対談・座談会

真の顧客視点に立ち企業価値創造のためのナレッジマネジメントを

kouitou — 2008-04-01T08:30:00+09:00

ナレッジマネジメントという言葉が叫ばれるようになってから、10 年の月日が流れた。その間に、企業とそれを取り巻く環境は大きく変化し、ナレッジマネジメントという言葉が持つ意味も変わりつつある。社内の情報を蓄積するだけのシステムではなく、価値創造のナレッジマネジメントへ−この流れは、現在企業の中で起こりつつある情報共有の新たな潮流とも言える。ナレッジネットワーク株式会社代表取締役森戸裕一氏とＮＥＣソフト株式会社生産技術部部長齋藤愼司が新たなナレッジマネジメントの可能性について語り合った。

プロフィール

森戸裕一

大手システム会社でナレッジマネジメントなどのコンサルタントとして活躍した後2002 年1月独立。ナレッジネットワーク株式会社を設立後は組織力向上のための情報マネジメント、人材マネジメントなどのコンサルティング業務に従事。特に経営者や情報化担当者向けの講演などは独立後1500回と群を抜く実績を持つ。情報化による組織変革などのテーマで社内研修の講師や大学の客員教授なども務める。著書に『人と組織が動く中小企業のI T経営』がある。

齋藤愼司

1977年8月　ＮＥＣソフト入社　NCOS1のOS開発（操作管理）を担当し、コンソール制御、DBリカバリシステムの開発などに携わった。1986 年から官庁系大規模システム構築に従事。その後、2001年に現部署の前身であるSEFE推進部に転進し、経営品質活動の全社SPI活動推進を担当。2004 年改称した生産技術部で、主にSIフレームワークを基盤とした開発方法論、開発／管理ツール、ノウハウなどの情報共有の全社推進に携わり、引き続き全社生産革新活動を推進中。

ナレッジマネジメントに欠かせない動機付けと目的の明確化

齋藤
ＮＥＣソフトが自社内のナレッジマネジメントに取り組み始めたのは2000年の少し前ぐらいです。それまではノウハウや情報の蓄積は、グループや個人の域に留まっているレベルでした。当時、社長の肝煎りで、企業の価値創造をどう行うかという議論が社内で始まっていたのですが、その時に若手の技術者が集まった検討会の中から、社内のナレッジをマネジメントすべきだという提案が上がってきました。そして、会社としてナレッジを蓄積し活用する仕組みとして全社規模のナレッジマネジメントシステムを作り、バラバラになっていた知識を組織的にまとめていこうということになったのです。弊社では現在、「KnowledgeWorld」というナレッジマネジメントシステムをパッケージとしてお客さまに販売していますが、元々はこうした社内で実践的に活用したシステムから生まれたものです。
森戸
ナレッジマネジメントは元々、どの会社でも自然に行われていたことです。ITシステムがない時代には、マネージャーと呼ばれる方々が、部下の知識やノウハウをマネジメントしていました。しかし社会の情報化が加速し、企業にあるナレッジが膨大な量になってきて、その中で何が価値なのかということが判断できなくなってきました。そこでITシステムを使って、企業の中のナレッジを整理する必要があると考えられ始めたのが、私の認識ですとちょうど2000年前後です。ですからＮＥＣソフトは、ずいぶんと早い段階からナレッジマネジメントに取り組まれていたと思います。ただ、その分、相当の試行錯誤があったのではないでしょうか。
齋藤
システムを導入した最初の2～3年は、全社で登録キャンペーンなどを行い、活性化に努めた時期がありました。初めから、システムを作ればすぐに活用されるという状況ではありませんでした。ナレッジマネジメントの目的を社内で議論しながら、少しずつ社員に浸透させていったと思います。
森戸
私はナレッジマネジメントを実現するまでに必要な段階が二つあると考えています。最初に、一体何を目的としてナレッジマネジメントを行うのかということを全社に周知徹底しておかないといけません。“インフォメーションマネジメント”と呼んでいますが、これをしっかり行っていないと、ナレッジマネジメントの仕組みだけを作ってもただの箱になってしまいます。それから、次は“モチベーションマネジメント”によって、動機付けをしてあげる必要があると考えています。モチベーションマネジメントで一番分かりやすいのは、インセンティブですね。特にＮＥＣソフトのように大きな会社ですと、ノウハウを持っている方がその情報を共有するために、業務に影響が出るほど対応に追われるおそれもあると思います。その時に、会社としてその方にどのようなインセンティブを渡すのかということを最初の段階で告知して動機付けしておかないと、なかなかナレッジマネジメントは機能しないとも考えられます。インセンティブについては、どのような仕組みを取られたのでしょうか？
齋藤
確かにインセンティブというのは重要なことだと思いますし、実際ナレッジマネジメントの活性化のためにはインセンティブが必要なのではないかと、社内で議論したこともありました。促進を目的とした報奨金などのインセンティブに関しては、経営層の判断として、あくまで業務の一環としてナレッジマネジメントを行うのであって、インセンティブのために行っているわけではないという考え方から、結局弊社では導入には至りませんでした。ノウハウを蓄積していき、企業の存続に繋げるということは、企業人として当然果たすべきことなのだというのが、私どもの考えです。
森戸
なるほど、インセンティブをもらうためではなく、自分たちが価値創造のためにナレッジマネジメントを行うのだということを、社員の方々に徹底されたということですね。そうして社員の方の意識に動機付けがなされると、ナレッジマネジメントの行動にも繋がってきます。

