PR

佐藤氏写真 筆者紹介 佐藤徳之(さとう・とくゆき)

マーシュジャパン ディレクター、シニアバイスプレジデント。1989年に入社以来、日本、米国において企業のリスクマネジメント構築に従事。マーシュジャパンは、リスクマネジメントおよび保険関連サービスを提供する世界最大手企業である米Marsh Inc.の日本法人。2004年度情報化推進国民会議専門委員。

 リスクマネジメントは、電子自治体を成功させるための重要な要素だ。そのリスクマネジメント体制を構築するための第一歩が、客観的なリスクの洗い出し(図1)と分類である。今回は共同利用型アウトソーシングを利用した電子自治体の構築・運営を例に挙げ、注意しなければならないリスクを分類してみたい。

■図1 正確なリスクの洗い出しが重要
正確なリスクの洗い出しが重要

■各種のリスクとそれに対応するためのチェックポイント

 図2には、共同アウトソーシングの場合も含めて、自治体システムにおいて考えられるリスク及びリスク要因をまとめたものだ。円形の図の右上から時計回りに、(1)戦略リスク、(2)操業リスク、(3)災害リスク、(4)財務・金融リスクと並べた。一番外側には一般的なリスク要因、中央には外的要因、一番内側に内的要因を置いてある。以下4つのリスクそれぞれについて、解説していきたい。

■図2 自治体システムにおいて考えられるリスク及びリスク要因
自治体システムにおいて考えられるリスク及びリスク要因

(1)戦略リスク(ストラテジックリスク)

 戦略リスクには、技術的戦略の誤りによるシステムの陳腐化リスクや、住民への適切な情報提供の不足などのマーケティングリスクなどが挙げられる。例えば、技術面やコスト面では成功と思われる仕組みやシステムを構築しても、ユーザーにとって使い勝手が悪いければ、まったくの「無用の長物」となってしまう可能性もある(税金が有効活用されないリスクが生じる)。

 もう一つの重要な要素は、アウトソーシングの契約形態である。特にシステム資産を誰が保有し、誰が運用するかによって、リスクも異なる。ここでは、下記の3種類に分類する。

 (a)公有公営型=自己完結型。あらゆるリスクマネジメントのための施策(ITスペシャリスト、技術的・物理的セキュリティ、運用のための資金)を民間企業並みに揃えた上で、自己で責任を取る体制が必要。リスクマネジメントの施策は立てやすい反面、ヒト・モノ・カネを揃えてしっかり取り組まないと、大きなリスクを抱え込むことになりかねない。

 (b)公有民営型=単独開発と共同開発の2種類がある。共同開発の場合に、開発に関連したリスクについての契約をあいまいにした結果、責任の所在が不明確になり、損失分の押し付け合いなど思わぬ事態に陥る可能性がある。運用面では、アウトソーシング形態の運用部分については、受託する企業側の技術的・物理的なリスク対応能力を利用できる。

 (c)民有民営型=事業者の選定とSLA契約の適切な締結によって、最も合理的なリスクマネジメントの遂行が可能になる。ただし、庁内におけるリスクマネジメント施策を怠った場合には、思わぬ事態が起こる可能性が残る。具体的には、ITインフラを所有せずに運用を専門業者に委託すれば、技術的、物理的なリスクマネジメントのレベルは上昇するが、任せてしまったことで"安心"してしまうと、職員のセキュリティへの意識の低下を招きかねない。意識の低下によるモラルリスク(パスワードのずさんな管理方法、倉庫での書類の管理や廃棄など紙ベースの管理を怠ることによる情報漏えいリスクなど)が懸念される。

戦略リスクのチェックポイント

  1. 地方自治体の電子化推進政策(方針)は適切に策定されているか。
  2. ユーザーのニーズに対して適確に応えているか(ユーザーに利用されないものは税金のむだ使いであり、深刻なリスクであると言える)。
  3. 完璧なセキュリティは存在しない。だからこそ、ユーザーが被る可能性のあるリスクについて、きちんと説明できるベンダーを選定しているか(完璧なセキュリティは存在しないから)。
  4. SLAも含めたASP契約の内容が、自治体にとって有利か、少なくとも標準を満たしているか。