« May 2004 | Main | July 2004 »

June 07, 2004

地方債はこれからどうなるか――地方債協会に聞く(e.Gov 2004年6月)

 国の財政投融資改革が進み、地方債を引き受けていた政府資金は縮小しつつある。その一方で、ミニ市場公募債など住民参加を目的とした地方債発行も活発に行われるようになってきた。地方分権が進む中で、地方債に対する考え方も変革を迫られているのだろう。自治体の債券発行をサポートしている財団法人・地方債協会に、地方債をめぐる動向や今後の展望などを聞いた。

――地方債の制度そのものはどう変わっていくのでしょうか。
地方債協会 地方債制度は戦後作られて以降、大きな変化はありませんでした。しかし2000年に地方分権一括法が施行されて地方債の許可制度が廃止され、協議制に変わりました。この制度変更は2006年に実施されることになっています。国の関与を縮小し、地域のことは地域でやっていただこうという趣旨です。

――IRを行う自治体が増えています。
地方債協会 最初に実施したのは、1998年の北海道と札幌市です。この時期、不況の中で財政危機に陥る自治体が急増し、財政再建団体への転落の危機があちこちでささやかれた。そんな状況の中で、それまで地方債を引き受けてくれていた機関投資家から「自治体が債権管理団体になった場合、デフォルト(債務不履行)を起こすのではないか」という疑念が広がったのです。つまり、地方債が紙くずになるのではないかと心配されたわけです。そこで民間企業と同じようにIRを実施し、財政状況を見せて安心してもらい、デフォルトを起こさないということおをきちんと説明しなければならないということになった。札幌市などがIRを全国で初めて行った背景には、そのような状況があったのです。

――IRには自治体も未経験で、どのように実施すればいいのか悩んでいる自治体も多そうですね。
地方債協会 よくある失敗は、説明の中身が「お国自慢」になってしまっていることです。しかし出席している投資家やアナリストは、そんなことが聞きたくてわざわざ足を運んでいるわけではありません。関心があるのは自治体が現在置かれている財政状況や今後の戦略です。そしてそれらを総合し、元利償還に支障がないのかどうかを知りたいわけです。

――わかりやすく的確に説明する能力も求められるということでしょうか。
地方債協会 単に資料を読み上げるのではなく、話す言葉の中にきちんと思いが込められているかどうか。それによって、投資家の受け止め方も大きく変わってくるのではないでしょうか。たとえば横浜市のようにそこに市長が登壇して説明すれば、市としてのある種の決意表明が見えてくるということもあると思います。もちろん中には部下に任せた方がよいケースもあるでしょうし、さまざまな考え方があると思います。

――投資家側が求めている情報は、他にどのようなものがあるのでしょうか。
地方債協会 住宅供給公社と地方道路公社、土地開発公社の地方三公社や第三セクターなどについて、経営状況の開示を求められるケースが多いようです。それらの事業が現在どうなっており、収益構造はどうなっているのかということですね。自治体の会計そのものは公になっていますが、公社や三セクに関しては情報が出ていないケースが多いからでしょうね。

――住民参加型のミニ市場公募債にも注目が集まっています。この取り組みはどうなっているのでしょうか。
地方債協会 市場公募債を実際に発行しているのは多くはないのですが、実は発行に関しては法律の制限はなく、自治体であればどこでも出せるのです。公的セクターの資金が縮小していく中で、資金調達のかたちを広げていこうと地方債協会の調査研究委員会が提言し、ミニ市場公募債がスタートしたのです。2002年3月に群馬県が「愛県債」を出したのが手始めでした。

――ミニ市場公募債の意義は。
地方債協会 ひとことで言えば、住民に行政に参加してもらおうということですね。自治体の資金調達がいったいどのように行われているのか、住民にはわかりづらい部分もあると思うのですが、ミニ公募債によって住民が「自分たちのおかねがこのように使われているのか」ということを実感できる。ひいては、行政に参加する意志の高揚を図るということにつながると思います。わが町はわが手で支えよう、ということです。

――ミニ市場公募債によってIRのあり方も変わってくるのではないでしょうか。
地方債協会 自治体の側も、きちんと外部に対して財政情報などを開示しなければならない。それは公募債を発行しているしていないに関わらず、当然のことだと思います。行政を住民からゆだねられていて、住民にサービスを提供するという義務を負わされていて、そしてその原資は税金である。その原点に立ち返って考えれば、議会相手だけでなく、住民全体に対して説明していくのは当然のことでしょう。住民があっての自治体という考え方を持っていれば、当然説明責任という言葉が出てくると思います。

| | Comments (10) | TrackBack (0)

自治体IRの試み――横浜市財政局(e.Gov 2004年6月)

 「情報提供は改革の柱であり、行政運営の基本です。横浜市はIRのためだけにさまざまな数字を作成し、この場で初めて示しているのではありません。IRの本当の姿は、さまざまな指標を事前に公開したうえで、それに対してトップが真摯に説明する場だと考えています」
 グラフなどを使って語りかける中田宏・横浜市長に、集まった投資家たちも熱心に耳を傾けた。横浜市は今年3月、単独では初めてとなる投資家向け広報説明会(IR)を実施した。そのときのひとこまである。
 横浜市は1999年から、市場公募債を発行している東京都や神奈川県などが共同で開催しているIRに参加してきた。だが2004年度から個別条件決定方式を選択し、独自に市場公募債を発行していくことになった。このため、IRも単独で開催する必要に迫られたのである。またIRを積極的に活用していきたいという中田宏市長の意向もあった。中田市長は、「市債の発行部数を増やすとともに、IRを通じてよりいっそうの市政の情報公開を進めたい」と考えていたのである。トップ自らが横浜市の置かれている状況と今後の戦略を熱く語り、質疑に真摯に答えることで、IRはトップの取り組みの姿勢を示す良い機会でもあった。
 横浜市の財政局財政部総務課財源担当課長(広告事業推進担当)である海道亮輔氏は打ち明ける。
「これまでに経験のないことばかりで、たいへんな作業だった。それに加えて、従来の自治体のIRはあまり評判が良くなかったため、もっときちんと評価されるIRを実施したいという気持ちもあった」
 そして2003年度がスタートした年度当初、財務局は運営方針に「投資家説明会の実施」を盛り込んだ。ノルマとして自らに課すことで、IRをやり遂げようという部局挙げての意志を示したのである。そして同時にコンセプトとして「横浜発オンリーワンのIR」を掲げ、IRの取り仕切りをアウトソーシングするのではなく、担当者が手作りで実施するIRを目指した。
 しかし実際に取りかかってみると、準備はたいへんだった。まず新聞の切り抜きから始め、機会を見つけては民間企業の投資家説明会に積極的に通った。他の自治体のIRにも参加した。また具体的に、会場で何をどう説明すればよいのかもリストアップしなければならない。関係者にアンケート調査を行い、具体策を探った。その結果わかったのは、過去の財務資料を羅列しているだけでは、IRに出席する投資家を満足させることはできないということだった。横浜市ではこれまで、IRの際には過去の財務状況を集めた資料しか配付していなかった。これを改め、市の政策や財政、運営の方向性、そして今後の進むべき道筋を明らかにした資料にしなければならない。
 海道氏は、「投資家など関係者に対するアンケート結果には、横浜市が今後どのベクトルを向き、そしてトップがどう舵取りをしているかに力点を置くべきだという意見が少なからずあった。しかも『あれもやりたい、これもやりたい』といった遠い先の夢物語ではなく、数年先までを見渡してどう手堅く舵取りをしていくのかという判断が求められていることがわかった」と話す。
 市長が市の財政をどう分析し、どのように社会情勢の予測し、そしてどう方向性を見定めていくのかがわかる資料を作らなければならないというのである。
 財務局は「横浜市債に関する実務者研究会」委員や、市債の引受シンジケート団メンバーの銀行、証券会社などから具体的なアドバイスをもらって作業を進めた。職員が連日、検討と試行錯誤を繰り返しながら、全体から細部までの構成を練り上げたのである。
 時期や開催場所、時間などをどう決めるのかということも、入念に考え抜かれた。投資家の新年度投資計画策定が行われる時期と、市の新年度予算案を盛り込むことんできる時期のかねあいを考え、実施時期は3月上旬と決定。また投資家の利便性を考え、市場の取引が終り、しかし説明会の後に帰社できる時間を考え、午後4時に設定した。場所も利便性を第一に考え、横浜市ではなく、東京・麹町の会場を借りた。
 3月9日、会場には機関投資家や金融機関、アナリスト、他の自治体関係者など約160人が集まった。
 進行は、まず市長が「横浜新時代~民の力が存分に発揮される都市の経営を目指して」と題して登壇。時代認識や基本理念についで、政策(中期政策プラン)と財政(中期財政ビジョン)、運営(新時代行政プラン・アクションプラン)の3つを有機的に連動させた「横浜リバイバルプラン」などについて熱っぽく語った。ついで財政部長が、市財政の現状と見通しについて説明した。
 質疑応答では、投資家からかなり厳しい質問が相次いだ。
 投資家 市長は地方債のリスクについて、どう定義されているのか?
 市長 デフォルトの心配なら今はどこでも同じと強弁できるが、これから先は不透明な部分もある。そうでない時代に向けて、そうでない仕組みを作っていくことを前提に、われわれは準備をしている。
 投資家 今回のIRは、横浜市がより有利な条件で資金調達をしようとする意図を持って行っているのか。
 市長 その通り。横浜市から見ればそうであり、投資家の皆様からすれば、リスクの低い商品としてより多くの支持をいただけると考えている。
 横浜市の初めてのIRは、おおむね投資家に好評だった。「感動しました」「なかなか中田さんは凄いですね」などという声が、開催後に財政局に寄せられた。またIRを報道した新聞記事でも、「中田市長の歯切れのいい発言が注目を集めた」「これだけ市政の将来性について首長の熱意が感じられた説明会はかってなかった」と高い評価が目立ったのである。
 IRの模様は、横浜市の公式ウエブサイト上でもストリーミング映像として公開された。海道氏は、「中田市長がビジュアルな資料を基に、これまでの4年間を振り返りながら今後どう舵を取っていくのかというのをわかりやすく説明した初めてのケースだったかもしれない。有権者に見ていただいても、非常に意味があると思い、ウエブサイトで公開することにした」と話す。
 同市財政局では今後、市本体だけではなく外郭団体なども含めた情報公開を進めるとともに、投資家戸別訪問型IRや市民に対しても直接語りかけることのできるIRなど、多様なニーズに応えたIRを推進していく方針だ。