重要なのは顧客視点で如何に情報共有を考えるか

齋藤
ナレッジマネジメントを行う上で、ルール作りとモチベーションは非常に大切であると考えます。弊社では、バランススコアカードを全社的に導入しており、ナレッジをどういう風に使っているかということに対して、お客さまの視点やプロセスの視点でKPI（業績評価指標）を設ける部門もできてきています。組織の価値を高めるための方向性を指標で評価していく仕組みも必要になってきます。
森戸
やはりお客さまの視点で考えることが重要ですね。ナレッジマネジメントと言いますと、ついつい内向きに、自分たちが持っている知識をどう溜めこんで、それをどうやって共有していくか、という話になりがちです。しかし、最終的にはお客さまに対して価値を提供するわけですので、お客さまにどんな価値を提供するために、自分たちはどんな知識を蓄積して活用しなくてはいけないのかを考えなければいけません。バランススコアカードの考え方は、その中に業務プロセスやお客さまの視点が入ってきますので、社員に対して非常に分かりやすい説明になると思います。最終的にこれは何をするためのシステムなのかということが明確になっていれば、現場の方にもシステムをポジティブに利用してもらえて、情報システムの活用は問題なく進むと思います。
齋藤
弊社の場合ですと、最初にお話しましたように、トップの指示がありましたが、若手の技術者が考えてボトムアップでナレッジマネジメントシステムを作り上げてきたという経緯があります。SIの会社ですので、企業価値を高めるためにノウハウを統合する方法が必要であるということをみんな認識していました。そのため、システムを導入する目的も社員が理解しており、展開も比較的スムーズに行うことができたと思います。
森戸
情報共有においては企業文化の分析という過程が絶対に必要となります。外資系の企業や同様の組織風土を持った企業であれば、中途入社であっても即座に社内のナレッジを活用して即戦力として結果を出していくことが求められます。そういった体質の企業の場合は、ドラスティックなナレッジマネジメントシステムがあればいいわけです。しかし日本の会社の多くはそういう仕組みになっていません。日本では、社内で人間関係を形成していって、その信頼関係の中でナレッジを交換し合う風土です。そこにナレッジマネジメントシステムを導入するには、その会社なりの工夫がないと上手くいきません。その分析をやるのが私たちコンサルタントの仕事です。結局、人間の仕事を定義しないとシステムは入りません。私たちはどうしてもシステムありきで考えてしまいがちですが、最終的には人間が何をやるのかというところに尽きると思います。

現場で求められる“どろどろした”暗黙知の共有

齋藤
最初は、業務効率化のためにナレッジを活用しようということで、QMS（品質マネジメントシステム）を構築したり、帳票や定例文などをナレッジマネジメントシステムに登録したりしていました。ただ、そういった形式知だけではなく、暗黙知も継承していかなければいけないという考え方が、現場の技術者から求められるようになりました。効率化だけでは競争の優位性を高めることはできないと考えています。現在はこうした暗黙知をどのように取り込んでいくかを模索している段階です。例えば社内で事例発表会を行うと、紙に書かれた文章では伝わらない、どこか“どろどろした部分”があり、そこが大事なところでもあります。その“どろどろした部分”は“face to face”でないと非常に伝わりにくいものです。現場も忙しいので、事例発表会に出席できない人も多いのですが、そういった人向けに発表会の様子を動画で提供したりしています。間接的であっても同じ立場の人には感覚的に伝わるものがあるのではないかと考えているからです。臨場感を共有し気付きを得て、現場改善に繋げて欲しいと思っています。
森戸
今おっしゃった“どろどろした部分”が、結局のところ現場のノウハウでありナレッジなのですね。そのナレッジはおそらく国内メーカーならではの暗黙知がある部分ではないでしょうか。そのナレッジを社内で共有できるようになってくると非常に面白いですね。その辺りがＮＥＣソフトのこれからの強みになってくると思います。形式知にできないのであれば、動画やノウフーという形で対処すればいい。どういった形で暗黙知を共有させるかという際に、リッチコンテンツを使うやり方は理にかなった手段だと思いますし、僕らも注目しているところです。
齋藤
対象をどこに置くか、価値をどこに見出してシステムを作っていくかということが非常に重要ですね。ナレッジにより企業価値を高め、やはりお客さまに価値を提供するためのシステムでなければ意味がないと考えています。
森戸
今はお客さまの方でもいろいろなツールを持っていますし、どんどん新しい情報を取り込んでいますので、NECソフトがこれは価値であると判断して提供されても、お客さまにそれを価値だと思ってもらえるかどうかが非常に難しくなってきています。インターネットの影響で、情報のサイクルがものすごく速くなっていて、お客さまの考える価値もどんどん変わっています。それに対して御社も合わせていかないといけません。そうなると、今度は社内だけではなく、社外のナレッジマネジメントも行っていかなければお客さまに追いつけないということになってしまいます。
齋藤
非常によく分かります。社外のナレッジを取り入れ、本当の価値をどうやってお客さまに提供していくか、そのスピードが必要だと思っています。これを実現可能にするものがナレッジマネジメントではないでしょうか。ナレッジをベースに人と人のコミュニケーションを活性化し、ナレッジを活用して行動に結び付けることが、新しい価値をお客さまに提供することを可能にしていくのではないかと考えています。
森戸
問題は外からの情報を誰が社内に取り入れるか、ということですね。営業部門とシステム部門が連携していかないと、お客さまのニーズに合ったシステムは作れません。ただ、スピードが速すぎて、営業でも追いつかなくなっています。お客さまが言っていることを社内で共有して、それで開発していっても、もう間に合わない時代になっています。ニーズを拾っているだけではスピードに付いていけません。ニーズより一歩先の潜在的なニーズを掴んで、社内に取り込んでいくような仕組みが必要です。社内と社外の接点となるナレッジマネージャーがこれからは必要になるのではないかと私は考えています。ＮＥＣソフトの強みである日本人に合ったシステムと今まで脈々と培ってきたノウハウを、最新のウォンツとどう組み合わせていくかということが大切になってくるのではないでしょうか。
齋藤
おっしゃるとおりです。「KnowledgeWorld」にしてもパッケージとして販売している製品ですので、弊社の社内で培ったノウハウに加え、社外のユーザーニーズを取り入れながら進化させるようにしています。社内と社外の接点である営業やSEの感性を研ぎ澄まし、先取りした行動ができるように現場力を高めていかなければなりません。今後もより一層そういった部分でのマネジメントが、企業の競争力の維持には不可欠になってくると考えています。
森戸
結局のところ、現場に蓄積された情報をボトムアップでどうやってマネジメントするかというところの問題に繋がってくると思います。最近では雇用の流動化が激しくなったと言われていますが、それでもある程度の規模の会社では、従業員が長くその会社に留まることを前提に仕事や業務プロセスが作られています。システムは、あくまで人の動きをサポートするものですから、そこには日本の会社ならではの風土や理念がどうしても深く結び付いてきます。ＮＥＣソフトが最も長けているのは、こういった部分ではないでしょうか。これまで培われてきたナレッジを応用していかないと、良いものはできないと思います。

