情報管理のリスクから学んだこと [7-マネジメント]
昨年12月1日、業務管理用のシステムが突然停止しました。
日々の活動(相談や調整などの実務)を細かくデータ化しているシステムです。1ヶ月で約900件程度の入力を行っていました。
停止した原因は、クラウドサービスの停止で、3ヶ月ほど前に「有料化」の通告があり、11月末をもって「無料使用」を停止するというものでした。
このシステムは、外部に作成委託し、「HEROKU」をベースに組み上げていました。
作成委託したのは、とある企業なのですが、実態として、その会社は、個人契約したSEに丸投げしていて、担当したSEが連絡不能となって対応できなくなっていました。
委託した会社に何度か対応を要請したのですが、対応不能との返答があっただけで責任回避されてしまいました。
春先から、担当SEとの連絡が取りづらい状態でしたし、時々不具合も生じていて、システムの切り替えを考えていた時に起きた事故です。
停止してからほぼ3ヶ月経過しましたが、解決策は見つからず、お手上げ状態です。
現在は、私が、急遽作成したデータベースに記録を取っていますが、セキュリティ面での不安があり、早急に改善が必要な状態です。
次のシステムも、準備を開始し、年度頭には切り替えができるめどが立ちましたが、過去3年分の記録が全く使えなくなりました。特に、利用者データ(約500人)の詳細なものが全く見えない状態にあり、新システムでは新たに基本情報を入力しなくてはならなくなっています。かなりの労力と時間が必要で、4月1日までに間に合うか不安な日々を過ごしています。
さて、起きてしまったことを後悔しても仕方ないので、今回の事態をどう捉えるかについて考えたいと思います。
いろいろ突っ込みところはあると思いますが、まずは、「デジタル化におけるリスク」について考えましょう。
今、行政を始め、様々なところでデジタル化が進んでいます。
効率性や情報保護などの視点でデジタル化は有用です。しかし、余りにシステム化が進むと、いざ、使用できない事態に陥ると手も足も出なくなるというリスクがあります。
かといって、アナログな方法(紙ベースでの管理)はもっと厄介ですよね。
ですから、バックアップの仕組み構築はとても重要です。データのバックアップをきちんとしていれば、万一の時、傷が浅くなります。この点をしっかり考えておくべきでしょう。
また、今回最も困ったのは、システム設計を結果的に個人に委託したため、担当がつかまらない限り修正や回復は出来なくなるということです。システム開発では、ベンチャー企業を使うケースも多いとは思いますが、やはり、万一の時、組織的な対応ができる企業と組んでいくことは必須です。
更に言えば、自社である程度コントロールできるようなシステムにしておくことでしょう。今回「HEROKU」というデータベースアプリをベースにしたため、それを使えるSEがほとんどいなかったことも重大な問題でした。これが、アクセス等汎用なデータベースであれば、何とか対処できたかもしれません。
こうした教訓をもとに、次のシステムについては、利用実績が多く、少し古臭いかもしれないけれど汎用性の高い「アクセス」ベースのシステムにし、設計委託先も、チーム対応いただける会社にお願いしました。
また、バックアップシステムについても、基礎データをCSVで吐き出す事ができますので、このシステムとは別に自社のクラウドに保存しておくことにしました。
当事者の立場ではなく、「内部監査」の立場で今回の件を考えてみると、組織(部署)におけるリスクマネジメントの不備の一言に尽きます。
リスクマネジメントの基本である「予見されるリスクに対して、アセスメントをし、コントロールできる方法を複数持っておくこと」が全く為されていなかったと指摘される事案です。
転嫁・低減・回避のいずれの道を選択するかも明確にしておき、最も被害の小さい方法で対策を打っておくこと。
今回は、「受容」しか選択の余地はなく、重大なリスクとなっていました。
リスクの顕在化における損失はまだ計算されていませんが、重要な点は、失われた情報には「極めてセンシティブな個人情報が含まれている」ということです。外部流出はしていませんが、蓄積されたデータを出し入れできるキーを事業所では保持できておらず、不誠実なSEが持っているということです。もし、このSEが、蓄積されたデータを取り出し、外部へ流出させたとしても、恐らく、我々は全く気付かない状態に置かれているということです。
