナンスの人員リソースが不足し、システム障害発生リスクが高まる。
制約条件のなかでどのようにIT・システムにリソースを配分するかは経営陣が取り組むべきガバナンス体制上の課題である。
本連載第1回で分析した大規模システム障害事案の調査報告書では、経営陣が対処するほかない部門間をまたぐ問題として、システム担当部署と顧客担当部門の連携不足の問題、経営陣の情報把握の不十分性の問題が指摘されていた(みずほフィナンシャルグループシステム障害特別調査委員会による「調査報告書(公表版)」(2021年6月15日)86~88頁)。
また、本連載第1回で分析した内閣府知的財産戦略本部の検討会「知財・無形資産ガバナンスガイドラインVer 1.0」は「戦略を構築・実行する全社横断的な体制及びガバナンスの構築」を必要な施策として挙げている(項目2、3)。経産省が作成したデジタルガバナンス・コードも「ITシステムについて技術的負債となることを防ぎ、計画的なパフォーマンス向上を図っていくこと」について「経営者の関与が不可欠」として、取り組むべき施策に「組織づくり」「ガバナンスシステム」を上げている(項目2-1、4)
そこで、今回はシステム障害防止の観点から参考になる先進的取組みを行っている各社の体制構築の具体例を紹介・分析し、システム障害防止のための体制構築を検討している企業の参考に供することとしたい。
なお、体制構築と不即不離の関係にあるIT・デジタル人材育成に対するガバナンスのあり方については別稿に譲りたい。
2 経営陣のコミットとしてのデジタル企画部門とITシステム部門の一体化/分担
施策推進については企画部門の所管として人員・予算を割くが、システム構築・運用管理についてはITシステム部門に丸投げをして人員・予算配置にも消極的になり、その結果、システム障害を招くという例が多々見られる。根本には、経営陣のDX施策には積極的だが、既存のITシステムの運営管理には消極的となりやすいマインドがある。
このことを防ぐ体制構築のあり方の1つとして、経営陣に直結してDXを所管する企画部門とIT部門を一体化する方法が考えられる。他方、一体化はせずに役割分担をしつつ連携を強化する方法も考えられる。いずれにしても、経営陣がITシステムへのリソース配分を重視するガバナンス体制を構築することが重要である。
先進的企業の取組みの以下、具体例を紹介・分析する。
- ① 三井物産の例
- 三井物産は、従来、経営企画部に「Digital Transformation(DT)チーム」があり、別途IT担当部署としての「IT推進部」があったが、2019年10月に両部署を統合して「デジタル総合戦略部」を設置した。そのうえで、2020年4月には「CDIO(Chief Digital Information Officer)」を任命する体制変革を行っている(下記リンク4頁)。
https://portal.shojihomu.co.jp/wp-content/uploads/2022/11/investorday2020_dx_ja.pdf
別々に設置されていたDX部門とITシステム部門の一体化の体制構築方法として参考になる。
- ② 三井不動産の例
- 三井不動産は「DX本部」を、業務システム開発、サイバーセキュリティなどを担当する「DX一部」、新規事業系のシステム開発、デジタルマーケティングなどを担当する「DX二部」によって構成している(下記リンク10頁)。
https://portal.shojihomu.co.jp/wp-content/uploads/2022/11/dx_hakusyo.pdf
同社は組織再編の際に「IT部門とは別にDX推進組織を立ち上げる手もあったが、業務とITに関する知見やIT人材を一元化した方がよいと考え、IT部門を自己進化させてDX案件を引き受けられるようにした」とのことである(「CIOが挑む」日経クロステック2020.12.2)。
DX部門を新設する際のITシステム部門との一体化の体制構築方法として参考になる。
- ③ 三井住友フィナンシャルグループの例
- 三井住友フィナンシャルホールディングスは、サイバーセキュリティに対応する経営体制として、「サイバーセキュリティ経営体制」を掲げ、「取締役会/経営会議」内の「グループCIO」「グループCRO」の直下に「システムセキュリティ統括部長」を「CISO(Chief Information Security Officer)」として配置するなどの体制整備について説明を行っている(下記リンク116~117頁)。
