ITガバナンス(東証がCIOを公募)


朝日新聞平成17年12月17日号の記事です。東証の西室会長による講演会での発言が報道されています。役員級のCIOを公募したいとのことです。この発言に、数々のことが集約されているように思えます。

第一に、現時点では実質的にCIOが存在しないようだということ。それでいて、鶴島社長は、取引所はシステム装置産業の代表と発言しています。

第二に、役員級ということは一般的に取締役ですが、東証の最も重要なコンピテンシーの一つであるITに対する認識が、まだその程度であるということ。

第三に、内部にはCIOたる人材がいないようですが、外部から公募で参加してから機能するまでに、どれだけ時間を要するか、または可能かという不安。

第四に、CIOを育成できなかった(その意思のなかった)原因を除去できるのかという不安。

などなどです。

12月1日のシステム障害の時にも、マスコミ各社は大変な取材合戦をしました。東証は現象面での原因説明を行いましたが、メディア各社は、もっと深い原因があるように感じていたようです。つまり、東証自体にITガバナンスはなく、技術的責任はベンダー(富士通)にあると思う記者が多かったように思います。それは、富士通経営陣の内部処分で確信に近くなりました。

それが、今回の誤発注で社会的義憤に変わったようです。筆者にコンタクトしてくる記者は異口同音に、「東証と富士通はどうなっているのか?」と質問を始めます。あるTV局のキャップは、出だしから富士通の技術力のなさを示す情報を要求しました。ある全国紙記者は、富士通の損害補償すべき金額から質問を始めました。筆者が「少し待って、原因と責任分界が判らなければ何とも言えんでしょう。」と言うと苛苛しています。「通常、ベンダーは、顧客が提示する業務要件を受けて業務設計を行い、それをシステム設計に落として順次プログラムを開発する。納品段階だけでなく、途中何度も仕様の確認を顧客に求めて、承認をえてから次の段階に進むものです。つまり、通訳みたいなもので、元の台詞が間違っていても、それは通訳の責任ではないよ。」というのですが、「金を貰って作るのだから建設業と同じで瑕疵担保責任があるでしょう。いくら補償すべきか?」ときます。「契約が請負か委託かによっても違うし、請負にしても請負範囲による。通常の損害賠償範囲は、契約金額の範囲内というのが相場である。」と答えますと、「みずほ銀行の時はどうだったのか?」などと来ます。

どうも、耐震強度偽装事件と同じ切り口で、世論を煽ろうとする姿勢がありありです。ある記者は「理解できました。システム構築の役割分担を説明しながら記事を書きます。」と言いながら、翌日には「この論調の記事は上が通してくれません。」と詫びの電話を入れてきます。どうしてもスケープゴートを作りたいのでしょう。しかし、本質を外せば、次は魔女狩りになるだけです。そうなると日本のソフト開発産業は大打撃を受けます。富士通としては立場上「私は悪くありません。客の言う通りに作っただけです。指示されなかったことは作っていませんが。」とは言えません。何とも気の毒としか言えない状況です。IT業界や経済団体が、第三者的立場で説明すべきでしょう。次は我が身ですから。

結論とストーリーを持ってしまったマスコミに対して、東証はどう対応するのでしょう?金融庁は、溺れようとしている人を救おうとはしません。「お前は何故泳げないのだ?キチンと説明しろ。泳げるようになる為の行動計画を出せ。さもないと、重石をつけるぞ。」と脅すだけです。

みずほ証券の単純チョンボに始まった東証の市場管理能力の露見は、筆者にも意外でした。相当なコストをかけて海外の取引所などを調査し、取引所としての業務戦略とIT戦略立案に注力していたはずです。ITに関しても、コンサルタントを大量動員してアーキテクチャや将来への展開計画を検討していました。筆者などは、東証のアーキテクチャにおける汎用機とオープン系の配置などを、金融業界で最も良く考え抜いた構成であると誉め続けてきたのですが。

要は華やかに見える上流ばかりだったのでしょうか?何度も言うように、運用を知らない人間が作るシステムは使えたものではありません。開発経験のない人間の作る戦略や開発計画は、実現性に欠けます。ITプロセスの全てを内製化して垂直統合せよとは言いませんが、せめてコア・プロセスは、自社で全容をつかんでおかなくては、当事者能力と存在意義をなくすことは確かです。この単純な道理を何故に理解しようとしないのか?金融界の風土病です。

マスコミは、ベンダーがシステムのプロで、ソフト開発も全て(業務要件定義から開発まで)ベンダーがやっていると思っています。システムとは、開発とは、運用とは…・基礎的理解もないままに、勝手な期待と思い込みで、議論らしい議論もなく、感情論のみが独行しています。ユーザー企業は、戦略的と思い込んでいるIT企画の担当者だけを残して、他は全て複数のベンダーに(競争原理の採用と称して)丸投げ(アウトソーシングと称して)して、ITコストを20%下げたと自慢します。その結果、失うものの大きさに気づかされるのは、数年後の経営者や担当者ですが、その時は手後れというか、回復には膨大な時間と努力を要します。戦略を考える企画はあっても、企画自体には何の戦略性もありません。戦略は実行して具現化します。

今回の東証事案は、他の金融関連インフラ・システムを運営する機関にも衝撃でした。ITのガバナンスとケイパビリティのある組織は、既にシステムと業務ルールの見なおしを始めています。しかしながら、丸投げしている機関は、何を検証すれば良いかも分からず、ベンダーに指示するだけです。または、業務をろくに知らないコンサルタントに検証を委託して免罪符を得ようとするだけです。それが、根本の原因であるにも関わらず。

東証がCIOを公募するというのは、外部プロを活用することで当面の免罪符を得ようとしているのか、ITのガバナンスやケイパビリティを再構築しようとしているのかは知りません。公募に応じるプロがいるのかも判りませんが、こうした動きを他人事と見ていてはいけない金融関連の企業や機関が数多くあるというリスクを我々は認識しておくべきです。

ITベンダーは、時流や流行に後れまいとして、アウトソーシング、オープン系、共同化、オフショア開発、CRM、個人情報保護、生体認証…そして今日ではSOX法対応など制度案件を振り回して、顧客企業に中途半端なITソリュションを押し込まないことです。このような品格に欠けるビジネスを続けている限りは、顧客のレベルも向上せず、みずからの進歩もありません。消防署の方からやってきて、閉店セールや開店セールに徹するベンダーもいますが、そんな企業が長続きする筈がありません。顧客企業とベンダーが、競って互いの利益とレベルを傷つけ合う今のITビジネス慣行を直さなくては、わが国のIT活用は国際水準から遅れるばかりだと思います。この業界には、志のある人も数多く存在するのですが、その声が表面化しないのは、どういうことでしょう?

金融庁は取引所だけでなく、証券会社ディーリング・システムの検査を強化するようです。特に銀行系では古いシステムばかりですから、ITベンダーには、またまた特需となるでしょう。本当のソリューションを提供できるベンダーがあるかは知りません。