企業の風土とニーズがナレッジマネジメントツールを育てる

森戸
ナレッジマネジメントのツール選定には、そのツールに理念があるかどうかが前提になります。ブログや電子メールですら、僕らはナレッジマネジメントのツールであると考えます。ルールを作ってメーラーに蓄積していけば、それはナレッジツールとして捉えられるものになります。ナレッジマネジメントのシステムを考えると、例えばＮＥＣソフトの場合ですと、自社で使われてきたナレッジマネジメントツールを販売されているわけですが、そのツールにどういった思想を植え込んでいるのか、という部分が重要になってきます。その思想に共感できる、あるいは風土が似ている会社は、そのツールを上手く使うことができると思います。どういう風土を持った会社がこのツールを作ったのか、どういった考えでこのツールを提供しているのか、そういうところまで導入する企業は見ていくべきだと思います。
齋藤
そうですね。「KnowledgeWorld」も弊社の現場で培われたノウハウによって発展してきたナレッジマネジメントシステムですし、また「KaBridge（カブリッジ）」という株主総会運営支援システムも提供しているのですが、これも同じように弊社の株主総会の運営に利用していたシステムを、そのノウハウを活かしてお客さまに販売している製品です。日本版の株主総会のやり方に合っていると、お客さまからは非常に高い評価をいただいています。
森戸
システムを使う側の企業の発想で言いますと、ＮＥＣソフトが実際に活用されてきたシステムとなると、ナレッジマネジメントにせよ株主総会運営にせよ、頭の中に活用イメージが浮かびます。これが先ほど僕がお話ししたインフォメーションマネジメントです。「こういう風にして使えばいいんだ」と分かって導入されるシステムは、当然ポジティブに使われます。特に独特の体質を持った日本の企業の場合は、その活用イメージを持てるか持てないかが重要なポイントになってきます。活用のイメージが持てないと、使う方のモチベーションにも繋がりません。

また、いわゆる2007年問題という雇用問題が昨年、言われていましたが、団塊の世代の方々がこれからどんどんと退職されていく中で、彼らの頭の中にあった暗黙知が社外に抜けていっています。企業のナレッジの空洞化という状況を迎え、おそらく昨年ぐらいから各企業ともナレッジマネジメントについて真剣に考え始めていると思います。これまで会社を支えてきたナレッジが企業から失われていく中で、そういったナレッジを社内に蓄積し、共有できるようなナレッジマネジメントシステムが求められているのではないでしょうか。
齋藤
団塊の世代の方々が経験されてきたことは、企業にとって非常に大きな財産です。雇用延長などの制度もできていますが、社内外の有識者や団塊の世代の方々が語り部となって、経験してきたことを社内のいろいろな場所で伝えていくといったことも盛んに行っています。また、やはり製品を製造する上で属人性といったものを排除していくプロセスと培ったノウハウを伝承するシステムを確立していかなければならないと思います。優秀な人が辞めてしまうと大きな財産も企業からなくなってしまうような会社にはしたくありませんね。
森戸
最近では、日本は過去の大国だと言う方もいらっしゃいますが、実際は様々なノウハウと底力を持っている国だと私は思います。そのノウハウの使い方をこれからはみんなで考えていかないといけません。新しいものが良くて、古いものは悪いという考え方ではもう先に進めません。古いものの中にこそいろいろなノウハウが蓄積されているわけですから、そこをITによって上手く補完していく情報システムが作られれば、その企業の強さを保持できるのではないでしょうか。そういった意味でもナレッジマネジメントに寄せられる期待はとても大きいものであると言えるでしょう。

ＮＥＣソフト
ナレッジマネジメントの歩み

PDFファイルをダウンロード

※本ページに記載されている情報は掲載時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。

新たなステージに入ったIT活用。効率化からビジネスの創造へ

NECソフトウェブマスター — 2008-01-01T16:58:00+09:00

インターネットの普及やニーズの多様化などにより、消費者の行動は大きく変化した。これから必要なITは、消費者行動の変化を見据え、グローバル対応を考えた上で、単なる効率化から増力化へ、ビジネスの創出に役立つものでなければならない。株式会社日本総合研究所副理事長高橋進氏と、ＮＥＣソフト株式会社代表取締役執行役員社長国嶋矩彦が、新たなステージに入ったIT活用について語り合った。

プロフィール

高橋　進

株式会社日本総合研究所　副理事長。1953年生まれ。1976年に一橋大学経済学部を卒業と同時に住友銀行に入り、一貫して調査部門を歩む。この間1982年から5年間ロンドンに駐在し、国際経済の動向をウオッチしてきた。1990年に日本総合研究所の調査部主任研究員となり、1996年から調査部長、2004年理事。2005年から2年間、内閣府政策統括官（経済財政分析担当）を務める。2007年日本総合研究所に復帰し現職。NHK「日曜討論」やフジテレビ系「報道2001」、テレビ東京「ワールドビジネスサテライト」などにコメンテーターとして出演。新聞、雑誌などへの寄稿も多い。

国嶋矩彦

ＮＥＣソフト株式会社代表取締役執行役員社長。1946年6月生まれ。1969年東京大学工学部を卒業し、日本電気株式会社入社。1993年同社C&C装置システム事業部長、1996年同社第一金融システム事業部長、1999年同社C&Cネットワークシステム事業部長、2001年同社ＮＥＣソリューションズEビジネスサービス事業本部長。2002年同社ＮＥＣソリューションズ執行役員［台湾駐在］、2003年同社執行役員［台湾駐在］、2004年日電系統集成（中国）有限公司董事長［北京駐在］、同年日本電気株式会社執行役員常務［北京駐在］、2006年同社執行役員常務、同年ＮＥＣソフト株式会社取締役を経て、2007年6月ＮＥＣソフト株式会社代表取締役執行役員社長に就任。

少子化時代を前にして、いかに生産性を向上するかが大きな課題

国嶋
インターネットが当たり前になり、消費者の意識や行動は大きく変化しました。その変化の波は、B to B to Cという形で、個人を対象とする企業にまで及んでいます。したがって、消費者の行動変化を見据えたビジネスを展開しなければなりません。2008年はユビキタス社会への歩みが強まり、それはNECグループの提唱するNGN（Next Generation Network）によって、一層加速されると思われます。異業種間のダイナミックコラボレーションも促進され、当然そこにはITやネットワークの貢献する余地が拡大します。

一方、情報漏えいなどリスク管理の問題もあります。2008年4月のJ-SOX法の施行も控えて、私たちはリスク管理も含め、お客さまに真に役立つ高品質なシステムの提供を心がけてまいります。