https://portal.shojihomu.co.jp/wp-content/uploads/2022/11/fy2021_f01_00.pdf
国民生活のインフラでもある金融機関ではサイバーセキュリティの重要性が特に高いが、サイバーセキュリティに対する経営陣のコミットを確保する体制構築方法として参考になる。
- ④ キリンホールディングスの例
- 他方、キリンホールディングスは、「変革による新たな価値の創造」「データ活用などによるビジネス開発」といった「攻めのIT」を担当する「DX戦略推進室」と「安定した事業活動の継続」「改善による効率化の実現」といった「守りのIT」を担当する「情報戦略部」に役割を分担させる体制構築をしている(下記リンク37頁)。
https://portal.shojihomu.co.jp/wp-content/uploads/2022/11/vqFd.pdf
同社では、「従来の業務を維持しながら、新しいことに取り組もうとすると制約が大きいので、一時的ではあっても一度、IT部門とは違う組織をつくってDXを進めた方がよいという判断があった」とのことである(「CIOが挑む」日経クロステック2022.7.22)。
DX推進のためにDX部門を新設する際に、ITシステム部門と別途に設置しつつ、連携させる体制構築方法として参考になる。
3 デジタル・ITシステム業務の内製化比率の向上、事業部門との部門間連携
上記2で指摘した経営陣のITシステムに対する消極姿勢、ITシステム部門への人員配置の消極化は、結果として、自社のITしステム部門のリソース不足、外注先への依存につながる。このことを防ぐためには、デジタル・ITの内製化比率を向上させるような体制構築が重要となる。
また、経営陣がシステム構築・運用管理についてITシステム部門に丸投げをした結果、ITシステム部門と事業部門の間の連携が図られず、その結果、システム構築・運用管理が事業部門のニーズから乖離した形でなされる、障害発生時の対応が遅れるといった事象が生じる。このことを防ぐためには、ITシステム部門と事業部門の連携強化のための体制構築に経営陣がコミットする体制構築を行わなければならない。
以下、先進的企業の取組みの具体例を紹介・分析する。
- ① クレディセゾンの例
- クレディセゾンは「事業会社の中に自らで開発、改善、運用、デザインやデータ分析等を行えるケイパビリティを持ち、ビジネスサイドとテックサイドが同じ社内の仲間としてスピーディーかつ柔軟に協調して事業を創出・改善していくことができる体制を構築・拡張」するという観点から、「IT業界のパートナー各社様との協業についても、継続的に推進しつつ内製の選択肢も持つ、ハイブリッド型の内製開発」を行う方針を採用している。そのうえで、「金融機関に求められる安定性重視の「モード1」のカルチャーと、スピードと柔軟性とが求められる「モード2」のカルチャーを共存させるバイモーダル戦略」を採用している(下記リンク)。
https://corporate.saisoncard.co.jp/business/csdx/
同社によると「モード1人材は大手ITベンダー、モード2人材はスタートアップの出身者が多い」、「絶対に事故を起こしてはいけない開発案件」についてはモード1が対応し、「アプリのUI(ユーザーインターフェース)のように顧客の声を聞きながらアジャイル開発で進めるほうがいい案件」についてはモード2で対応するという形で「内製に取り組んでいる」とのことである(「CIOが挑む」日経クロステック2021.11.29)。
単に内製化を志向するだけでなく、内製化した部門についても機能ごとに最適な特色を持たせる体制構築の例として参考になる。
- ② サッポロホールディングスの例
- サッポロホールディングスは、グループ各事業会社にDX推進組織を設けつつ、ホールディングスには「グループDX・IT委員会」を設け、グループ各事業会社を支援するという体制を採用している(下記リンク3頁)。
https://portal.shojihomu.co.jp/wp-content/uploads/2022/11/pdf20220322sd_dx.pdf