| | Comments (28) | TrackBack (0)

June 06, 2004

TCO/ROIの真実(Computer World 2004年6月)

 TCO/ROIというモデルが叫ばれるようになってから、すでにかなりの年月が経つ。だがその考え方は、日本の経営者にきちんと理解されているのだろうか。TCOやROIの考え方はいまどのように構成され、顧客にどのようなサービスとして提供されているのか。そうした考え方は、日本企業の間で根付いているのか。そしてもし何らかの問題があるとすれば、それは今後どのように解消されていくのか。そうした点を検証していきたい。

■ROI/TCOとは何か
 企業全体のROIは、分子の利益は「経常利益+支払利息」、分母にあたる投資は「借入金+社債発行額+株主資本」で算出する。計算すると、通常の企業であれば10~20%程度になることが多い。そしてこの逆数をとれば、投下した資金をどの程度の期間で回収できるかがわかる。たとえばROIが20%だったら、逆数は5――つまり、5年で投資を回収できるという計算になるわけだ。だが情報システムだけに限ってROIを算出しようとすると、実は非常に難しい。情報システムそのものは利益を生み出さないからだ。

 一方、TCOの構成要素は4つある。

①資産コスト(ハードウエアとソフトウエアの購入費など)
②技術サポートコスト(利用者の教育や質問に答えるヘルプデスクなどの費用)
③管理コスト(資産管理やセキュリティ管理などの費用)
④エンドユーザーコスト(利用者が同僚に操作を教えたり、業務に関係ない作業をするための費用)

 TCOは実際にはどのように測定され、どのようにして最適化が行われるのだろうか。TCOの診断ツールとしては、国内ではガートナージャパンが提供している「ITコスト効率診断サービス」がよく知られている。仕組みはこうだ。
 顧客が用意するデータは、システムのコストそのものだけではなく、コストに影響を与える可能性のあるものすべてを用意する。たとえばデータセンターであれば、データセンターの維持管理に必要なコストだけでなく、ユーザーがデータセンターに求めている要件やそれに対するサービスレベルの実績もコストに影響を与える要因として定量化する。ガートナー側の作業は、まずこれらのデータがきちんとそろっているかどうかを確認するところから始まるのである。たとえばサーバが100台も設置してあるのに、スタッフが1人しか配置されていなかったとすれば、どこかでコスト要因が抜け落ちていると考えられる。よほどサービスレベルが低いか、あるいはアウトソースしているのかもしれない。その場合、どの程度の可用性が保たれているのか。あるいはアウトソースにどれだけのコストをかけているのかといった部分が、データとして加えられるのである。こうしてデータをすべて集めて確定し、ベンチマーキングを開始する。
 ベンチマークは同社に蓄積された事例データベースをもとに行われる。たとえばA社とB社という同じ業種の2企業があったとしても、システム構成が異なっていれば、比較しても意味はない。このため、同じような業種でシステムの規模や複雑性、またミッションクリティカルな運用をしているかどうかといったさまざまな面を比べ、同じような運用形態を取っているところ(これを事例平均と呼ぶ)を事例データベースから検索するのだという。データベースには、ガートナーグループが過去18カ月の間に、世界1700社以上から集めた1万件以上のデータが蓄積されている。
 ベンチマークの結果、さまざまなグラフが出力される。たとえばスタッフひとりあたりのコストはどれだけか。サーバ1台あたりのコストはどうか。データセンターに入っているサーバのディスクポリシーはどうなっていて、どれだけの要員が張り付いているのか。システムをさまざまな側面から診断し、コストの効率性を浮き彫りにしていくのである。
 ガートナージャパンのメジャメントマネージャー、倉田幸信氏が説明する。「この診断は、ことの善し悪しを判断しようというものではありません。たとえば『コストが低い』という診断が出たとしても、それはサービスレベルが低いからコストが低くすんでいるだけかもしれない。最初に顧客からサービスレベルのデータもいただいているので、サービスレベルとコストのかねあいも考えながら、改善ポイントを測っていくのです」
 サービスレベルというのはたとえば、24時間365日運用をしなければならないという要件がシステムにあったとして、それに対してどの程度の可用性を確保できたのかということを数値化したものだ。ガートナーではサービスレベルを「ディスク要素」「サービスサポート」「複雑性」という3つにカテゴライズし、さらにそれぞれの下に細かく項目を設けて質問票を作っており、顧客の側がそれらの質問に回答することで数値化を行える仕組みをとっている。
 最終的な改善ポイントについては、ガートナーのアナリストがこれらの要素を踏まえて提案していくことになる。たとえばこんな風だ。「ディスク容量の大きさに対してあまり要員が配置されていないのは、サービスレベルが落ちている原因になっている可能性があります」「アプリケーション開発でスタッフの生産性が落ちているのは、要件定義でユーザーがうまく参画できていないからでは」
 前出の倉田氏は、「コスト最適化の際には、コストは上がる場合も下がる場合もある。決して削減するだけではなく、コストにメリハリをつけることが重要なのです。どこにより大きなコストをかけ、どこを削減していくべきなのかをきちんと定量化して考えようというのがこのサービスの意味です」と話す。ITコスト診断サービスによってコストの全体像がくっきりと浮かび上がれば、どこをどう削減し、どこを増やしてコストをうまく振り分ければいいのかがおのずとわかってくるということなのだろう。
 倉田氏の説明でもわかる通り、TCOは決してコスト削減のための概念ではない。あくまでも「最適化」なのである。
 こうした「ROI/TCO診断」は、どのベンダーも多かれ少なかれ導入しつつある。新サービスをソリューションプロバイダやベンダーなどが提供する際、TCOを前面に打ち出すケースも多い。