今まで、私たちは大企業向けソリューション提供という個別SIビジネスを中心に動いてきました。しかし、中堅中小企業の方にとっては、一つひとつのシステムを構築して提供するより、SaaS（Software as a Service）などの形でサービスとして提供する方が簡単で安く利用できることも確かです。そうしたサービスを2008年度には本格化したいと考えています。私たちはWeb技術、アウトソースの技術を持っていますので、貢献できる領域が増えてきます。ユビキタス時代が到来する中で、2008年はソリューションプロバイダーとしての協力の余地がさらに増えると考えています。
高橋
これから日本は人口減少社会に入っていきますので、どうしても労働力が不足します。そうすると、経済が成長していくためには生産性を引き上げなくてはなりません。これからは、生産性をどうやって引き上げていくかが中心課題になる。生産性を引き上げるために、一つは設備投資をもっと拡大していくことですが、あまりやりすぎると生産能力ばかり大きくなり過剰設備になってしまうので限界がある。そうすると、残された手段は労働生産性（労働者一人の単位時間あたりの生産量）をどこまで上げていくかという点に尽きます。その点でIT投資が大変重要になります。

アメリカでIT投資が活発化したのは1990年代ですが、最初は投資をするけれど生産性が上がらない、ビジネスも拡大しないというITパラドックスが起こりました。ところが、2000年以降、その投資に花が開いて一気に生産性が上がりました。日本はまだITパラドックスを抱えており、個々の企業は一生懸命IT投資をしているけれど花咲くところまでいっていないように見えます。そこが日本のIT投資の課題ではないでしょうか。

たぶん2008年以降、日本全体の生産性を上げていくという課題のもとで、個々の企業が今までやってきたIT投資をいかにして本当の意味で活かすのか、そこが問われる時代になってくる。単にソフトウェアを提供するだけでなく、お客さまに全体的な本当の意味でのソリューションを継続的に提供していくことが、これからものすごく必要になってくると感じています。

ネットワーク化によって、単なる効率化から増力化、ビジネスの創出へ

国嶋
機械化という意味では、中堅中小企業でも日常の処理は相当な部分までIT化してきました。それは、従来の作業をいかに効率化するかという点に注力したからです。私たちも、「効率化するにはどうしたらいいか」をお客さまにお聞きしながらシステム化してきました。ただ、それでは双方にとってWin-Winにはなりません。私たちはSIベンダーというよりも、ソリューションプロバイダーとして、お客さまの課題を解決しなければならないからです。単なる効率化から増力化へ、新しいビジネスの創出へ、あるいは生産性の向上だけでなくて事業の拡大にITシステムがどう貢献するかという視点で考えていかなくてはなりません。

お客さまの要望にお応えするだけではなく、こういう業界ではこういう新しいシステムがすでに採用されている、あるいはこういうシステムを使うことによってお客さまはこういう実績を残しておられると提案する必要があると考えています。そのために、私どもは自信を持ってお客さまにご提供できるソリューションメニューを揃えました。お客さまと一緒になってはじめて「どうしましょう」と考えるのではなくて、様々な業種業態における課題解決に向けてＮＥＣソフトのソリューションを「VALWAY Solutions」として揃え、積極的に提案しています。
高橋
生産性を高めるにはビジネスの拡大が必要です。パイそのものが大きくなれば一人あたりの生産は大きくなります。日本の製造業や大企業はこのことを十分わかっています。自分たちでもやってきたと思います。しかし非製造業、そしてグローバル経験の少ない国内ビジネス中心の中堅中小企業は生産性への取り組みが遅れています。

ところが、アメリカでは例えばウォルマートが中小企業をネット化することで生産性を向上させています。ウォルマートはビジネスパワーを持っているので、実質的な業界標準になるネットワークが出来上がり、中小企業の生産性は格段に向上したのです。しかし、日本では残念ながら流通部門で非常に強い企業がなかったせいかもしれませんが、ネットワークが分断化されています。日本の場合、まずはネットワークをつなげていくことが必要です。

すると、SaaSは最有力の手段になるのではないでしょうか。中堅中小企業にいかにSaaSという手段でネットワークを構築してもらうか、政府も何らかの形で政策的な後押しをしなくてはいけないのではないかと考えるようになっています。また企業に対しては、単にIT投資、設備投資をするだけではなく、これを十分に活かしきる経営改革を同時に行うことが求められます。

私が特に着目しているのは、無形資産という考え方です。ブランド、特許権、もうちょっと広く考えると適切な事業プロセス、例えば顧客管理のノウハウなどはその企業が持っている一つのビジネス資産であり、無形資産です。どうも日本は、今まで無形資産を強くするという観点が弱かったのではないでしょうか。有形資産、ハードはものすごく強くするけれども、無形資産の強化が遅れていた結果として、個々の企業でITパラドックスが起きていたのではないかと思います。

今後は無形資産をどう強化していくかが、中堅中小企業の大きな課題になっていく。個々の企業だけではなくて政府のサービスもそうだと思いますが、どうやって協力してハードとソフトをバランス良く強化していくかが課題です。個々の企業がそこで強くなっていくと、日本経済全体の生産性が上がっていくはずです。
国嶋
最近はパッケージを主体としてインテグレーションするケースが多いのですが、お客さまによっては自分のところのビジネスのあり方を全面に出して、パッケージの半分以上を変更しないと使えないとおっしゃるケースが結構あります。欧米の企業では、業務そのものを標準に合わせる志向がかなり強い。最近は欧米の文化がかなり入ってきていますから、相当改善されてきましたが、まだまだそういう傾向があります。

もちろん、固有の差別化要素まで標準化する必要はありませんが、ある程度日常的な業務については見直して標準化することをお勧めしています。また、他社と差別化する部分はカスタマイズする形でご要望にお応えしています。そうすることで、基本は標準になってきますから、お互いのデータのやりとりが加速されて、異業種、少なくとも同業種間では電子データでやりとりできる世界が近づいている。
高橋
内閣府の中でITの分析を進めている時、標準化に関する一つの具体例がありました。バスは鉄道や自動車に押され、一種の斜陽産業です。しかし九州のバス会社が集まって、ITを使って共通の予約ネットワークを作りました。そうしたら、副次効果がずいぶん生まれ始めている。従来、お客さんが九州の中をバスで移動する場合は、各バス会社を予約しなければならなかったのがワンストップで予約できるようになり、利用客が増加したのです。今度はそのネットワークに旅館や他の業種、他のビジネスがつながることで、さらに利用が増えてきました。利便性が非常に高まったことが韓国に伝わり、韓国の利用者がそれを使いたいと言ってきた。特に中小企業や地域の中で孤立しがちなビジネスや業種では、ネットワーク化の効果がすごく大きいという実例です。単なる効率化ではなく、ビジネスの拡大につながる大きな武器になるのではないかと思います。