同社では「肥大化したホールディングス…の役割をスリム化し、事業会社への移管を進めてきた」ことの一環として、「事業会社がお伺いを立てながらDXに取り組むようでは一歩一歩が遅くなる」という観点から「IT部門はHDに残すが、DXは事業会社で推進する……と役割分担を明確にした」とのことである(「CIOが挑む」日経クロステック2022.8.19)。
グループ内に内製化しつつ、ホールディングスにはIT部門、事業会社にはDX部門という切り分けを行った体制構築をする例として参考になる。
- ③ SGホールディングスの例
- 物流会社子会社として佐川急便を持つSGホールディングスは、グループ会社のSGシステムにおいて、「第2の変革」期である「2005年~2017年」において、「ベンダーロックインからの脱却を行うためダウンサイジングを行い、共通プラットフォーム(SGH-P)を構築してシステムの集約 、オープン化に踏み切」ることとし、「まずはCPU負荷が高かったシステムをオープン系に切替え、6ヵ月で完了。数10億円の投資を抑えられたことで、そこから7年掛けてダウンサイジングを完成させ、ITコストを35%削減。コストの削減だけでなく、ベンダー任せであった部分も徐々に保守・運用の内製化を進め、今ではほぼ全て自社内で構築・運用を行えるほどの技術力」を有するに至っているとのことである(下記リンク)。
https://www.sg-systems.co.jp/strength/
SGホールディングスは、コスト削減で「浮いた分を攻めのIT投資に回すことができた。並行してIT部員にはプログラミングを徹底的に習得してもらった」としている。かかる方針は「IT部門の内製力が低いままで新たなデジタル技術を使いこなせるはずがない。地道な努力の蓄積があってこそデジタル変革を担えるのだと思う」という発想に基づいている(「CIOが挑む」日経クロステック2020.6.18)。
内製化の効果が現れ、攻めの打ち手につながった実例として参考になる。
- ④ その他の会社の例
- ITシステム部門と事業部門の連携を図っている会社のその他として、アスクルは、「サービス改善速度を上げるには、ビジネス企画を担当する人とシステムの企画・設計を担う人、そして開発・運用に携わる人が現場でチームを組み、そのチームに多くの権限を委譲するのが効果的だから」という観点から、ITシステム部門で「Webサービス開発などに携わってきたエンジニアを各事業部門に分散配置し、ビジネス側の担当者と連携しながら開発業務にあたってもらっている」という取組みを行っている(「CIOが挑む」日経クロステック2022.5.19)。
また、日清食品ホールディングスでは、IT部門が「各事業部門の責任者と需要予測のような業務に関わる話をすると『じゃあERPの仕組みを理解している人を異動させてよ』と頼まれ、どんどん引き抜かれてしまう」が、「IT部門としては人材の補充問問題が悩ましい」ものの、「会社全体にとっては、ITが分かる人材を社内に供給することは望ましいことだと割り切っている」ということである(「CIOが挑む」日経クロステック2020.4.21)。
カルビーは、これは「システム子会社の技術者は自分が担当している業務アプリケーションの機能はよく知っているが、本社のビジネスを知らない」という課題を解決する観点から、IT部門を子会社化せずに本体に置いている。そのうえで、本社IT部門のビジネス理解を深めるために、「カルビーのビジネスを知るために……工場のライン作業を体験してもらうだけでなく、北海道の農家でバレイショ(ジャガイモ)収穫を体験する「バレイショ研修」にも参加してもらっている」「カルビーの商品を販売する小売店の現場に立ってみたりすることで、サプライチェーン全体を体験できるようにしている」とのことである(「CIOが挑む」日経クロステック2021.12.27)。
いずれも、ITシステム部門と事業部門の交流を通じた人材のレベルアップを図る体制構築の例として参考になる。
以 上
(しぶや・のぶよし)
弁護士法人琴平綜合法律事務所パートナー弁護士。公認不正検査士。司法試験予備試験考査委員(商法担当。現任)。デジタル庁・地方業務システム法務エキスパート(現任)。指名・報酬委員会運営、役員報酬設計などのコーポレート・ガバナンス体制、コンプライアンス体制の構築、デジタル・IT関係の法務、政策立案のほか、企業法務全般についてアドバイスを提供している。
※ 本稿の見解に当たる部分は筆者個人のものであり、所属組織の見解を代表するものではありません。