■TCO/ROIに対する誤解

 冒頭で、「情報システムそのものは利益を生み出さない」と書いた。この「利益を直接的に生み出さない」というITの難点が、現在に至るまでにさまざまな誤解を生む要因となっている。たとえば1990年代、新手の企業向けIT関連サービスが次々に登場したころ、ROIは一顧だにされずに「導入するのが目的」といった非生産的な考え方が当たり前のようにはびこってしまったのも、遠因はそのあたりにあるのだろう。新しい製品が次々と登場して「これを導入しなければインターネット時代は勝ち残れない」などと煽られ、企業は先を争って導入した。しかし多くは巨額の導入費ほどの成果は現れなかった。さらに長引く大不況が、IT投資に冷や水を浴びせた。特に2000年問題が完了し、ネットバブルが崩壊した2000年春以降、投資は相当に圧縮されている。90年代に導入されたITの償却費が、企業の重い負担になりつつあるという背景も忘れてはならない。償却費は年々大きくなっている。
 先に挙げたガートナージャパンのような診断サービス登場してきた背景には、90年代のIT導入に対する企業側の苦い教訓があるのだろう。
 だが相変わらず、企業経営者の誤解は解けていないようにも見える。
 今度は、投資を減らせばTCOが削減されるという誤解が蔓延してしまっているのだ。戦略的投資とROIが切り分けられておらず、TCO/ROIモデルが単なるコストカットの手段となってしまっているのである。
 情報システム導入の目的はここ数年変化しつつある。システム投資の目的は業務効率の向上による「省力化」から,CRMやSFA(営業支援)を使って社員一人ひとりの生産性を高める方向へとシフトしつつある。だがこの転換は意外とうまくいっていないようにも見える。TCO/ROIの考え方が普及しつつあるのにもかかわらず、成果が上がっていない企業が多いのだ。なんだかよくわからないまま、ずるずるとTCO=リストラみたいな感じになってしまっているからだろうか。
 こうした土壌を生み出した背景には、ITゼネコンの問題もある。90年代には発注側にITの知識が乏しく、ベンダーの言われるがままに高価なシステムを構築する企業が少なくなかったからだ。そこで情報システムを経営基盤に位置づけ直す作業が2000年以降進んでいる。経営者に対し、高いITリテラシーが求められるようになってきているのである。
 もっとも、このあたりの情けない実態は、実はアメリカでもあまり変わらないようだ。米CSC(Computer Sciences)と上級財務役員のための団体FEI(Financial Executives International)がITプロジェクトのROI(投資回収率)について調査した結果によると、IT戦略とビジネス戦略の連携によってROIを向上できるにも関わらず、戦略的なITプランを持たない企業が60%に達したという。
 いずれにせよ、「何でもいいから情報システムの導入を」という90年代末の幻想から、「とにかくコストを削減すればいい」という2000年代への逆幻想へと突っ走っているようにも見える。実際、2000年以降、XMLやアプリケーションサーバ、Webサービスなど新テクノロジを使った製品が次々と投入されているのにもかかわらず、企業への導入はなかなか進んでいないのが現状だ。

■TCO/ROIブームの影響

 TCO/ROIのモデルが出現したことで、日本の産業界にさまざまな影響を引き起こした。

①過剰な“リナックス信仰”の出現

 21世紀に入って高まった「TCO信仰」は、日本の産業界にかなりいびつな影響を与えている。その最も端的な例は、オープンソースソフトウエア(OSS)に対する誤解だろう。
 たとえば朝日新聞は2002年11月、「電子政府、脱ウインドウズへ 基本ソフトを公開型で導入の動き」という記事を大々的に報じた。記事本文には、こうある。
 「オープンソースOSでは、設計図にあたるソースコードが無料で公開されている。リナックスが代表例。利用者はライセンス料を支払う必要がない。プログラムの変更も可能で、トラブルに対応するためのシステム管理がしやすいとされ、世界的に導入の動きが出ている」
 また翌2003年2月の読売新聞社説には、「プログラムの原文(ソースコード)を公開し、改変も自由な無償のパソコン基本ソフト『リナックス』が、日本でも広がり始めている」と書かれている。
 総務省が電子政府計画で導入を検討しているという“お墨付き”に加え、全国紙が「無償」を強調したことから、突如としてLinuxブームが広がった。「無料のOSであれば、コスト削減になる」「Linuxにスイッチすれば、TCOが劇的に削減できる」という風潮が一気に高まってしまったのである。LinuxとWindowsのどちらが優れているのかという議論はさておき、「Linuxが無償である」というのはあまりにひどい誤解だったと言えるだろう。
 マイクロソフトがこの誤解の蔓延に反発したのは当然だった。マイクロソフトビジネスマーケティング戦略本部市場戦略グループシニアマネージャの北川裕康氏は、「全体の中のOSのライセンスコストは、20%程度にすぎない。それ以外の80%をどう下げるかの方が、実は重要だ。実際の業務システムはカーネルだけで動くわけではなく、OSの他の機能やアプリケーション、ツールなどが組み合わされて初めてひとつのまとまたビジネスソリューションとして機能するようになる。こうした製品群はLinuxであっても当然有料になる」と話す。マイクロソフトによれば、WindowsとLinuxのTCOをワークロード分野ごとに分けて比較したところ、全体的なコストについてWindowsの方が11~22%低コストであるというIDCの調査結果もあるという。
 北川氏は、「業務システムの重要性は、可用性の要求や情報保護の重要性の増大などによって、ますます大きくなっている。そんな中でコスト低減を求めるあまり、逆にトラブルを引き起こしてしまう結果になれば、それはTCO最適化の観点からは間違っている。システムの選択には、これまでの実績や信頼性をきちんと評価すべきだ」と話すのである。

①PC買い換えサイクルの崩壊

 これも真っ当なTCOの考え方というよりは、極限まで進んだコストカットのもたらした影響といえるかもしれない。90年代まで、PCは3年ごとにリプレースするのがもっとも効果的であると考えられていた。だが世紀の変わり目とともに企業のコスト意識が過剰に進んだ結果、PCのリプレースサイクルが急速に鈍化した。
 直接的な引き金となったのは、2000年問題だろう。1999年に各社ともY2K対策の一環として一斉に社内のPCをリプレースし、OSの主流もWindows95からWindows98、NT4.0へとバージョンアップした。この「2000年バブル」によって買い換え需要が一巡してしまい、その後ネットバブルの崩壊などでIT業界の景気が冷え込んだこともあり、PCを買い控える風潮が広まったのである。
 さらに最近のPCの高性能化にソフトウエアの進化が追いついていない現状もある。たとえば99年ごろに主流だったPentium III 500MHzのマシンは、Webとメール、オフィススィートを使う程度であれば今でも十分現役として使える。最新のマシンを必要とするキラーアプリが登場していないこともあるだろう。
 そんな中で、インテルやマイクロソフトは「PCの買い控えは結果的にはコストを増大してしまう」というキャンペーンを転回している。
 インテルの指摘する問題は、次のようなものだ。

(A)PC管理のコスト

 古いPCの管理には、余分なコストが必要になる。実際、米調査会社のMeta Groupの統計数字によれば、PCの買い換え時期を3年から4年に延長すると、メンテナンスやサポートのコストが増大し、従業員1人あたりのコスト増は年間350ドルにも上るという。
 計算は簡単だ。3年置きにPCを買い換えている場合、社内には4年前のタイプのPCは存在しない。だが少し買い控えて3年経過したPCの半数のみをリプレースし、残りの半数は4年間使うというサイクルに変更すると、翌年には全体の3割のPCが“4年落ちマシン”になり、そして2年後には全体の半分が4年落ちマシンになってしまう。
 古いPCを使い続けると、さまざまな問題も生じてくるとインテルは指摘する。たとえば戦略的な最新のアプリケーションの導入ができなかったり、システムの故障度合いも高くなる。使い勝手の悪さが従業員の生産性を低下させるという面もあるだろう。
 さらに重要なのは、OSのサポートが終了してしまう可能性があることだ。たとえばWindows 95とWindows NT 3.5のサポートは2002年から2003年にかけて相次いで終了してしまった。今後、Windows NT 4.0やWindows 98、Windows Meもサポート終了がタイムテーブルに乗っている。サポートの終了した古いOSにはセキュリティパッチは配布されず、不正アクセスやウイルス対策の面からも不安は大きい。
 しかしこの時期になって急に古いPCを一挙に入れ替えようとすると、初期導入費用やIT担当者のコスト、ヘルプデスクの利用の爆発的増加など、莫大なコストが発生してしまう。

(B)複数のプラットフォームを管理する煩雑さ

 PCのリプレースサイクルを延長すると、同時期に存在するプラットフォームが増える結果になる。たとえば今まで3年おきに買い換え、同時に4種類のOSが社内に存在していたとする。だが買い換えのサイクルを4年ごとに変更すると、同時期に社内に5種類のプラットフォームが存在することになってしまう。管理の手間は増え、当然コストも増大する。

(C)バックグラウンドで動くタスクの増大

 1990年代末はオフィスのPCで使われているソフトはWebブラウザとオフィススィート程度だった。バックグラウンドで走らせているプログラムもでアンチウイルスや圧縮、システム管理、バックアップ、Javaアプレット程度だった。だがさまざまなサービスやアプリケーションが利用される頻度が高まるようになり、オフィスのPCでバックグラウンドで動かされるタスクはどんどん増えている。たとえば認証や暗号化、同期、コンテンツ購読サービス、エージェント、ビジネス自動化サービスなどがそうだ。フォアグラウンドでもグループウェアやCRM、SCM、ERPなどの重いアプリケーションが同時に実行されるケースが増えてきている。ワークロードの増大に対処するには、古いマシンでは荷が重い。

