システム調達に必要なコツを、ほとんどの企業は知らない
初出:無料冊子「The調達2016」を短縮し掲載
――システム調達の潮流で、求められるスキルはなんでしょうか。
情報システムの調達担当者に求められる「3SD」とは次の通りだ。
●Service Level Management:サービスレベル管理
●Stakeholder Management:ステークホルダー管理
●Security Management:セキュリティ管理
●Demand Management:要求管理。
――このなかで、とくに知りたいのは、「Security Management:セキュリティ管理」ならびに「Demand Management:要求管理」なんですね。こういったシステム調達の潮流で、求められるスキルはなんでしょうか。
では、「Security Management:セキュリティ管理」、つまり、「自社の企業ブランドを守る」ことを話そう。
昨今、委託先の過失による情報漏えいなどのセキュリティインシデントが増えている。ベネッセの会員情報流出事件は記憶に新しいであろう。2,260万件の個人情報の漏洩、賠償金総額は200億円以上、さらに社会的な信用損失のインパクトはそれ以上である。既にニュースで報じられている通り、この事件はベネッセそのものが起こしたものではない。ベネッセの再委託先の不正行為によるものである。いわば、ベンダが起こしたインシデント。にもかかわらず、発注元のベネッセの管理責任が問われブランドが損なわれる。
ITのサービス利用が進む、イコール自社のより多くの重要情報を外(ベンダ)に預けることを意味する。それだけ、ベンダによるセキュリティインシデントのリスクが高まるのだ。調達担当者はこれを肝に銘じなくてはならない。
「悪さができないような仕組みにすれば大丈夫」「いや、ウチは事前に取引先調査を十分にした上で発注しているから心配はない」
こう語る調達担当者も多い。しかし、それで果たして十分だろうか。
なんと、2013年に報告されたセキュリティインシデント(全1,388件)のうち内部犯罪や不正な持ち出しなど悪意によるものは僅か2.5%。ほとんどが作業員の操作ミスや管理ミスなど「非悪意」によるものなのだ。加えて、最近では「標的型攻撃」「水のみ場攻撃」など、悪意を持つ第三者からの攻撃によるセキュリティインシデントも目立ってきている。
このように圧倒的に「非悪意」によるセキュリティインシデントが多い現状において、ベンダの人的ミスをいかに防ぐか、あるいはミスが発生したときの被害拡大をいかに防ぐか。
管理体制、教育体制などをベンダに確認し、徹底させる必要がある。調達担当者は、ベンダ選定時におけるセキュリティ要件の明示と確認はもちろん、選定後における定期的なモニタリングも行う必要がある。とりわけ「脱情報システム部」が進む昨今、セキュリティに対する意識の低いユーザ部門がベンダと相対するケースが多い。なおのこと、調達担当者がセキュリティ意識を高めて目を光らせる必要がある。
情報システムの調達担当者は、自社の企業ブランドの守り手としての責任を負っていることを忘れてはならない。
――そうなのですね。では次をよろしくお願いします。
それでは、「4.Demand Management:要求管理」あるいは、「華美な仕様を許さない」に移る。
「3SD」の4項目の最後はDemand Management(要求管理)だ。日本企業では馴染みの薄い言葉だが、ITがサービス化する流れの中でとりわけ重要な考え方なので取り上げてみたい。
Demand Management(要求管理)とは、サービスに対する要求仕様を適切にコントロールする取り組みをいう。とりわけ、情報システム部門のようなIT専門部隊が介在しなくなればなるほど、各ユーザ部門は予算にものを言わせて華美な仕様を要求する傾向にある。調達担当者は、要求仕様やサービスレベルの妥当性を確認し、無駄なコストを発生させないよう尽力しなければならない。
また、ITサービス利用においてコスト要因になりがちなのがユーザ数だ。クラウドなどのITサービスでは、ユーザの数に応じて利用料やライセンス料が決められているケースが多い。ユーザ数の管理も、無駄なコストを発生させないために重要だ。
不要なユーザにアカウントが割り振られたままになっている、あるいは退職者のアカウントが削除されずにそのまま残っていて無駄なコストを垂れ流し続けているケースも目立つ。まるで蛇口からドボドボと水が流れっぱなしになっている状態で、もったいない。要求仕様のみならず、ユーザ数の管理もITサービスのコスト管理において重要だ。
――調達・購買部門としても役に立ちました!
以上、サービスとしてのIT利用が加速するこれからの時代において、調達担当者に求められる4つの管理スキルを見てきた。これまでのような「モノ買い」のスキルではもはや通用しなくなってきている。
何らかのITサービスマネジメント手法を参考に「3SD」の能力を高め、コストのみならず自社ブランドそのものを守ることのできる調達組織に成長したい。
初出:無料冊子「The調達2016」を短縮し掲載
沢渡あまね(さわたり・あまね)
あまねキャリア工房代表。1975年生まれ。日産自動車、NTTデータ、大手製薬会社などを経て2014年に秋に現職。ITアウトソーシングマネジメント・ITサービスマネジメントが専門。経験したRFPは約300。NTTデータではITサービスマネジャーとして社内外のサービスデスクやヘルプデスクの立ち上げ・BPO(ビジネスプロセスアウトソーシング)も手がける。
■著書
「新人ガールITIL使って業務プロセス改善します!」(C&R研究所)
「新米主任 ITIL使って業務改善します!」(C&R研究所) ほか
■あまねキャリア工房