中堅中小企業にとってもグローバル対応は不可欠となった

国嶋
これだけインターネットが普及し、海外とのやりとりが盛んになってくると、グローバル化を考えなくてはなりません。日本の中だけでは、当然乗り遅れる危険性がある。グローバルな競争の中で生き残るということで、従来競争していた国内の企業間もお互いに協調するようになってきました。PASMOとSuicaはまさにいい例です。こうした事例は今後どんどん増えていき、そこにITの力は欠かせないものだと認識しています。
高橋
従来、中小企業や地方企業は東京を経由してビジネスをやっていたので、国内を向いていればよかった。しかし、これからは財政再建、地方分権という動きの中で、地域の中小企業は東京や大企業を見ていただけでは生き残れません。地域の中小企業自らが、アジアとダイレクトにつながっていくという発想が必要です。その点で、中堅中小企業のIT化の課題が見えてきます。

内閣府で実施したアンケートによると、日本の企業はITを導入するだけで終わってしまっている企業が結構ある。あるいは、IT活用が部門の中だけという企業がほとんどという結果になっています。ところが、アメリカの企業は導入するというレベルは過ぎて、部門間の連携で活用する、あるいは企業を超えて全体で活用していくというところまでいっています。

もうひとつITを活用するための鍵はCIOを置くかどうかにあると思いますが、これについてもアンケート調査ではITをせっかく導入していながらCIOを置いていない、あるいは経営者がCIOに権限を委譲していないケースが多い。ITを十二分に活用するという観点からは、まだまだ日本の企業は変えなくてはいけない点があります。ベンダー側が「こういう例がある」「こんな活用の仕方があります」と、もっともっと企業を後ろからサポートしていく、場合によっては強くアドバイスしていく必要があるのではないかと思います。
国嶋
グローバル化といったとき、対欧米と対中華圏、アジアでは様子が違うと思いますが、最近は中華圏、アジアの話題が多いのでそこに絞ってお話しします。コスト削減を図る生産基地として、中国やアジアに進出されたお客さまは非常に多い。しかし最近は人件費の上昇や購買力の増大につれ、中国や東南アジアを生産基地ではなく市場と捉える見方が広がっています。そうなると日本の企業といえどもグローバルな視野で活動しなければなりません。増大する出先の営業や現地法人と日本の本社との情報交換も活発になり、システムも当然グローバルなものが必要です。

単にネットワークをつなげばいいというだけではなく、連結決算をするなど、いろいろな面でグローバル化が必要です。今までは純粋に日本のお客さまだと思っていたら、いつの間にかグローバル対応が必要なお客さまに変貌しているといった例がいくつもあります。そういう意味で、私どもも常にグローバル化を意識して事業を推進しています。

そして、部門間を超えた利用とCIOのお話ですが、私どものお客さま、特に大企業ではCIO的な立場の方がほとんどの企業で存在するという印象があります。ただ、中堅中小企業のお客さまでは、十分な組織化が難しいこともあって、明示的にCIOを置いておられるケースはまだ少ないと思います。しかし、システムの重要性には大小変わりないわけですから、そういう点をきちんとしていかなければなりません。

私たちは最近サービス事業に注力していますが、解決策のひとつは、ある部分をアウトソースしていただくことだと考えています。情報の管理、ルール、規格は本社のCIO的立場の方がきちんと見ていく必要がありますが、その下に何十人も部下を抱える時代ではないと思うのです。そういう点は、信頼できるベンダーにアウトソースしていく時代になってきたのではないでしょうか。特にセキュリティ、ウィルスなどの脅威にさらされている現代においては、むしろそのほうが安全確実ではないかと思います。したがって、私たちはCIOをお助けするためのシステム的な提案と、実際のサービスの提供をメニュー化しています。

中堅中小企業のIT活用はネットワーク化やアウトソーシングの活用がポイント

高橋
やはり、最大のポイントはネットワーク化、共通の基盤を作っていくことだと思います。中堅中小企業はハードのネットワークを共通化することに制約があり、使いこなすという点でもCIOを設置できないなどの制約があるでしょうが、そこはアウトソースを活用することで解決できる。ネットワークはSaaS、ASPの活用でいけると思いますし、政府も政策的にもそれを後押しする方向に動きつつあります。それから、そうしたノウハウを持っている企業から積極的に学んでいく、持っている経験をうまく活かして取り込んでいくことが必要です。何よりもそれが単なる効率化だけではなく、ビジネスの拡大につながるという意識を個々の企業がもつことだと思います。IT関連業界の役目は、そのことをお客さまそれぞれに説得していくことです。そして彼らが取り組みやすい形にしていかに提供していくか、そこに尽きるのではないかという気がします。
国嶋
これまでのお話のように、今やネットワーク化が不可欠になりましたが、インターネットや専用線はそれぞれセキュリティや費用の面で課題があります。そこでNGNという、専用のネットワークでもない、インターネットでもない、使い方はインターネットと似ているけれど、よりセキュリティを強化した大容量なネットワークが登場しようとしている訳です。それから、PCにもファイルを持たない、ファイルは全部サーバーで集中管理して、使う人はそれを持ち出しても何ら影響のない、シンクライアントという技術も2008年はかなり一般化してくるでしょう。そうしたインフラストラクチャー、技術基盤という意味ではかなりの部分が使えるものになるだろうと思います。当然、我々はこれらを活用した安心、安全、快適かつ増力化につながるソリューションをお客さまにアドバイスし、システムづくりでは全面的に協力させていただきます。
高橋
標準化ができている部分については、できるだけそれを活用していく。企業経営者の方は自分の企業の強みをどうやってデータの流れの中から濾し取るかという点に集中すべきではないでしょうか。付加価値をどこで生み出すかについて集中していくことが必要だろうと思います。IT投資をするだけではなく、それを活用する仕組み、その企業独自の無形資産を作り出すためにもITが必要です。ITをうまく活用することで無形資産、ブランドやビジネスプロセスを変革することが可能になるので、是非ともITをどう使いこなすかということを、経営者の方は常に考えていただきたい。ITを導入することは、本当に第一歩に過ぎないということを申し上げたいと思います。
国嶋
ハードウェアではよく工場の生産革新を行いますが、ソフトウェアでも同じように生産革新ができるのではないかということで、ＮＥＣソフトでは2年半ほど前から生産革新に取り組んでいます。それは、単に効率化というだけではなく、品質の向上を非常に大きなテーマとしています。品質の向上はお客さまにとって一番大切なことであり、それによって、私どもはお客さまから本当に信頼できるパートナーになりたいということを目指してやっています。顧客満足度No.1企業も夢ではなくなってきましたので、2008年度はぜひそこを目指したい。そのための生産革新をさらに強化して、お客さまの良きパートナー、信頼できるパートナーとして切磋琢磨してまいりたいと考えています。