 以上がインテルの説明である。同社は実際に自社内でもこの分析に基づいたTCO最適化実施。OSを2世代に集約するなどして管理コストを減らし、またPCベンダーを1社に減らすことによるサポートコストの削減も実現してこの5年間でTCOを半分にまで減らすことができたという。
 同じようなキャンペーンは、マイクロソフトも行っている。同社は2002年秋、企業がOSをWindows XPにリプレースすれば、米国全体で数十億ドルものコスト削減効果があるとする調査結果をまとめている。調査結果のもとになるデータは企業マーケットでWindows XPとWindows 95、98を比較したベアリングポイントの統計数値で、Windows XP Professionaの導入によって200%ものROI(投資対効果)が期待できるという数字が掲げられた。3年間で累算すると、デスクトップでは1年間に187ドル、ノートPCでは387ドルものコスト削減になるという。

 とはいえ、本当にパソコンのリプレースはTCO削減になるのか?という声は相変わらず業界内にくすぶっている。たとえば一例を挙げてみれば、米Googleのエリック・シュミットCEOは昨年、Red Herringのインタビューで次のように語っている。「64bitプロセッサのItaniumのような高性能なCPUをGoogleは購入するつもりはない。より安価で小さなプロセッサを大量に購入して構築する方が、より現実的な方法だ」
 これは安価な低スペックPCを分散処理した方が、最新のマシンを導入するよりも効率がいいことを述べたものだが、ニュースサイトAlwaysOnのインタビューでも、こんなふうに答えている。「IT産業が30年以上もムーアの法則に基づいた上昇カーブを維持し続けるのは、きわめて困難だ。そしていまこの時点で、次世代のキラーアプリは存在していない。みんな2000年問題の直前にマシンを買い換えて、必要なものは全部買い換えを終えてしまっているからね」。
 またインテルやマイクロソフトの考え方は、OSがきちんと定期的にアップグレードしていくことによって初めて成り立つのではないかという指摘もある。実際、Windows XPは2001年11月に発売されてからすでに2年半が経過し、次期バージョン(コード名Longhorn)の発売予定時期は2006年前半にまでずれ込んでいる。XPの寿命はこれまでのどのWindowsよりも長く、4年以上になる見通しだ。そうであれば4年間リプレースしなくとも、少なくとも複数OSが併存することにはならないという計算もできてしまう。

③古いIT製品の再構築

 古いサービスのほこりを払い、ROIモデルを導入して“新装開店”する動きも現れてきている。
 たとえばナレッジマネジメント(KM)を例に見てみよう。「IT革命」という言葉が大ブームとなった1990年代末、「これからはKMだ」という言葉が声高に叫ばれ、多くの企業で導入が進んだ。ベンダーからは「社員の間で効果的な情報共有を行う」「これまで水面下に隠れていた暗黙知を引き出す」などと説明されたが、あきらかな効果をあげた企業は多くなく、徐々に廃れていった。
 KMのソリューションである「REALCOM KnowledgeMarket」を提供しているリアルコム取締役の吉田健一氏は、「昔はKMというのはあくまで暗黙知を表出化させるツールであり、ROIやTCOとは別物だと考えられていた。しかし2~3年前からそうした認識は徐々に変わり、KMの分野でもきちんとROIを取り入れるべきだと考えられるようになってきている」と話す。実際にそうした企業がROIの視点を持ってKMを導入してみると、「やってみたら、KMが目的ではなく実は営業改革が必要だったんだ、生産性向上の目的のためだったんだということが再認識されるケースが多い」(吉田氏)という。言い方を変えれば、ROIがきちんと計れなければITのツールも導入されない時代になったということなのだろう。「企業情報ポータルを導入したいが、ROIが測定できない」「KMを推進したいが、目的が定まらない」「KMを通じてオフィスワーカーの生産性向上を図りたいが、やり方がわからない」――そんな意見が多いというのである。90年代末のネットバブルの狂騒を経て、2001年からのIT不況でコストカットの荒波をくぐり抜けた結果、ようやく企業ITがたどりついた真っ当な結論というところだろうか。
 そんな中でリアルコムは2003年9月から、「情報共有ROIコンサルティング」というサービスを提供開始している。同社のプレスリリースによれば、「30社以上の成功事例に基づき、『効果を生み出す』ためのナレッジマネジメント導入の方法論を体系化したコンサルティング・パッケージ」という。主な内容は、①対象組織の選定、②目的の明確化、③課題の洗い出し、④改善目標の設定、⑤ROIの計測で、プロジェクト期間は約2ヶ月、価格は300万円からとなっている。
 具体的にはどのようにしてROI計測を行うのだろうか。リアルコムが手がけた、ある大手自動車メーカーの事例を見てみよう。
 同社で行われたのは、間接部門の生産性向上プロジェクト。ことの発端は、ある時社内調査を実施してみた結果、間接スタッフの全労働時間の57%が資料作成や情報の検索に費やされていることが発覚したからだった。情報の管理や共有を整備すれば、この生産性が向上できるのではないかと考えられたのである。
 リアルコムのROI測定は、DMAICというサイクルに従って行われる。業務改革手法のシックスシグマで使われている概念である。次のようなものだ。

ステップ1 Define(定義) 誰の何の課題に対して情報共有を行うかを定義する。
ステップ2 Measure(測定) その課題の現状値を測定する。
ステップ3 Analyze(分析) 現状値を改善するにはどのような情報共有を行えばいいか、改善後どのような効果が想定できるか分析する。
ステップ4 Improve(改善) 実際に情報共有における改善を行い、効果を実証する。
ステップ5 Control(拡大) 成果を拡大すべく、対象範囲やテーマを拡大する。

 最初に掲げられた「間接スタッフの生産性向上を行う」というのは、DMAICサイクルの中にDefine(定義)にあたる。次いで行われるのは、Measure(測定)だ。プロジェクトは社内の全部署にアンケートを実施し、KMを導入することによる「改善機会の大きさ」と「実現の容易性」を調べた。前者はKMを導入することでどの程度生産性が向上するかという質問であり、後者はKMを導入するのが難しいかどうかという問いになる。たとえば工場などは改善機会も実現容易性も低い。開発部などは導入は簡単だが、パソコンに向かっている時間がもともと長く、改善機会はそれほど大きくはならない。また営業部などは、導入できれば効果が大きいかもしれないが、外部に出ている社員が多いため、間接部門と比べて導入は簡単ではない。そうして各部門ごとにばらつきを調べ、どの部署が改善機会、実現容易性ともに大きいのかを洗い出したのである。その結果、法務部や財務部、企画部、総務部などの部署が両方とも数値が大きく、KMの導入効果が見込まれることがわかった。そこでこれらの部門をパイロット候補として、KMを試験的に導入することになった。
 次に、これらの部門のスタッフたちがどのようにして情報を使っているのかを調査した。まずワードやパワーポイントなど情報資産と呼べるファイルが社内にどの程度の数があるのを調べた。その数は何と2,336万にも上った。しかしこの中で全社で活用できるものがどれくらいあるかを調べてみたところ、わずか0.2%(45,466ファイル)という数字になったという。また部門内で活用できるファイル数は約430万、18.43%だった。そして残りの約1901万個、割合にして81.37%のファイルは、現時点で勝つよう不可能だと言うことがわかった。
 1個のファイルを作るのに費やされる時間に時間あたり人件費を積算すると、ファイル作成のコストが計算できる。この数字を積み上げると、2,336万ファイルを作成するのに使われたコストは1,000億円にも達していた。だがこのうちに800億円以上は、再活用不可能なファイルを作成するために使われていたことになる。
 一方で、間接スタッフの業務の面からも分析が行われた。1日の労働時間を見てみると、間接スタッフの労働時間は資料作成が36%、情報収集が18%、報告・連絡・相談が28%、その他18%という平均値となった。
 この数値と、先に述べた情報資産の活用度合やスタッフからのアンケート結果などを総合すれば、どの程度の時間を短縮できるかがわかってくる。たとえば資料作成時間36%のうち、KMによって必要な情報を提供することで8.6%の時間を効率化でき、また無駄な資料作成業務を排除することで同じく13.6%効率化できることが計算上求められたという。この結果、資料作成時間は36%から28%へと減らすことができ、また同様の計算で情報収集時間も18%から12.5%を減らすことができるという計算になり、最終的に間接スタッフの労働時間全体の13.5%は削除・効率化できるという結論がもたらされた。
 吉田氏は「効率化の数値の誤差を減らすには、数値を出せるまでに課題が細かく分解されていることが重要。分解するノウハウは、コンサルタントなどが行っている業務改革プロジェクトの手法が応用できる」と話す。
 こうした分析結果を経て、プロジェクトは情報の駆け込み寺(情報コンシェルジュ)の設置や情報公開などを支援するツールの整備、BPRなどを中心とする施策を会社側に提案。これに基づき、たとえばこれまで各部門ごとにファイルサーバが設置され、情報資産が分断されていた状況を是正し、全社イントラサーバに情報資産を集積するなどの再構築が行われた。また膨大な数に上っていた情報資産についても、部門ごとにそれぞれの情報の棚卸しを行い、不必要なものを廃棄またはアーカイブ化。利用価値の高いものについては再整理してアクセスしやすい状況に移行させるなどの措置が執られた。また間接スタッフの情報作成業務についても、簡素化や標準化、作業支援などの見直しが行われた。
 吉田氏は「新しいツールの導入は実態としてはほとんど行わず、われわれの行ったのは情報資産の整理整頓が中心だった」と話す。これまで、ベンダーが新しいソリューションやサービス、ソフトなどの導入を促す際、大規模なシステム更新や導入などを伴うケースが多かったのと比べると、旧来にないビジネス手法ではある。
 この背景には、90年代以降、IT業界では企業の基幹系システムの更新がビジネスの中心となっており、財務会計やSCMなどにSAPやi2などの製品が導入された。だがこうした需要はすでに一巡化している。残る分野として、間接部門などの情報系システムに注目が移りつつあるという面もあるようだ。営業部門や間接部門、企画部門などでは依然としてIT化されていない部分が少なくない。
 もっとも吉田氏は「情報系はそれほど巨大なシステム投資は必要なく、大手ベンダーにはあまり注目されていない。だからこそわれわれのようなベンチャー企業が参入するチャンスがある」とも話すのだが――。
 吉田氏は話す。「かつては『とりあえず導入して効果を見よう』という判断もあったかもしれないが、そうした考え方はもう通用しない。顧客企業の社員の側には『また新しいサービスを入れるのか』といううんざり感さえある。そうした考え方ではなく、もっと地に足のついた発想が大事にされる時代になった」
 たとえば「こういう資料を作るのたいへんでしょう?」という問いに、ユーザーが「そうなんですよ、たいへんなんですよね」と答える。それで「隣の部署が同じような資料を作っていたのを知ってました?」と問いかける、といったやり方だ。確かに、TCOモデルが本当に効果を出すためには、そうした実感は必要だろう。逆に言えば、そうした実感が不在のまま、労働時間や効率性などの数値だけを問題にしているようでは、本当の意味での「コスト最適化」は実現できない。