システムのデジタル化には、専門性の高いスキルを持った人材が欠かせません。おそらく、多くの企業では、こうしたデジタル化に際して外部委託せざるを得ない状態にあるはずです。
リスクマネジメントの視点で言えば、機密情報や秘匿性の高い個人情報を含むデータへのアクセスは、限定されるべきですし、その開発に際して、外部委託したとしても、主要キーは内部で管理できるようにすべきです。
こうした点で、デジタル化推進を見直しておく必要があると思います。
ここまで、現象面での対応と対策について書いてきましたが、今回の件でもっと問題だとおもうことは、こうした事態が容易に予測できた(リスクマネジメント)はずなのに、何も手を打って来なかった「IT顧問の存在」です。
私の勤務している法人には、IT顧問という肩書の人がいます。
顧問ですが、さほど高給ではなく、まあ、何かあったら解決します程度の関わりなのですが、この人が、今回トラブルになったシステム開発に深く関与していたということです。
先ほど示した委託会社に勤務していた方が独立して別会社を興したわけですが、明確な利益誘導で、なじみがあるからといって、極めて不誠実な会社を紹介したわけで、今回の責任の根幹はこのIT顧問にあります。
更に言えば、これだけ現場で困窮しているのを知りながら、顧問として何の役割も果たしていないことに一番の怒りを覚えています。
出来れば、実名を公表し、もしこの方と関与しているところがあるなら、即刻縁を切ることを呼びかけたいくらいです。
大学で講義もされているようですが、この人に教えてもらった学生は不運です。
リスク感覚とか責任感とか微塵もなく、問い合わせをしてもなしのつぶてで、気が向くと意味不明な返信(専門用語を連ねてけむに巻く)を送ってくる。人間としてどうなのかと思います。
一応、会社を経営しているようですが、こうしたいい加減なベンチャー企業が駆逐されなければ、次に続く起業家は生まれにくくなるばかりでしょう。自分の持っている技術やスキルに自惚れて、組織を率いるトップとしての資質に欠ける人は起業すべきではないと言わざるを得ません。
「人は資産」です。
どういう人を組織は重用するか。スキルや資格だけでなく、人としての資質もしっかり見極めること。これは、経営者層に訴えたい事です。
「間違っている」を考える [6-雑感・いろいろ]
或る会議での話。
Aさん:「〇〇病院のSW〇〇さんのことですが、福祉の専門ではないのに、専門外の事にまで入り込んで、トラブルになることがあって、困るんですよ。」
Bさん:「〇〇事業所の代表△△さんと交流があるようで、△△さんも、領域外の事も引き受けてしまわれるので困ります。御二人とも、間違っていますよね。」
Aさん:「そうそう。でも、それを間違っていますと指摘すると、攻撃しているようで、言えないこともあるんで、どうしたらいいんでしょう。」
ちょっとわかりづらい話かもしれませんが、同じようなことを、現場で時々耳にします。
会議での発言者のAさんは、長年、福祉分野におられる方で、知識も豊富ですし行動力もある。Bさんは、精神保健分野のエキスパートです。
この会話を聞いている私は、ずぶの素人。福祉分野も医療分野も何の経験も知識も持っていません。
具体的に何が起きているのかは、その前後の会話にあるのですが、それを書くと、かなり特定されてしまうので割愛させていただきます。
簡単に言うと、AさんやBさんの「福祉部門や精神保健部門の立場」から見ると、〇〇さんや△△さんがやっているのが「間違っている」というのです。でも、〇〇さんや△△さんにもおそらく「自分たちの立場(基準)」で仕事をしているわけで、〇〇さんや△△さんに言わせれば、AさんやBさんの方こそ「間違っている」と言うかもしれません。
この会話で、考えたいポイントは「何が正しくて何が間違っているのか」ではなく、「正誤を決めるのは何か」ということです。
これは、内部監査に携わっていた時、常に考えていた事と共通します。
「検査」と「監査」の違いということと通じる部分があります。
検査も監査も、同じ「査」の文字を使っています。これは、物に物差しを当てて計測する動きを表した漢字です。
違うのは、『検』と『監』。