PDFファイルをダウンロード

※本ページに記載されている情報は掲載時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。

コンプライアンス時代を乗り切る「攻めのセキュリティ」

NECソフトウェブマスター — 2007-10-01T17:25:00+09:00

個人情報保護法施行以降も情報漏えいは止まらず、部分最適から全体最適のセキュリティ対策が求められている。コンプライアンス時代を乗り切るために、「攻めのセキュリティ」にどう取り組んだらいいのか、独立行政法人情報処理推進機構セキュリティセンター　情報セキュリティ技術ラボラトリー　ラボラトリー長小林偉昭氏とＮＥＣソフト MCシステム事業部事業部長代理大谷俊一とで語り合った。

プロフィール

小林偉昭

独立行政法人情報処理推進機構　セキュリティセンター　情報セキュリティ技術ラボラトリー　ラボラトリー長。1970年、早稲田大学理工学部応用物理科卒業、1972年、東京工業大学理学部物理学専攻修士課程修了。同年（株）日立製作所入社。2006年情報処理推進機構セキュリティセンター出向。情報セキュリティ技術ラボラトリー長として、脆弱性関連情報流通業務及び組込みシステムセキュリティなどの調査・研究に従事。

大谷俊一

ＮＥＣソフト株式会社　MCシステム事業部事業部長代理。1977年、日本電気ソフトウェア株式会社（現ＮＥＣソフト株式会社）入社。ACOSの通信ソフト開発、UNIXミドルソフト開発を経て、1994年からインターネットSIビジネスの立ち上げに従事。2000年、ITソリューション事業部セキュリティソリューション部長、情報セキュリティビジネスの立ち上げに従事。以降、セキュリティソフト製品化、認証システム構築・SI等、情報セキュリティビジネスの推進担当。2004年、MCシステム事業部セキュリティ部長、2005年～2006年JISA（情報サービス産業協会）情報セキュリティ部会・部会長、2006年現職。

企業にとって最大のセキュリティリスクは情報漏えい

小林

依然として情報漏えいが大きな課題です。Winny以降、流出してしまった情報をうまく回収できず、どこにどんな火種が出てくるか予測できない状況です。流出した情報をどう回収するか、そしてさらに情報が流出しないようにするかが課題です。BCP（Business ContinuityPlanning）という側面からしっかり考えていかねばなりません。つまり、企業として今の経営をどう持続させていくか、事故が起きるということを前提として、何を守っていくべきか優先順位をつけて考える姿勢が重要です。ここ2年くらいで一般企業でもこういう考え方を取り入れ始めたように思います。内部統制やJ-SOX法にも関連してきますが、こうした「リスク管理」を真剣に考える時期に来ていると思うのです。

大谷

そうですね。企業にとって最大のリスクは情報漏えい、これに尽きると思います。私どもで調べたところ、2006年の1年間で報道されたセキュリティ事故の原因の約50％がWinnyあるいはShareの問題でした。次がメール関連（約10％）、情報紛失（約8％）。この上位3件だけで全体の3分の2を占めていますから、やはり情報漏えいが最大のリスクだと考えていいでしょう。ウィルス関係ではボットに注目しています。利用者の意図しないところで勝手に入り込まれてしまう。日本での感染率は数％だと思いますが、ワクチン対応が難しいようですから、今後、対応を急ぐべきテーマだと考えています。

小林

去年くらいからウィルス等の「見えない化」が進んでいます（情報セキュリティ白書2007年版、http://www.ipa.go.jp/security/vuln/20070309_ISwhitepaper.html）。今までは、明らかに視覚で判断できるものがほとんどでしたが、いつの間にか入ってきて、PCの中でどう動いているか利用者になかなかわからない。これは、すでに身内の中にリスクを持っている状態であり、今後の大変な脅威だと思います。企業の方には特に注意してほしいですね。

大谷

米国では25％くらいのPCがボットによってゾンビ化しているのではないかといわれています。

小林

日本では40 ～50万台くらいといわれています。昨年末に経済産業省と総務省のジョイントで、CCC（Cyber Clean Center、https://www.ccc.go.jp/）を立ち上げ、IPA他が連携して運営しています。PCだけではなくネットワークも含め総合的な施策を推進しているところです。現状では、CCCがボットを見つけると、その検体を解析して、その駆除ツールをユーザーに提供しボットを除去します。それを公開することによって周知も進めていくというやり方です。

大谷

企業サイドで今できることは、クライアントファイアウォールをベースに、アンチウィルスソフトのパターンファイルを早期に出すとか、チャットのポートを閉塞するなどの対策になると思います。

小林

「ストレージのないPCを使え」「USBもHDDも持ってはいけない」と指示する経営者も出てきているほどです。仕事がやりにくくなろうが、情報漏えいだけはするなということですね。

「どんな脅威から何を守るか」を明確にすることが原点

大谷

個人情報保護法の施行以降、いろいろな対策をしているにもかかわらず、事故が起きているところに現実的な問題点があります。企業のリスクマネジメント、コンプライアンスを強化することが大切で、改めてステークホルダーからの信頼を獲得しなければいけない状況です。情報セキュリティガバナンスを強化していくことをベースに、マネジメントサイクルを回していくところに帰結すると思います。

小林

結局はリスク管理ですね。「企業にとってのセキュリティとは何か」というのが根本の課題です。言い換えれば「どんな脅威から何を守るか」ということです。セキュリティによるビジネス継続性という考え方を、経営者・従業員含めて全員が持たないとセキュリティはうまくいきません。

大谷

これまではクライアントPCの暗号化とかウィルス対策など、個別対策が中心でしたが、会社としての情報セキュリティ、リスクマネジメントをきちんと考えていかないといけない。トップダウンでそういうことをやっていくことが全社員の意識を高めていくと思います。現場としては、情報セキュリティに何のために取り組むのかが原点です。事故を未然に防ぐというところを主眼に置かなければなりません。例えば、ISMS(Information Security Management System）：ISO/IEC27001の認証取得に踏み出すと、一般の社員の意識がまるで変わっていきます。机の上に書類が山積みになっていることはなくなり、PCでさえ帰宅するときには片付けてしまう。そうした意識がようやく習慣化しつつあるところです。これを、さらにパートナーと共に取り組むことが重要です。