■TCO/ROIに対する批判

 その一方で、本当に「TCO/ROIモデルは正当なのか」という批判も各所で起きつつある。
 筆者が最近取材したある企業の幹部は、こう話した。
 「完全な情報化は本当に必要か。営業なんか、PCの苦手なヤツのほうが取引先との関係作りが上手で、成績も良かったりする。そんな人間にPCですべてやれというのは本当に必要か。全社員にPC配布したからといって、ROIがきちんと計算できるとは思えない」
 営業部門などROIの数値化が難しい現場で働いてきた人たちの中には、こうした率直な感想を持つ人も少なくないだろう。
 また、あるベンダーの担当者は次のように話す。
 「米国ではITマネージャーからプログラマへと至る仕事の階層構造がきちんと分かれており、ジョブの区切りも明確だ。だが日本ではすべての業務が渾然と混ざり合い、ボランティア的な仕事も多い。果たしてそうした階層構造の中でTCOが成立するのか」
 情報システム部門の現場ではどう見られているのだろうか。企業ITを支えているスタッフたちの悲哀を描いて話題となった書籍「システム管理者の眠れない夜」(IDG刊)では、PCに詳しい社員が上司や同僚たちに質問攻めに遭い、結果として著しい時間の損失となってTCO削減を阻んでいるケースが面白く紹介されている。こうした損失に対しては、PCのアプリケーションや処理の利用制限を行うことで対処が可能だが、著者の柳原秀基氏は「日本ではそうはいかない」というのである。「確かに、日本の企業でも、入社時に就業規則は読まされるし、担当職種もある程度は決められるが、実際の業務に就けば、本人の能力とやる気次第で仕事の幅はどんどん広がっていくものだ。これは『同じ給料なのに、できる人間に仕事が集中する』という悪い側面を持つことは否めないが、より高度な仕事へと挑戦するチャンスは意外と平等に与えられていると言うこともできる。ところがTCO削減ということでユーザーのカテゴリー別にPC上で使用できる環境を設定すれば、チャンスは平等でなくなる」「TCOの削減によって、仕事に対する意欲まで削減してしまうことになってしまうのである」
 そして柳原氏は、こう提案している。
 「筆者は、日本の企業でTCO削減を進めるためには、日本や日本人に対する理解が必要不可欠だと思う」

■TCO/ROIの“和魂洋才”化は可能か

 そんな中で、Q&Aをベースにしたナレジマネジメントを提供しているOKウエブは、ROI/TCOモデルを補完しうる「赤提灯モデル」とでも言えるような、日本的情報共有のかたちを提案している。
 社長の兼元謙任氏は「日本企業はビジネスプロセスとは関係のない部分で『皆で頑張ろう』というモチベーションがあり、赤提灯の居酒屋といった場所でスタッフ同士のaccommodation(調和)がとられていた」と指摘する。
 現在のTCOモデルはこれまでに述べてきたように、企業のビジネスプロセスを企画から製造、営業、マーケティング、サポートなどに分解。さらに細かく解析していき、それぞれのプロセスの中でのコスト最適化を図る手法が採られている。それぞれのプロセスをアウトソースしようというBPO(Business Process Outsourcing)が流行しているが、コスト削減を究極にまで追求すれば、すべてのプロセスを外に出してしまい、経営戦略部門だけを企業に残すというかたちになってしまうだろう。しかしこうした方式によって、時代を変えるような新たな商品を生み出すことができるのか。
 兼元氏が続ける。「かつての良き時代の日本企業では、企画や営業、サポートなどの各スタッフがたとえば社外の赤提灯で飲み明かしたりすることで、プロセスごとの壁を飛び越えた話し合いをすることができた。そうした文化が、たとえばビデオ規格のVHSやウオークマンのような斬新な商品を生み出す原動力になったのだと思う。現在のように各プロセスごとに徹底的なTCO最適化を求められるスタイルからは、VHSのような製品は絶対に登場しない。VHSは社内の誰もが『絶対に失敗する』と危惧し、でも技術者たちの強いモチベーションがあったからこそ誕生した」
 ROIでは計れない部分にこそ、次世代のビジネスの芽があるということなのだろう。とはいえ、兼元氏もROIモデル自体を否定しているわけではないという。たとえば「今年度中にこれだけの利益を上げ、そのためにはどの程度の資本を導入し、コストはこの程度に抑えなければならない」といった部分については、ROIは非常に有効だ。だが「何のためにこの製品を作るのか」「どうやって売り上げを達成するのか」「そのために、どんな仲間が必要なのか」といった部分については、ROIモデルは適用できない。
 スタッフのマネジメントについて、日米の考え方の違いもある。米国では労働について、キャリアパスとしての意味とサラリーの多寡の2点でしか評価されない。数値化しやすい考え方とも言えるだろう。だが日本では、「皆が頑張っているから」「あの人の下で働いているから」「この製品を作っているのを名誉に思っているから」といったモチベーションが、より重視される世界である。こうしたモチベーションを数値化するのは困難だろう。
 OKウエブが考えているのは、ビジネスプロセスで分断されたスタッフを、どのようにして再びまとめ直すのかということだ。そしてその手段として、匿名掲示板の一種を提案している。
 KMの一環として、情報共有の手段として掲示板を利用している企業は少なくない。だがオフィシャルな実名掲示板では、意外と発言が少ないのが現状だ。「上司も読んでいる場所では思い切った発言はできない」「恥ずかしい」といった意見が少なくないのである。そこでOKウエブは掲示板をオフィシャル(公式)とアンオフィシャル(非公式)に分け、後者を匿名掲示板にした。もちろん、完全な匿名掲示板にしてしまうと、インターネットの「2ちゃんねる」の用に悪意のある発言や「荒らし」行為などが発生してしまう可能性を完全に払拭することができない。このため掲示板に管理者を置き、この管理者にだけは書き込みした者の実名がわかるような仕組みを採っている。またフィルタリングも行い、企業秘密などを含む不適切な発言が流出しない仕掛けも取り入れている。
 「この際、管理者を社長にせず、公平な社内の第三者にすることが大事です。経営陣はアンオフィシャル掲示板を読むことはできるけれども、誰が書いているのかはわからない。また社員の側は、上司の目を気にせずに思い切った発言をすることができます」(兼元氏)
 OKウエブでは社内のコミュニティにこのアンオフィシャル掲示板を設置し、コミュニケーションを活性化させる成果を上げているという。また同社が提供しているコミュニティ導入支援サービス「Community Management」にもこのモデルが取り入れられている。
 90年代以降、日本は不況に沈む込んでいく中で、米国のビジネスモデルをどん欲に採用し、取り込んできた。だがシックスシグマやカンバン方式など、日本から輸出され、欧米の企業に取り入れられたモデルも決して少なくない。TCO/ROIモデルを鵜呑みにするのではなく、和魂洋才による日本的な消化吸収が必要な時期に来ているのかもしれない。

| | Comments (1330) | TrackBack (0)

