画像はイメージです original image: © Aleksey - Fotolia.com
Discuss Japanese Government's stat scandal with IT Governance
Updated by 谷本 真由美 on January 28, 2019, 12:24 pm JST
谷本 真由美 mayumi_tanimoto
NTTデータ経営研究所にてコンサルティング業務に従事後、イタリアに渡る。ローマの国連食糧農業機関(FAO)にて情報通信官として勤務後、英国にて情報通信コンサルティングに従事。現在ロンドン在住。
厚生労働省の「毎月勤労統計」問題は、思った以上の課題が提示されています。
私の専門の一つはプロセス改善やITガバナンスなのですが、報告書を読んだ際に思ったのは、この問題はITガバナンス不在が引き起こしたインシデントであり、単に非難するのではなく改善の機会としてしっかり議論し、改善策を提示していくべきだ、ということです。問題は改善の機会であります。
以下は論点になります。検証にあたっては、厚生労働省の毎月勤労統計調査を巡る不適切な取扱いに係る 事実関係とその評価等に関する報告書を引用しています。
・変更管理プロセスの不在
「抽出替え等によりシステム改修の必要性が生じた場合には、企画担当係とシステム担当係が打ち合わせをしながら、必要な作業を進めていくが、その際にはすべての仕様をペーパーで依頼する訳ではなく、口頭ベースで依頼することもあった」
口頭で依頼していたというのに驚きましたが、日本の現場ではわりと良くあるパターンかも知れません。
口頭での確認と依頼が可能であった、ということは、
変更管理のプロセスが実装されていなかった
変更承認者が検証する仕組みがない
変更管理マネージャがいない
変更が記録されない
ということです。
この程度の規模の組織で、基幹統計という重要データを扱う組織であれば、変更管理マネージャと変更管理のプロセスは必須です。
変更の依頼やシステム上で記録されてステークホルダーにすべて共有され、依頼の精査が検討された上で、承認されるべきです。その際のテスト結果や変更前後の状況もシステム上で記録されなければなりません。
・ルートコーズが特定できない
インシデント、プロブレムが発生した場合のルートコーズの特定に時間がかかり、そもそも記録がなかったら特定すらできなくなる可能性が高くなります。特定されなければ検証もできませんので、これはシステムにとっては致命的な状況です。つまり変更だけではなくシステムの品質管理やインシデント対応にも大きな影響が出てしまい、KPI全体が低下します。
・変更を上級管理職が決済しない仕組みになっている
「毎月勤労統計調査 については、具体的なシステム改修関係の業務処理は係長以下で行われ、一般的には課長 や課長補佐が関与しない」
これは大規模システムを運用する組織ではあってはならないことで、係長というのはチームリーダーレベルの人です。ステークホルダの一人ではありますが、変更の最終決済と承認には課長や課長補佐が含まれるべきでしょう。
変更管理の権限分掌が妥当ではなく、プロセスのステークホルダが十分検討されていないということです。
権限分掌が可視化されているか
権限分掌は職位の責任と合致しているか
権限分掌の根拠はなにか
といったことも検討される必要があります。検討内容はITガバナンス委員会とシステムステアリング委員会で揉まれるべきで、その結果は、定期的に外部の専門家による監査を受ける必要があります。
次回もこの件に関して論点を検証します。
