官公庁の情報システム運営に関して思う事
1.はじめに
昨年にある官公庁の電算室の運営に関わる事があり、今まで民間企業の製造業しか関わったことが なかったため、民間企業と官公庁との情報システムの運営に関してあまりにも意識というか風土と いうか、あまりにもその違いに戸惑いを感じたことについて考えてみたい。
2.序論
情報システムの運営については、民間企業も官公庁も順守されるべき基準を設けて運営はされてお り、その内容は基本的には大きな違いはないがその運営の在り方に大きな違いがあるように思われ る。この違いは、「入札制度」を採用している官公庁と「コスト削減」等の機能目的を重視してい る民間企業の違いからくるものかも知れない。
民間企業が課題解決を目的として、ベンダーにRFPを発行し機能と費用の両面で検討比較を行 い、投資と得られる効果で導入ベンダーを決定しているのが大半であると思っている。私の関わっ た官公庁では当然ながら入札による調達で入札ベンダーに対して提示される「調達仕様」を基に費 用見積もりを行い「入札~落札」の過程を経てベンダー決定に至る。その際に技術審査が合わせて 行われるが、相応企業の入札となるため業者決定の重要な要素とはなりにくく最終的には入札額で 決定される。(これは皆さんご存知の通り)
この時に入札参加ベンダーに提示される「入札仕様」に問題がある様に思われる。理由は、入札仕 様を誰が作成しているか、当然官公庁の職員が作成している筈であるが、記載されている内容をみ ると「IT技術面でITベンダーでないと得られない記載事項が見受けられる」ため、疑問をもた ざるを得ない。また、「業務システムとそれを稼働させるハードウェアが異なる部署とタイミング で入札が行われる」ため、運用管理を複雑にしている。
電算室の運営要員についても、入札により請負業者が決定されるがこの場合は、入札金額にて決定 されるため、電算室運営に必要なスキルを持つ要員の確保ができない。入札時の運用開始時期と終 了時期があり、この期間内での運営ベンダー交代時の引き継ぎ期間が設定されていないため、運用 内容の引き継ぎが十分ではない状況が見受けられる。
3.本論
先に述べた状況から職員規模4000名をサポートしている電算室運営からみた状況について考え てみたい。運営対象としては大きく次の様に分類されている。
●クライアントPCの管理
●業務システムの運営
●運用業務改善提案
(1)行動規範について
職員が使用しているPCについて、セキュリティ管理の甘さに関して驚いた。
これは、昨年9月に中国漁船が釣島沖で海上保安庁の巡視船に衝突した事件で映像が流失し問 題となったが、サーバへのアクセス権限の甘さが感じられる。具体的には、規定のアクセス権 限ではない変更が管理職の一言で変更される。また、権限の強い部署の一言で同様に変更され る。これは、風土的な問題なのか、組織的な問題なのかは別としても規定されたコンプライア ンスを侵害する様な事は、少なくとも「社長から従業員まで行動規範として規定」している私 の勤務する会社では考えられない。
ウイルスチェックの場合、毎日のように警告が発信されており大半は外部メディアのPCへの 接続で発生しており、「外部記憶媒体の運用規定」順守の注意喚起はされているものの実態は 改善される気配は見られない。外部メディア使用の理由は「取引業者からのデータ授受」のた めとされ、直接メディアを職員PCに接続が公然と行われている。
メールに関しても、インターネットメールからの受信を禁止されている規定あるにも関わら ず、職務上のメール交換を目的に特定のインターネットメールの通過設定が例外として設定さ れる。
インターネットに関しても、禁止サイトを閲覧し警告が発生されているにも関わらず閲覧を繰 り返す状況がつづいている。これらが改善されないのは「罰則規定がない」事が大きな理由と 思われる。
(2)業務システムの運営
業務システムは、改修を重ねながら長期間にわたって使用されており途中でハードウェアのリプ レイスが行われている状況の中で、電算室運用ベンダーが入札で決定される。当然、運営ベンダ ーは業務システムの内容は受注してから初めて知ることになり、「問い合わせ」、「障害発 生」、「データ修正」等の要求があっても内容が把握できていない状況で、ベンダーの受託業務 の開始が4月の年度始で官公庁の人事異動と重なり、「サービスレベルの低下」、「運営の非効 率」招くことになる。
この状況に対して職員からは「前の運営ベンダーは対応出来ていたのになぜできない」と責めら れる事になる。
また、「機器構成」、「業務システム構成」に関する資料が存在しないため現状把握に時間が掛 る事になる。これらの資料につては入札ベンダーの納品物に含まれていない(含めない)ことに も問題があるように思われる。
これらの「ドキュメントが設置されていない」の、「電算室の運営ベンダーが
入札タイミングで毎年変更となる」、「官公庁職員も異動になる」これらの事から、業務システ ムを把握している人材が不在となり「問合せ対応」「障害復旧」、「HP更新」対応等に時間が 掛り遅れることになる。
この対応としては、復旧手順書を作成、ドキュメント更新を適時に行い運営ベンダーが変更にな っても対応ができる状態にしておく事が必要で、かつ運営ベンダー交代時の引き継ぎ期間を設け ることも検討する必要があるように思う。
(3)運用業務改善提案
多くの職員からの問い合わせに関しては、運用コストを低減することもあり、基本としてメール 受付を原則としているが、職員がメールの手間を嫌い直接電話での問い合わせが多くなっている のが現状で、この直接問い合わせの方法を改善しないと電算室運営コストの低減には至らないと 思っている。 (もともと、官公庁にはコスト削減の意識はないのかも知れない。)
状況を把握しているベンダーとの随意契約が基本禁止となり、入札となったことで入札ベンダー が交代することとなり従来、「電算室運営ベンダーに丸投げ的に管理を請け負わせた過去の経 緯」から「電算室運営ベンダーは交代するモノ」を前提とした仕組みを考えてゆく必要がある。
4.補足
官公庁のCIO制度が進んできているが、CIOの権限と情報規範順守の罰則規定を明確にして ゆくことで「情報規範の必要性と重要性」定期的に教育を行い」、セキュリティ監査を合わせて 行う必要があると思う。
電算室運営に関しては、「ハード機器構成」、「ソフトウェア構成」、「設計仕様書」、「操作 手順書」を提出物として規定し、運営ベンダーが交代となった際にスムーズにベンダー交代が可 能な手順をを整える事が必要と考える。
以上、
ITC 三谷 浩一