あなたのプライバシーのお値段は?(Computer World 2004年6月)

 企業の個人情報漏洩事件が相次いでいる。今春以降、Yahoo! BBや通販のジャパネットたかた、コスモ石油など、顧客データの漏洩事件を引き起こした企業は数知れない。
 そして一連の事件で注目を集めているのは、いったいプライバシー漏洩の補償としてはどの程度の金額が適性なのか、という問題だ。Yahoo! BBを運営しているソフトバンクの孫正義社長は事件が発覚して間もなく、全会員に500円の金券を配ると発表し、話題を呼んだ。「お詫びの気持ちとして金銭を配るというのが当たり前、という風潮になるのはまずいのではないか」という指摘が出ている一方で、インターネット上では「500円はあまりにも安いのではないか」という意見も見られる。
 「500円は安い」と主張している人たちが論拠にしているのは、1999年に発覚した京都府宇治市の事件である。住民基本台帳のデータが流出したこの事件では、市議ら3人の市民が市を相手取って損害賠償を求めて訴訟を起こし、ひとり1万円の賠償金を勝ち取っているのである。

 宇治市の事件が発覚したのは1999年5月22日である。京都新聞の報道がきっかけだった。
 当時、この問題を取材した全国紙記者によると、発覚の端緒は京都新聞の関係者が名簿業者のウエブサイトを見ていて、
 「宇治市住民票 総数21万7617」
 という名簿データが販売されているのを見つけたのがきっかけだった。21万というのは、宇治市の総人口に近い数だった。このデータの一部を京都新聞は入手し、宇治市役所に持ち込んで説明を求め、大騒ぎとなったのである。
 名簿に含まれていたのは、次のような項目だった。

 住所・氏名・性別・年齢・世帯主名・世帯主との続柄・住民番号

 住民番号というのは、説明が必要だろう。宇治市が住民基本台帳のシステムを作り上げた際、住民ひとりひとりに便宜上割り振ったナンバーである。2002年から全国で稼働している住基ネットで使われている「住基コード」と同じ種類のもので、住基ネットが導入される以前から宇治市の住民基本台帳システムで使われていた番号だ。以降、この住基ネット以前に同市が導入していた住民基本台帳システムを、「旧住基システム」と呼ぶことにしよう。
 住基ネット同様、宇治市の旧住基システムはセキュリティポリシーに基づいて管理されていた。旧住基システムの住民データは市庁舎地階の電算室に設置してあるサーバに保管され、この部屋にある端末か、もしくは市庁舎1階の市民課にあるクライアントマシンからしかアクセスできない仕組みになっていた。電算室は厳重な入退室管理が行われており、不審者が出入りした形跡はない。電算室の端末のアクセスログを調べても、データが大量にダウンロードされている形跡はなかった。
 また市民課のクライアントマシンからは、一度に1世帯分のデータしか表示できないようになっている。21万もの大量のデータをこのマシンからダウンロードし、外部に持ち出すのは不可能だった。
 しかし漏洩データは、このふたつの場所からは漏洩していなかったのである。全国紙記者が説明する。「名簿の中には個人だけでなく、市内にある会社の名前や所在地などが入っていました。また宇治市民ではなくなっている人も含まれていたり、名簿を丹念に調べていくと、単なる住民データではないことがわかったのです」
 市が保有しているさまざまなデータとつきあわせていった結果、2日後にはこの名簿がなんだったのかが判明した。市が作成した乳幼児健診の名簿だったのである。市民から子供が3カ月検診を受ける時期にある対象世帯をピックアップし、健診の案内を郵送したり、診断記録を保存しておくために作ったのだという。
 作成作業は、市保健推進課が業者のA社に発注し、旧住基システムから抽出して作らせたものだった。A社は別の業者B社にこの作業を孫請けに出していた。そしてまもなく、漏洩ルートが判明する。B社でアルバイトとして働いていた元大学院生の男性がこっそりB社内のサーバからデータを取り出してMOディスクに保存し、名簿業者に売り飛ばしていたことがわかったのである。
 一方、流出名簿を販売していた大阪府堺市の業者との話し合いもすぐに決着した。業者は当初無視を決め込んでいたが、京都府警が仲介したことなどから、「名簿は返却するので穏便にすませてほしい」と市側に伝え、流出名簿を郵送してきたのである。翌日、対策に当たっていた市職員らが業者の事務所を訪れ、「宇治市の住民の個人情報を不正に入手したり、不正入手したデータは一切使用しない。販売したデータについては当方の責任ですべてを回収し、貴市に返却することを誓約する」などとする念書を交わし、さらにその場でMOを廃棄するところをビデオカメラで撮影して記録に残した。かなりの年の入れようだったということがわかる。
 このやりとりの際、業者は市に対し、「名簿はB社のアルバイトから25万8000円で買った」と説明した。21万人余の住民名簿が25万8000円。住民ひとりあたり約1円の値段がついたとということだろうか。
 アルバイトの元大学院生は当初、「横流しなんかしていない」と否定していたが、名簿業者側から売り渡しの書類が市に提出され、この書類に残された住所氏名が元大学院生と一致した。また筆跡も、元大学院生がB社で作成した書類のそれと酷似していた。
 市は元大学院生とB社を、宇治市個人情報保護条例違反の容疑で京都府警に刑事告発した。またこの事件の責任を取って、市幹部の処分も行われた。市長は3カ月間、助役は2カ月間にわたって給料を10分の1減給するほか、ボーナスや勤勉手当なども10の1減らし、市長は総額で約67万円、助役は45万円を減額されることになった。また再発防止策として、セキュリティー対策として補正予算案に2000万円の対策費が計上された。
 その後、京都府警は元大学院生とB社を、市個人情報保護条例違反で京都地検に書類送検した。この際、果たして条例違反に問えるかどうかで府警内部でもかなり意見は割れたという。先の新聞記者が話す。
 「デジタルデータは『財物』にはならないため、盗んでも刑法の窃盗罪にはあたらない。また不正アクセス防止法はこの事件が起きた時点ではまだ施行していなかったため、最終的に市の条例で摘発することになりました。ところが、住所や氏名、生年月日、性別などは市民課の窓口で誰でも閲覧できる情報で、プライバシーには当たらないというのが法的なとらえかただったんです」
 国の住民基本台帳法には、「第11条 何人でも、市町村長に対し、当該市町村が備える住民基本台帳のうち第7条第1号から第3号まで及び第7号に掲げる事項に係る部分の写しの閲覧を請求することができる」と定められており、自治体の窓口に行けば誰でも住民情報を閲覧することができるのである。
 市条例には「事務で知り得た個人的秘密を漏らしてはならない」と定めていたが、住所・氏名・生年月日・性別のいわゆる「基本4情報」が個人的秘密に当たらないとすれば、条例違反には問えない。そこで府警幹部らが考え抜いたあげくに採用したのが、流出名簿に含まれていた外国人約3200人の個人情報を漏らした容疑で摘発することだった。外国人の情報は窓口で閲覧することができず、「個人的秘密」に該当すると考えられたのである。
 だが京都地検は最終的に、元大学院生とB社を不起訴にした。京都府警の考えを否定したからではない。宇治市では今回の摘発罪名となった個人情報条例が事件発覚直前に廃止され、新たな個人情報保護条例がかわって施行されていたのだが、この廃止~再施行の間に経過措置規定がとられておらず、法違反に問えないと判断されてしまったのである。
 個人情報をめぐって法整備がなかなか進まないさなかに起きたこの事件は、最後まで法律に苦しめられたのである。国の個人情報保護法が整理するのは宇治市の事件が起きた4年後、2003年5月になってからである。同法には、「行政機関の保有する名簿などの個人情報を職員が不当に第三者に提供した場合、二年以下の懲役または百万円以下の罰金を科す」という項目が盛り込まれている。
 宇治市の事件は、別の反響も巻き起こした。同市議など市民3人が市を相手取り、「プライバシーを侵害され、精神的ショックを受けた」と損害賠償を求めて提訴し、そしてこの裁判に勝ってしまったからである。
 宇治市は「事件は委託先の業者のアルバイトが起こしたもので、市が指揮監督するのは不可能だった」と主張したが、京都地裁は「発注者は秘密の保持について万全を尽くすべき義務を負う」と市の主張を退け、市議ら3人に慰謝料はひとりあたり1万円と弁護士費用5000円の計1万5000円を支払うように求めたのである。賠償額は総額4万5000円とわずかだったが、この判決の意味は大きかった。個人情報の値段というのがいったいどの程度なのかを、人々に再認識させる大きなきっかけにもなったからである。
 市は判決を不服として大阪高裁、最高裁と争ったが、最終的に敗訴し、慰謝料1万円の判決は確定している。
 実は同種の判決が、2003年9月にも確定している。
 「江沢民講演名簿事件」などと呼ばれるこの事件は、1998年11月に当時の江沢民・国家主席が早稲田大学を訪れて講演を行った際、大学当局が警視庁の求めに応じて講演会の入場者名簿を提出したというものだ。講演の入場者は早大生や留学生が約700人、そして教職員や一般招待者が約700人だった。
 この件で大学生6人が大学当局を相手取って、「個人情報の目的外使用で、プライバシー権等の侵害になる」と損害賠償を求める裁判を東京地裁に起こした。大学側は、「名簿を警視庁に提供したことは正当な理由に基づく行為であって、プライバシーの侵害はしていない」と訴え、一審判決では大学の主張を認めて学生側の請求は棄却された。ところが東京高裁の第二審では、「名簿提出を入場者に告知するのは容易だったのに、それを行わなかったのは大学の手抜かりだった」として、ひとり1万円の損害賠償を認めた。この判決は最高裁でも追認され、判決は確定した。
 この2つの判決から、「個人情報の漏洩にはひとり1万円」という“相場”が確立し、放送関係者の間では常識として語られている。
 もっとも、企業の側が1万円を自発的に払う意志を見せているかといえば、今のところそうした奇特な会社は現れていない。実際、件数が数万から数十万にも及ぶ最近の個人情報漏洩事件で、ひとり1万円もの慰謝料を支払えば、企業の存続にも影響を与えかねない。
 この春にたいへんな社会問題となったYahoo! BB顧客情報漏洩事件を見てみよう。運営会社のソフトバンクBBは、お詫びとして全会員にひとり500円を支払うことを決め、約40億円のコストを見込んでいる。もし同社が、ひとり1万円を被害者に支払うとするとどうなるだろう。

