叡智の三猿

~情報セキュリティで森羅万象を捉える~

不協和音と危険なシステム

企業がCRM(Customer Relationship Management)を積極的に導入するようになったのは、2000年以降だと思います。IT革命により、各企業はITの活用による経営の革新を一気に進めようとしました。このとき、CRMERP(Enterprise Resources Planning)や、SCM(Supply Chain Management)と共に、経営革新の3種の神器として崇められました。

それまでの企業情報のシステム化と、3種の神器の導入が大きく異なったのは、プロジェクト体制です。

従来のシステム化は、会社の情報システム部門が音頭をとりました。情報システム部門は、各業務部門の担当者に要件を聞いて、仕様書を策定して、仕様通りの開発をするプロジェクト体制でした。

一方、3種の神器は、経営革新が密接につながっています。ITは導入することが目的ではなく、IT化により、経営がどう変わるかというビジョンが重視されます。このビジョンを会社の情報システム部門は、うまく経営陣に説明が出来ませんでした。何故なら、情報システム部門は、システムの利用者の要求する機能を実現して、それを保守することが仕事だと思っているからです。経営とITは、元々、密接な関わりを持っているのですが、ITの専門家でない経営陣に対して、IT化のメリットを分かりやすく、説得力のある言葉で説明するのは、情報システム部門の役割としては荷が重すぎたのです。

そのなか、ITのコンサルティング会社が重宝されるようになりました。コンサルタントは月数百万という高価格で、クライアント企業に入り、経営陣を納得させるための、多数のドキュメント作成と、プレゼンテーションを行いました。ドキュメントは、社内の情報システム部員が描くより、はるかに洗練されています。ポンチ絵が多用され、経営者が直観的にITを理解できるように作られています。コンサルタントにとってはドキュメントこそ価値です。ドキュメントの作成で、クライアントから多額のお金をもらっているのですから、ドキュメント作りにプロの情熱を注いでいるのです。

しかし、経営者を心をとらえた「3種の神器」はあらゆるところで、行き詰まり、炎上しました。

これはコンサルタントが作ったドキュメントと、システム化の実現に大きなギャップが生じたからです。

コンサルタントの役割はドキュメント作りですので、ドキュメントを成果物として、システムを実際に導入するベンダーに引き渡します。コンサルティング会社も引き続き、人を出しますが、システムの実現化に参画するコンサルタントは、大学を出て2~3年の会社の業務を余り知らない人が多いのです。

システムベンダーはコンサルタントの成果物に基づいて、設計しようとします。しかし、システム設計をするための成果物としては、開発に必要な情報を得るのに不足しています。これは当たり前のことです。そもそもシステムベンダーが必要としている、成果物は人とコンピュータの関わり方が分かるような情報です。経営とITの関わり方に関する情報は、システムの実現化に於いては、極端に言うと雑音です。

システムベンダーは、残ったコンサルタントに詳細を聞こうとしても、大卒2~3年のコンサルタントは、ドキュメントに書かれている以上の説明は出来ません。ならば、システム化に必要な要件をクライアント企業に、直接ヒアリングしようとしますが、これも上手くいきません。何故なら、既にコンサルタントからヒアリングを受けていたからです。クライアントから見ると「また、同じことを聞いてくるのかよ。」と、ベンダーへの不信感を持ちます。その為、システムベンダーは詳細な要件をクライアントから大した確認をせず、コンサルタントの作った成果物を読み込んで、自分たちで想像してシステム化に踏み切ろうとします。

こうして、クライアントとシステムベンダーのコミュニケーションが欠如します。コミュニケーションの欠如が、プロジェクトに不協和音をもたらします。本来であれば、この欠如は会社の情報システム部門が埋めるべきでしょう。しかし、情報システム部門は、プロジェクトに積極的に関与しようとはしません。そもそも、プロジェクトは経営者がコンサルティング会社の支援で、発足したものです。情報システム部門はプロジェクトに関わりますが、目立たない脇役です。脇役はあえて火中の栗を拾うことはしません。

不協和音をもたらしたプロジェクトは、システムの実現化が進むにつれ、徐々に火を噴きます。クライアントの要求と異なる挙動をするシステムに、クライアントは不満を募らせ、仕様変更を要求します。しかし、設計段階からミスをしているので、仕様変更は容易ではありません。建築でたとえれば、骨組みが出来た家を見て、家のカタチを変えろと言っているのに等しいのです。

当初は、1年で稼働を見込んでいたプロジェクトも、稼働延期を余儀なくされます。稼働が延期されると、当然ながらプロジェクトの予算が底をつきます。クライアントは追加予算を組んで、プロジェクトを延命させますが、あまりにも延命が長引くと、会社そのものの資金に悪影響をもたらします。実際、プロジェクトが失敗して倒産に至った会社の事例は多くあります。

この状況に浸ると、当初描いた、IT化による経営革新のビジョンなど、どうでもよくなります。一刻もはやく、動かないシステムを動くシステムにすることが求められます。とりあえず、ハリボテのようなシステムを作ります。なるべく早期に稼働をさせるため、省ける作業はどんどん省きます。

そんな省ける作業の代表とされるが、テスト工程とシステムのドキュメント作成です。

いい加減なテストと不足するドキュメントを備えたシステムを企業は稼働させました。当然ながら、アプリケーションの脆弱性診断などは行っていません。CRMの肝となるべく、顧客情報は、ネットの世界で危険な環境にさらされる羽目となったのです。