『検』という字は、もの(木)を複数の人が見て同じ意見になる(つじつまが合う)ように見るという姿を現しています。
ですから、『検査』は、一つの共通する基準をもとに、評価(合否・正否の判定)をする事を示します。
一方、『監査』の『監』の文字は、盆に入った水(皿)を上から覗き込んで見る(臣)姿を現していて、「手本に写して、注意深く見る」ということになります。
決して、合否や正否を判断することが目的ではなく、目の前にある事実がどういうものかを見極めるということが目的なのです。
ですから、内部監査を行っている時、間違っているかどうかではなく、どうしてそのようなことが起きているのかを考えることこそ重要だと考えていました。
蛇足ですが、「行政監査」という言葉があります。
福祉部門など、行政の認可事業や補助金、委託事業などを対象に、当局が定期的に行うものです。私も過去に何度か立ち会うことがありました。ただ、残念ながら、「行政監査」は『監査』とは程遠いことが判りました。今は、どうか判りませんが、ほんの2年ほど前の「行政監査」に立ち会った時、書類の印鑑とか日付とか、綴じ方とか細部についてかなり厳しい指摘をされました。目の前に置かれた書類の山を「点検」して、不備を発見して、鬼の首でも捕ったかのように声高に指摘するのです。そのくせ、事業目標への進捗状況とか、補助金の有効性(コストパフォーマンス)とか、マネジメントレベルとか、そういう業務内容には一切触れない内容だったのを記憶しています。さらに、その監査を行うのは、行政当局が専任した監査委員で、マネジメントの一つも知らないような人なのです。(これ以上書くとまた自分の立場が危うくなりますので止めておきます)
さて、最初の会話に戻ります。
AさんもBさんも、〇〇さんや△△さんを「間違っている」と断じています。
でも、それは、AさんやBさんが使っている「物差し」を当てて判断しているに過ぎないと言えます。
〇〇さんや△△さんは、その物差しを持っていないのですから、「間違っている」と言われても、理由が判りません。
おそらく、〇〇さんや△△さんは自分の物差しをもとに動いているわけですから。
では、どうすれば良いのか。
今、私がいるところは、障がいのある人を支援するため、相談を受ける窓口機能や、他部門と連携し調整して行く役割を負っています。
最も重要な「ものさし」は、障がいのある人・当事者自身ではないでしょうか?
当事者にとって最良の支援のために、なにができるか。
そのために、福祉や医療、教育など暮らしに必要な社会資源が有効に機能できるよう、調整し連携できる関係作りをしていく。
さきのAさんやBさんのように、「間違っている」という批判をしたところで、問題は一切解決しませんし、むしろ、連携や協働を阻害するだけではないでしょうか。
批判をする前に、なぜ、そうなのかを相手の立場に立って考えることが重要でしょう。(と言いつつ、私も、AさんやBさんを批判しているわけですから同じ穴の狢になってしまっていますね。反省)
互いが持っている「物差し」(専門的立場に基づく基準やルール)を互いに擦り合わせて、物差しの違いを明確にしたうえで、「当事者」を中心においた、互いが理解できる「物差し」を使って、それぞれの立場でできることを見つけるまで話し合う事が大事でしょう。
共通しているのは、目の前の「当事者」を支援したいという思いなのですから、きっと協働できるはずです。
余談ですが・・・
ウクライナ紛争は一層深刻な状況に陥っています。
領土を守るため、より強力な兵器供与のため、ヨーロッパ各国も動き始めています。
力と力の衝突がさらに激化していく方向に向かっています。
その他、世界各地に紛争の種は尽きません。
さらに、今、アメリカや中国、北朝鮮など、紛争ではなく、大戦になりかねない状況にあるという見方もできます。
そんな中で、日本は軍備増強へ舵を切りました。「国民の命を守る、国益を守る」と言いつつ、国民を一層危険な状態へ近づけているとしか思えない状態にあります。
おそらく、政府・高官の方々が持っている「ものさし」と、庶民がもっている「ものさし」は全く別物なのではないでしょうか。
今の政府は、どういう「ものさし」を使っているのでしょう。
ひょっとしたら、裏側に、「Made in U.S.A since1945」の文字が刻印されているのではないんでしょうかね。