小林

各企業でWebサイトを持つのは今や常識ですが、ソフトウェア製品に比べたら、Webサイトの脆（ぜい）弱性のほうが断然多いのです（ソフトウェア等の脆弱性関連情報に関する届出状況［2007年第2四半期（4月～6月）］http://www.ipa.go.jp/security/vuln/report/vuln2007q2.html）。Webサイトを構築する場合、Web制作会社に依頼するケースが圧倒的に多いのですが、制作会社にもいろいろあって、脆弱性に対する考え方や経験がバラバラです。ここが最大の落とし穴。したがって、外注で制作する場合は検収時のチェックが大切になります。また、発注契約の中で脆弱性についてきちんとケアすることを義務づけていく。最初からWeb構築依頼先にも意識を共有してもらう必要があります。

コミュニケーションレベルでのセキュリティ確保

大谷

企業間・個人間のコミュニケーションレベルでのセキュリティで見れば、メールも含めてコンテンツのセキュリティが大事になります。システムがWeb化されていて、Webの中に文書管理、ワークフロー、様々なコンテンツがある中で、そのコンテンツをどう守るのか？　ここはお客さまからも強く求められる点です。やり方としてはWebメール（添付ファイルを含むコンテンツ）を保護する仕組みや、メールセキュリティ、Webのコンテンツ保護になります。メールのセキュリティではやはりスパム（迷惑メール）が問題で、きちっとしたフィルタリングをかけます。あとは、パートナーやお客さまとの機密情報のメール交換に対しては暗号化したりパスワードロックをかけることで担保しています。

小林

以前のスパムは不特定にばらまくケースがほとんどでしたが、最近は攻めるほうもうまくターゲットを絞っています。ある組織のところに、組織の関係者の名前でメールを出す。そうするとつい開けてしまうのでウィルスが入ってしまう。ネットでは脆弱性を持ったWebサイトをうまく使って、フィッシングなどに引っ張り込もうとしています。Webサイトが脆弱性を持っていると、踏み台に使われてしまう。それで誰が一番被害を受けるかというと、利用者です。企業のWebサイトはその会社の顔でもあるわけですから、その企業を信用してWebを見ていたら何かアクシデントが起きたとなれば、その企業に対する信頼が落ちてしまいます。こういうものもある意味では大きなリスクだと考えるべきです。

大谷

情報セキュリティガバナンスをきちんと支援していく仕組みづくりが大事だと考えています。弊社ですでに導入しているものでは、サイバーアタック対策のPC検疫システムがあります。具体的にいうと、パッチをできるだけ速やかにあてられるような仕組みです。パッチがあたっていないPCが社内ネットに入ってくると、検疫ネットに入れて隔離する。パッチをあてたら実際に使っていくというものです。サイバーとフィジカルの有望領域としては、社員証1枚で入退館から、PCのロック、最近ではプリンターの出力もカードをかざして印刷しっぱなし状態を予防する。その人がプリンターのところに行ってカードをかざさないと印刷しないという仕組みがあります。

小林

脆弱性、セキュリティ上の問題点に対しては、できるだけ早くパッチ対策をしなければなりません。悠長に構えているとその隙を突かれていろいろな問題が起きてしまう。我々としては「日々、出てくるセキュリティ上の対策は忘れずやりましょう！」と声掛けはしていますが、現場レベルでの実行は非常に難しいと感じています。脆弱性の情報をいかに企業の方が入手しやすいようにしていくかがポイントです。JVN（Japan Vulnerability Notes、http://jvn.jp/）では、脆弱性対策情報をデータベース化してどんどん蓄積を続けています。将来は｢JVNを訪ねれば必要な対策情報が必ずあります」という形にしていきたいものですね。

大谷

SIerの立場からは、我々が構築したシステムの脆弱性を予防する活動を始めたところです。お客さまに提供するシステムはこういう製品群でこういうものを使ってやりますと、NECグループで運用している脆弱性予防管理の仕組みに登録しておきます。そうすると、登録しているシステムでこんなパッチが出ていますと知らせてくれる。JVNとも連携して脆弱性情報をとっていますが、いろいろなところから情報を収集します。二次災害・副作用の問題なども含めて、真剣に取り組んでいかなければいけない部分だと考えています。

部分最適から全体最適の攻めのセキュリティへ

大谷

全体最適のセキュリティを確保するには、まず情報セキュリティマネジメントのPDCAサイクルをきちっと回していく中で必要なツールを強化していくことです。その中の一つがサイバーアタック対策かもしれません。さらにJ-SOX法への対応として、ID管理やログ管理を強化していくことで、全体のセキュリティレベルを上げていく必要があると思います。情報セキュリティマネジメントへの取り組みが一つのきっかけとなり全体がレベルアップしていくことになると考えています。我々は今、統合ID管理、Webコンテンツ保護、コンテンツセキュリティといったところにフォーカスしてお客さまへ提案しています。

小林

今までは、セキュリティ上に弱いところがあっても、攻撃されなければ何も問題はなかったのですが、今は攻撃がお金になるというのがわかってしまった。脆弱点があれば必ず狙われるという認識を持って、セキュリティへの対応を始めていただきたいです。さらに、他社との差別化にセキュリティが使えるか使えないかという観点がありますが、少なくともやって損はないというのが私の考えです。

大谷

誰が悪い人なのかわからない世界ですから、内部犯罪というリスクも踏まえて、内部統制を含めてのコンプライアンスが必要です。例えばデータベースについてはパッケージベンダーがセキュリティ機能を強化してデータや表を暗号化する機能を持っていますから、データベース自体を保護するというよりも、外側に出ていくデータをいかに保護するかが大切です。つまり、WebサイトからクライアントPCで見る帳票、ワークフローで見ていく文書などの流出を押さえることが求められます。データベース自体はその奥にある部分なので、さらに要塞化していくことで、外側から保護する方法も考えられます。

小林

内部犯罪が70～80％といわれていますから、そうなると、やはり人間系の部分で権限管理などが必要ですね。

大谷

ID管理、ログ管理で保護していくことが重要だと思います。結局、この辺はCSRにも帰結して、トップダウンでの取り組みが必要です。そこで課題になるのが予算との兼ね合いですが、企業がその社会的責任を追求していく中で、情報セキュリティへの取り組みは避けて通れません。その意識は経営層も高くなってきていると思います。NECでも先ごろCSRアニュアルレポート2007を発行しました（ＮＥＣソフトも9月にCSRレポート2007を発行）が、その中でもリスクマネジメントと情報セキュリティへの対策がひとつの大きなテーマとして扱われていて、ここに注力することで信頼を獲得していくというのがポイントです。

