情報管理のリスクから学んだこと

昨年12月1日、業務管理用のシステムが突然停止しました。
日々の活動（相談や調整などの実務）を細かくデータ化しているシステムです。1ヶ月で約900件程度の入力を行っていました。
停止した原因は、クラウドサービスの停止で、3ヶ月ほど前に「有料化」の通告があり、11月末をもって「無料使用」を停止するというものでした。
このシステムは、外部に作成委託し、「HEROKU」をベースに組み上げていました。
作成委託したのは、とある企業なのですが、実態として、その会社は、個人契約したSEに丸投げしていて、担当したSEが連絡不能となって対応できなくなっていました。
委託した会社に何度か対応を要請したのですが、対応不能との返答があっただけで責任回避されてしまいました。
春先から、担当SEとの連絡が取りづらい状態でしたし、時々不具合も生じていて、システムの切り替えを考えていた時に起きた事故です。
停止してからほぼ3ヶ月経過しましたが、解決策は見つからず、お手上げ状態です。
現在は、私が、急遽作成したデータベースに記録を取っていますが、セキュリティ面での不安があり、早急に改善が必要な状態です。
次のシステムも、準備を開始し、年度頭には切り替えができるめどが立ちましたが、過去3年分の記録が全く使えなくなりました。特に、利用者データ（約500人）の詳細なものが全く見えない状態にあり、新システムでは新たに基本情報を入力しなくてはならなくなっています。かなりの労力と時間が必要で、4月1日までに間に合うか不安な日々を過ごしています。
さて、起きてしまったことを後悔しても仕方ないので、今回の事態をどう捉えるかについて考えたいと思います。

いろいろ突っ込みところはあると思いますが、まずは、「デジタル化におけるリスク」について考えましょう。

今、行政を始め、様々なところでデジタル化が進んでいます。
効率性や情報保護などの視点でデジタル化は有用です。しかし、余りにシステム化が進むと、いざ、使用できない事態に陥ると手も足も出なくなるというリスクがあります。
かといって、アナログな方法（紙ベースでの管理）はもっと厄介ですよね。
ですから、バックアップの仕組み構築はとても重要です。データのバックアップをきちんとしていれば、万一の時、傷が浅くなります。この点をしっかり考えておくべきでしょう。

また、今回最も困ったのは、システム設計を結果的に個人に委託したため、担当がつかまらない限り修正や回復は出来なくなるということです。システム開発では、ベンチャー企業を使うケースも多いとは思いますが、やはり、万一の時、組織的な対応ができる企業と組んでいくことは必須です。

更に言えば、自社である程度コントロールできるようなシステムにしておくことでしょう。今回「HEROKU」というデータベースアプリをベースにしたため、それを使えるSEがほとんどいなかったことも重大な問題でした。これが、アクセス等汎用なデータベースであれば、何とか対処できたかもしれません。

こうした教訓をもとに、次のシステムについては、利用実績が多く、少し古臭いかもしれないけれど汎用性の高い「アクセス」ベースのシステムにし、設計委託先も、チーム対応いただける会社にお願いしました。
また、バックアップシステムについても、基礎データをCSVで吐き出す事ができますので、このシステムとは別に自社のクラウドに保存しておくことにしました。

当事者の立場ではなく、「内部監査」の立場で今回の件を考えてみると、組織（部署）におけるリスクマネジメントの不備の一言に尽きます。
リスクマネジメントの基本である「予見されるリスクに対して、アセスメントをし、コントロールできる方法を複数持っておくこと」が全く為されていなかったと指摘される事案です。
転嫁・低減・回避のいずれの道を選択するかも明確にしておき、最も被害の小さい方法で対策を打っておくこと。
今回は、「受容」しか選択の余地はなく、重大なリスクとなっていました。
リスクの顕在化における損失はまだ計算されていませんが、重要な点は、失われた情報には「極めてセンシティブな個人情報が含まれている」ということです。外部流出はしていませんが、蓄積されたデータを出し入れできるキーを事業所では保持できておらず、不誠実なSEが持っているということです。もし、このSEが、蓄積されたデータを取り出し、外部へ流出させたとしても、恐らく、我々は全く気付かない状態に置かれているということです。
システムのデジタル化には、専門性の高いスキルを持った人材が欠かせません。おそらく、多くの企業では、こうしたデジタル化に際して外部委託せざるを得ない状態にあるはずです。
リスクマネジメントの視点で言えば、機密情報や秘匿性の高い個人情報を含むデータへのアクセスは、限定されるべきですし、その開発に際して、外部委託したとしても、主要キーは内部で管理できるようにすべきです。
こうした点で、デジタル化推進を見直しておく必要があると思います。

ここまで、現象面での対応と対策について書いてきましたが、今回の件でもっと問題だとおもうことは、こうした事態が容易に予測できた（リスクマネジメント）はずなのに、何も手を打って来なかった「IT顧問の存在」です。
私の勤務している法人には、IT顧問という肩書の人がいます。

顧問ですが、さほど高給ではなく、まあ、何かあったら解決します程度の関わりなのですが、この人が、今回トラブルになったシステム開発に深く関与していたということです。
先ほど示した委託会社に勤務していた方が独立して別会社を興したわけですが、明確な利益誘導で、なじみがあるからといって、極めて不誠実な会社を紹介したわけで、今回の責任の根幹はこのIT顧問にあります。
更に言えば、これだけ現場で困窮しているのを知りながら、顧問として何の役割も果たしていないことに一番の怒りを覚えています。
出来れば、実名を公表し、もしこの方と関与しているところがあるなら、即刻縁を切ることを呼びかけたいくらいです。
大学で講義もされているようですが、この人に教えてもらった学生は不運です。
リスク感覚とか責任感とか微塵もなく、問い合わせをしてもなしのつぶてで、気が向くと意味不明な返信（専門用語を連ねてけむに巻く）を送ってくる。人間としてどうなのかと思います。
一応、会社を経営しているようですが、こうしたいい加減なベンチャー企業が駆逐されなければ、次に続く起業家は生まれにくくなるばかりでしょう。自分の持っている技術やスキルに自惚れて、組織を率いるトップとしての資質に欠ける人は起業すべきではないと言わざるを得ません。

「人は資産」です。
どういう人を組織は重用するか。スキルや資格だけでなく、人としての資質もしっかり見極めること。これは、経営者層に訴えたい事です。