アウトソーシング (日銀が委託先管理の現状調査結果を公表)


平成20年8月20日に日銀はサイトで「金融機関におけるシステム外部委託の現状について」という調査論文を公開しました。http://www.boj.or.jp/type/ronbun/ron/research07/ron0808a.htm

地域銀行109行、日銀取引先信用金庫268庫に対するアンケート結果をまとめたもので、システムの開発、運用における外部委託の状況と委託先管理の状況について調査したものです。

日銀はアウトソーシングそのものに否定的なわけではないのですが、銀行業務の根幹をなす情報システムを丸投げして、ガバナンスの維持発揮に全く無関心な金融機関があることを危惧したのでしょう。今年2月には全信金システムの障害がありました。委託先ベンダーの対応もお粗末でしたが、信金側の障害時対応も禍根を残しました。顧客に迷惑をかけるだけでなく、決済リスクに結びつく事態も憂慮されたのです。そこで、4月にこの調査を行なったのでしょう。大手銀を対象にしなかったのは、自力でシステムを運用しているのでITガバナンスに問題ないとの判断なのでしょうが、実態はそうでない大手行もあり、今後の課題でしょう。

日銀が外部委託によるリスクの深刻さを強く認識したのは2004年のことでしょう。メガバンクの障害が波及して全銀システムが混乱した事件と統合ATMの障害が続いたことがあります。その時に、全銀センターや統合センターから各金融機関に緊急連絡を取ろうとしたのですが、多くの金融機関で連絡先がわからない、担当者には何をどうすれば良いか判らない。ベンダーに聞いてくれという返事が多かった。委託先ベンダーとようやく連絡が取れても、今度は、自分達にはその権限はないとの回答で、大混乱したことがあります。その後、連絡体制を整備したのですが、外部委託の問題点が数多く出てきたのです。銀行には、決済システムという手段を提供するのではなく、その手段を使って決済を正確かつ時間内に完了させるという結果債務の履行責任があります。これは電話や鉄道とは根本的に異なる責任関係です。どうもそのことを理解しない金融機関がある。委託先のシステムに問題があったので、結果債務の履行ができなくても自分の責任ではないという金融機関があるようです。

今回調査では、外部委託状況、役割分担・責任分担、委託先管理手段、セキュリティ対応状況、再委託・オフショア委託承認体制などにつき調査しています。委託先管理の成熟度においては、地域銀行・自営オンライン信金と共同加盟信金とで大きな格差がウキ彫りとなっています。筆者が、最後に共同加盟信金を訪問したのは20年ほど前ですが、IT担当者は存在しませんでした。オフコンで内部情報系を運用している金庫はありましたが、パッケージをそのまま使用して自分では操作しかしていません。現在では全てPCに代替されているでしょう。業界で設立した協同組合がNTTデータに委託して開発と運用しているのですから、自分では何もしなくて良いのですから楽なものです。その時は、システムという手段を組合経由でベンダーに再委託しているなどという認識は全く持ちませんでした。今から考えると怖い話です。役割責任の分担と委託先管理を自分で行なうべきこと、リスクの所在を確認して事前に対処法を準備しておく必要などは想定しませんでした。しかし、今日では、各システムが互いに緊密に関係しあう結果、連携するシステム間の役割責任関係を明確にせざるをえず、それが、個々の金融機関の役割と責任を浮き立たせてきたということでしょう。先日、信金関係者からどうすれば良いだろうと聞かれた際には、「共同オンライン運営組合に信金か銀行の免許を取らせて、加盟金庫はその代理店になるのが一番手っ取り早いのでは?」と答えました。または、委託先管理のITガバナンスを新規に構築するしかありません。

当調査論文では、冒頭に委託先管理の必要性について記述しています。「外部委託により金融機関の対外的な責任が軽減されることはない。」と明確に言っています。ここまでの表現は始めてです。金融庁の検査ガイドラインなどでは、「外部委託していたとしても、金融機関の責任が問われることがある。」というにとどめています。こうした逃げ道のある表現が、ITガバナンス強化に金融機関経営者が消極的である状態を放置させてきたのでしょう。みずほ証券が東証に対して損害賠償を要求している訴訟では、このことが大きな争点の一つとなっています。手段の提供をベストエフォートで履行すればよいのか、契約債務の結果に対するベストエフォートが義務なのかの違いです。

委託先管理が必要といっても、委託先の作業を細かくチェック確認することまで当論文は求めていません。自分でできなければ、外部コンサルを使うことも例示しています。しかし、それとて丸投げでは意味ありません。自社のガバナンスを確保しながらの外部委託につき、考えをまとめる必要があるでしょう。逆に言えば、外部委託を前提としたITガバナンスの確立です。定例会議や報告書を集めても、免責にはならないと思います。実効性がなければ、顧客と職員のためのITサービスには結びつかないのですから。アリバイ工作は全く無意味で、ベンダーやコンサルに奉仕するだけです。内部統制としてのITガバナンス、経営戦略としてのITガバナンス、委託先管理におけるITガバナンスを一石三鳥で解決する方法が欲しいものです。