 457万7039人×1万円=457億7039万円

 という巨費になってしまう。とても支払える額ではないだろう。
 同社が参考にしたとみられているのは、コンビニエンスストア「ローソン」のポイントカード「ローソンパス」の会員情報漏洩事件だ。2003年6月に起きこの事件は、ローソンパスの会員から「「ローソンパスにしか登録していないはずの住所に、まったく関係ないダイレクトメールが送られてきた」という苦情で発覚した。最終的に、ローソンパス会員約56万人の住所・氏名・性別・生年月日・電話番号などの基本情報が漏洩していたことが判明した。
 ローソンパス会員情報は1カ所のサーバに集約されており、このデータを引き出せるIDwを持っているのはローソンと提携先のカード会社の計約20人だけで、いずれもシロだった。漏洩ルートは結局判明しなかったが、同社はローソンパスの会員約115万人全員に、お詫び状と500円分の商品券を送ることにしたのである。かかった費用は約5億7500万円だった。
 この事件以降、500円は顧客情報漏洩のお詫び金のデファクトスタンダードになっていく。
 Yahoo! BBについで、2004年4月には、コスモ石油が発行するカード「コスモ・ザ・カード」の会員約220万人のうち、約92万人分の情報が漏洩した。この時も同社は、被害者全員にガソリン代500円分の割引ポイントをお詫びとして渡している。
 1000円が支払われたケースもあった。
 コンビニエンスストア「ファミリーマート」は2003年年10月、通信販売の会員組織「ファミマ・クラブ」を利用している顧客約18万人の情報が漏洩したと発表。この事件でもシステムへの侵入の痕跡などは残っておらず、漏洩ルートは突き止められなかったが、お詫びとして個人情報が漏洩した会員18万人に対して1000円相当のクオカードが送られた。
 一方、プライバシーを漏洩させてしまった企業の側から見ると、その損害は「ひとり500円」では終わらない。損害賠償や慰謝料以外にも、対策に当たった人件費や業務がストップしている間の経費、営業機会の損失などさまざまなコストがかかる。
 たとえば非営利法人(NPO)日本ネットワークセキュリティ協会(JNSA)は2003年6月、「情報セキュリティ被害調査ワーキンググループ発表」をまとめている。
 このレポートは個人情報の漏洩だけでなく、ウイルスや不正アクセスの被害などさまざまな情報セキュリティ事故についての被害額を調べ上げたものだ。その中でJNSAは、セキュリティ事故の損害を「表面化被害」と「潜在化被害」に分け、さらに表面化被害に関しては、直接被害と間接被害に分けて表のような数式を設定している。
 この中で注目すべきなのは、業務外の潜在化被害だ。ブランド価値の低下や風評被害などによる損害を示し、数値化はできにくいこの損害が、実はもっとも長期にわたって漏洩元の企業を苦しめることになる。その見えない数値の大きさは、過去の企業不祥事を振り返ってみれば明らかだ。たとえば雪印グループが引き起こした牛乳食中毒事件や食肉偽装事件、あるいは最近では三菱自動車のクレーム隠し事件などを見てみればいい。対応のまずさがどれほどの損害をブランドに与えただろうか。
 たとえば雪印乳業の食中毒事件で、当時の社長は記者会見の席上、こんな失言をしている。
 「低脂肪乳はわが社ではあまりもうかっていない商品なので、収支に与えるインパクトはあまりない」
 財務畑だったとされているこの社長の頭の中には、食中毒事件に対する「表面化被害」の損害額しか存在していなかったのかもしれない。数字にできる損害は簡単に計算できるが、こうした失言がもたらすブランド離れは、実はもっとも深刻な損害を企業にもたらすのである。
 この対応に比べれば、Yahoo! BB事件でソフトバンクグループが見せた事後対応ははるかに迅速だった。こうした対応が功を奏したのかもしれない。ソフトバンクの株価は発覚当日、前日終値比300円安の3890円まで売られたものの、その後は持ち直し、約1カ月後には事件前の水準である4500円前後にまで戻したのである。
 JNSAは前出のリポートで、個人情報漏洩事件の損害賠償額の算出式も提案している。
 まず算式項目を、

 ①個人情報の中身
 ②事前に個人情報を提供することに同意させていたかどうか
 ③被害者は顧客か単なるアンケートなどの応募者か
 ④情報漏洩元の企業・団体の社会的信頼度
 ⑤事件後の対応姿勢

 という5項目に分類し、表のようにベースの数値に要素を積算していく方法を採った。そしてたとえば、この算出式を宇治市の住民データ漏洩事件に当てはめると、3600ポイントとなるという。このポイント数を「評価ポイントと想定慰謝料の対応表」(表3)に当てはめると、損害賠償額は1万円~5万円相当ということになる。
 宇治市を相手取って市議らが起こした裁判では、前述したように損害賠償ひとりあたり1万円が最高裁で確定している。もう少し多めに請求しても良かったということだろうか。
 JNSAが調査した2003年6月の時点では、国内では63件の情報漏洩事件が起きており、被害者の合計人数は41万8716人に上っていた。1件あたりの平均人数は6646である。
 そしてこの算出式をすべての事件にあてはめてみたところ、損害賠償の総額は151億4270円に達し、一件あたりの平均額も2億4036万円に上ったという。しかもこの数字には、損害賠償以外の潜在的損害額などはいっさい含まれていない。個人情報漏洩の損害はきわめて大きいといえる。
 こうした損害賠償額を抑えるには、どうすればいいのだろうか。100%の答はないだろうが、ベストの方法は簡単だ。迅速に間違いを認め、ていねいに対応を行って信用回復を急ぐこと。情報漏洩の二次被害が出る可能性をいち早く摘み、情報を開示して捜査当局の指示を仰ぐこと――。当たり前の話だが、こうした行動をきちんとできるかどうかが、企業の命運を分けるのである。

| | Comments (142) | TrackBack (0)

June 01, 2004

個人情報を暴露するWinnyウイルスの恐怖(サンデー毎日 2004年6月)

 ある日突然、自分の生活や仕事の内容などを書いたメモが実名つきで出回り、人々の笑いものになっている――まるで筒井康隆の傑作SF「俺に関する噂」のような妄想だ。だが実は今、そんな恐ろしい事態がインターネット上で現実に起きている。ヤフーBBやジャパネットたかたの顧客情報漏洩事件など、比べものにならないほどの深刻な個人プライバシー侵害なのである。

 これは決して、空想の話ではない。しかもこの恐ろしい事態を引き起こすのは、今年になって出回り始めた一個のコンピューターウイルスなのだ。その凶悪きまわりないウイルスの名前を、「アンティニー」という。
 ウイルス対策メーカー、トレンドマイクロの岡本勝之氏は、
 「インターネット時代に入って、これほどまでに本格的な“国産ウイルス”が登場するのは初めてのケースではないか」
 と警告を発している。いったいどのようなものなのか。
 開発者だった東大助手が5月に逮捕され、一気にその悪名を高めたパソコンソフト「ウイニー」をご存じだろうか。音楽や映画、ゲームなどのソフトをインターネット上で違法に交換できてしまう「ファイル交換ソフト」と呼ばれるプログラムの一種である。ウイニーはその中でも、通信が暗号化されて誰がファイルを発信しているのかわからない仕組みになっており、「当局の摘発を免れることができる」という触れ込みでネットのアングラ社会で急速に普及した。
 そしてアンティニーウイルスは、このウイニーを媒介して感染するのである。原種とされている当初のタイプは昨年8月に出現。しかしこのタイプは感染するだけで、損害はもたらさなかった。だが今年3月に出現した「アンティニー・G」と呼ばれる亜種は、凶悪きわまりなかった。感染すると、使っているパソコンの画面をそのまま記録し、さらにデスクトップ画面上に置かれている文書などをひとまとめにし、そのまとめたファイルにパソコンのユーザーの名前を付けてインターネットに流すのだ。正確には、ウイニーによって音楽や映画が交換されている「ウイニーネットワーク」と呼ばれている場所に、放出されるのである。
 ウイニーというアングラなソフトの利用者だけに感染するウイルスであるため、被害者の後ろめさもあり、感染報告は当初、非常に少なかった。このためウイルス対策メーカーなどの対応も遅れたのだが、やがて個人の実名らしき名前の付いたファイルが大量に見つかるようになり、インターネットで騒ぎが広がった。
 最も悲惨だったのは、ある男性の不倫の生々しい様子が実名とともに暴かれてしまったケースだろう。男性は不注意にも、不倫相手の女性とのチャット(インターネット上のおしゃべり)の記録を、パソコンのデスクトップに保存していたのである。
 「僕と君だけの秘密を作ることから始めようか」「秘密?」「どんなことが秘密だと思う?」
 「お互いの顔を見ながら、心を感じながらいろんな話が出来たらいいな」「うんうん、でも大半笑って終わりそう……どうする?」「それも明美(仮名)と僕との関係の流れって感じだよね」「うん、そうだね」
 などと、他人が読むだけでも恥ずかしくなるようなやりとりが、本人の実名つきで暴露されてしまったのだ。チャットの中で自己紹介している内容によれば、男性は東京近郊に住む37歳で、妻と3人の子供がおり、テレビ関係の仕事をしているという。
 男性のプライバシーはインターネットの匿名掲示板などで嘲笑の対象となり、本名はネット中に知れ渡った。インターネットで男性の名前を検索すると、不倫チャットを揶揄するホームページや掲示板の書き込みなどが大量に見つかる。そしてこの状況は、彼が改名でもしない限り、永久に止まらない。男性は筆者の取材には応じていないが、2ちゃんねるで削除依頼を行う掲示板に、こう書き込んだ。
 「すいませんが、かなりの個人情報が公開され困っています」
 しかし掲示板の書き込みを削除したとしても、ウイニーネットワーク上に流れた情報は削除はできない。このネットワークは、情報の流通を管理するサーバーなどは存在せず、膨大な数のウイニーユーザーのパソコンを結び合うことで成り立っているからだ。いったん放出されたデータは、個人のパソコンとパソコンの間を勝手に渡り歩き続け、誰のコントロールも受けないまま、永遠に漂流し続けていくのだ。
 インターネットのセキュリティ問題に詳しい高木浩光氏が解説する。
 「ウイニーが個人のプライバシーを侵害する行為のために使われてしまうと、原状回復がほぼ不可能という深刻な問題点がある。アンティニーウイルスに感染したケースだけとは限らない。他人のプライバシーを侵害する目的で、たとえばトイレの盗撮ビデオをウイニーネットワークに放流するといった行為など考えられる」
 実際、別の方法で入手された個人のプライバシーが、第三者の手によって故意にウイニーネットワークに流された、というケースもすでに出現しているというのだ。何とも恐ろしい「道具」が登場してしまったものである。
 男性のケース以外にも、被害は爆発的に増えつつある。今年3月には、京都府警と北海道警の捜査情報が相次いで流出する事件まで起きた。
 京都府警から漏洩したのは、下鴨署の交番に勤務する巡査が個人用パソコンに保存していた指名手配署や捜査報告書、供述調書などで、事件の被害者約20人の住所や名前などが含まれていた。巡査はウイニーを使ったことがあり、自宅でパソコンをインターネットに接続した際、アンティニーウイルスに感染してしまったらしい。発覚の端緒となったのは、他県に住む男性から「本物かどうかわからないが、京都府警の捜査書類のようなものがインターネット上に流れている」という電話が京都府警ハイテク犯罪対策室にあったためで、府警はそれまでまったく気づいていなかった。ウイニーの開発者を逮捕するなど、ネット犯罪摘発で華々しい活躍を見せる京都府警にしては、あまりにもお粗末だったというべきだろう。
 またこの発表があった直後、北海道警でも交番の巡査の私有パソコンから、計8人分の個人情報が記された捜査資料がインターネットに流出していたことが判明。現行犯人逮捕手続書や捜査報告書、交通事故発生報告書など6件の資料で、中には市民の名前だけでなく、生年月日や住所、勤務先まで記載されているものもあった。道警では個人情報を私有パソコンのハードディスクに記録することを内規で禁じていたが、巡査は道警の調べに対して「フロッピーディスクで管理すると動作が遅くていらいらするので、ハードディスクに保存していた」と話したという。
 北海道警の事件では、個人情報を流された江別市内の男性が道警を相手取り、慰謝料200万円の支払いを求める訴訟を札幌地裁に起こしている。男性は3月に同市内で道交法違反の現行犯で逮捕されており、その際の資料が流出。訴えの中で「交通違反の詳細な内容が実名で不特定多数に閲覧され、精神的な損害を受けた」とした。
 この事件には、さらにおまけがある。北海道警が「いったん流れたデータは削除できない」という事実をきちんと伝えず、問い合わせてきた男性の母親に当初「名前や住所naodの個人情報が盗まれたが、たいしたことはない」などと説明。さらにその後、男性本人に対して電話で「情報はすでに削除した」とウソの報告を行っていたというのである。後から抗議された道警は「流出したファイル名が書かれたインターネット掲示板の書き込みを削除した、という意味だった」とかなり苦しい弁解だった。
 それにしても、いったん流れ出たプライバシーを何とかかき集めて消去する方法はないのだろうか。この件については、捜査資料を流出させてしまった京都府警や北海道警も、ほとほと困り果てているようだ。
 ウイニーの暗号解読や、発信元を特定できるプログラムを開発し、自社製品に組み込んで発売しているベンチャー企業、ネットエージェントの杉浦隆幸社長は、
 「京都府警と北海道警から、漏れた捜査資料を回収するためにわが社の技術を利用できないかという引き合いが来ている」
 と明かす。同社の製品を使えば、捜査資料をウイニーネットワーク上で中継しているパソコンをすべて特定することは不可能ではないという。捜査資料を中継しているパソコンは膨大な数に上るとみられ、ひとつひとつを特定するのはたいへんな手順となる。またパソコンの所有者に対し、「持っている捜査資料を消去してほしい」とひとりずつこつこつと依頼していかなければならない。たいへんな苦労を伴う作業だが、
 「そこまでしても、警察としては捜査資料を何とかインターネット上から消し去りたいのでしょう」(杉浦社長)
 ということなのだろう。ご苦労様、としか言いようがない。
 それにしても、この凶悪な国産ウイルスをいったい誰が作ったのか。日本のインターネットアングラ社会も、何とも恐ろしい発展を遂げたというべきか。前出のトレンドマイクロ・岡本氏もこう嘆息するのである。
 「このウイルスを契機にして、『日本人でもウイルスを作りうるのだ』という風潮が広まり、国産ウイルスが今後増えていくことになるのではないか。たいへん心配です」
(ジャーナリスト・佐々木俊尚)

| | Comments (32) | TrackBack (0)

« May 2004 | Main | July 2004 »