小林

コストを考えれば、すべての情報を同じように扱う必要はありません。情報に対してはどこもランク付けをしているはずですから、「絶対に守らなければいけないのはこれだ」というものについて、きちんと管理、監視できるアーキテクチャーを各企業の中で考えていく。やみくもにやっても、守らされる従業員も大変ですし、先ほども出ましたが、守りをきつくすればするほど業務がしにくくなるのが現状ですから。

全体の意識を高めることが攻めのセキュリティのポイント

小林

情報セキュリティは1回きっちりやれば済むわけではなく、攻撃する側と防ぐ側のいたちごっこが永遠に続きますから、やはり守るべき情報資産に対するID管理が重要なポイントになると思います。

大谷

ＮＥＣソフトでは、大企業向けの統合ID管理のシステム構築をずっとやらせていただき、何万、何十万と管理するような大規模でミッションクリティカルな認証システムを作ってきました。さらに、Webシステムでコンテンツをいかに保護していくかを含めてやってきているのが我々の強みなので、今後はそうした強みを中堅のお客さまに向けてうまく出せるようにしていくことがテーマになると思います。

小林

いろいろな企業がWebで連携し始めていますが、脆弱性のあるWebが混じっているとそこが攻撃されてしまうことになる。日本のセキュリティにおいて、そこをどう底上げしていくかが、これからの課題です。

大谷

Webアプリケーションファイアウォール（WAF）など、新しい素材もいろいろ出てきていますので、そういったところも含めて取り組んでいく必要があると思います。

小林

また、本人認証においては、パスワードより指紋や静脈が安全・使いやすいということで、バイオメトリクスが増えていくでしょう。ただ、そこにセキュリティ上の脆弱性があった時どうするか、そこが課題です。もう一つは組込みシステムの問題があります。携帯電話、デジタルテレビやDVDなどの情報家電、自動車のETCやカーナビもインターネットでどんどんつながってきます。ICカードやRFIDもそうです。あらゆるものがネットワークにつながっていく、そこには必ずソフトウェアが介在します。こういう組込み系の業界は、まず納期優先・品質優先で、セキュリティはその次です。この組込み部分が一つの弱点になる可能性がある。そこも底上げすることが我々の課題だと思います。

大谷

バイオメトリクスも組込みもそうですが、ISO/IEC15408（情報技術セキュリティ評価基準）の評価・認証取得で製品の安全性を担保していく、プロテクションプロファイルやセキュリティターゲットを明確にしていくことも重要ですね。バイオメトリクス分野では長年NECが指紋認証を研究・開発・製品化していますが、バイオメトリクスそのものに脆弱性があるとすると、例えば指紋だと一生変えられない不変性が一つの脆弱性になり得る。そこをどうクリアしていくかが課題です。

小林

生体認証だと、模倣されてしまうとどうしようもない。模倣されるのか、蓄積しているデータが盗られるのか、どちらかでしょうね。

大谷

そうですね。ですから、ICカードの中に入れていくのか（個人所有モデルなのか）、ネットワーク型にするのか（DB化モデルなのか）、考え方はいろいろあると思います。また、偽指の対策としては、指紋ではなく血流や体温などを見るとか。そこはセンサーの進歩で、将来的にはかなりカバーできそうです。

小林

いずれにしても、セキュリティが不可欠な世の中であり、ITなくしては企業も回らない。情報セキュリティは、企業の持続のために必ずやっていかなければいけない問題です。

大谷

やはり基本となるのは、情報セキュリティマネジメントで、リスク分析からPDCAサイクルを確実に回していくことだと思います。その中で、我々を含め全体の意識を高めていくことが「攻めのセキュリティ」につながると思います。目に見えにくい、地道な努力ですが、事故を未然に防ぐ、事故を起こさないというところに注力していくことが重要です。我々としては、ISMSをきちんとやっていくことで、お客さまにもそうした提案をしていきたいと思っています。

小林

セキュリティ事故が起きた場合には、多額の対応費がかかります。一つのWebサイトに脆弱性が見つかると、企業全体での対策に数千万円かかってしまうということもあります。したがって、前段階で早めに脆弱性を取り除くという意識をしっかり持っていただきたいと思います。IPAでは毎日脆弱性の届出を受け付けていますが、土日を除いて毎日平均して2件ずつ脆弱性が発見・届出されているのが日本のITインフラの現状です。製品だけでなくWebサイトにも脆弱性がある。定期的に診断テストを受けるなど、できる限り油断をしないでいただきたい。IPAのセキュリティセンターのホームページを適宜見ていただくと、いろいろなセキュリティ関連情報やセキュリティ対策自己診断テストなども載っていますので、ご参考ください。

PDFファイルをダウンロード

※本ページに記載されている情報は掲載時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。

厳しい経営環境やJ-SOX法にも対応できる会計システム構築のポイント

NECソフトウェブマスター — 2007-07-01T09:30:00+09:00

現在日本企業には、J-SOX法対応、新しい企業会計の整備や迅速な経営判断とその開示への対応が求められている。しかも、少子化問題、団塊世代の大量退職、増加するM&A、IPO事情の変化といった厳しい状況の中での対応となる。システム化による経営基盤の再整備が急務となっている中、こうした状況に対応可能な会計システムの再構築にどのように取り組んだらいいのか、公認会計士で株式会社MFI Japanの取締役である金子則彦氏とＮＥＣソフトの森川兼利で語り合った。

プロフィール

金子則彦

株式会社MFI Japan 取締役、公認会計士。関西大学商学部卒業後、(株)ピーシーエーを経て、中央青山監査法人系の中央経営コンサルティング（株）、中央青山監査法人のシステム監査部、中央クーパースアンドライブランドコンサルティング（株）で、システム監査を中心にプロジェクトの現場を経験。1990年に独立し、現在は、（株）MFI Japanの取締役としてコンサルティング業務に携わっている。また、個人として「示現塾」というサイトを開設し、資格取得セミナーを定期的に開催している。著書に『プロジェクトマネージャ完全教本』（日本経済新聞社）、『プロジェクトマネージャの仕事場』（技術評論社）、『ＰＭＰ試験実戦問題』（オーム社）など30冊。

森川兼利

ＮＥＣソフト株式会社神奈川支社会計ソリューションSIグループマネージャー。1990年、神奈川日本電気ソフトウェア株式会社（現ＮＥＣソフト株式会社神奈川支社）入社。1990～1994年に燃料販売業・クレジットカード業における販売管理・経営管理システムの営業・販売促進・設計開発を担当後、1994年より「会計パッケージビジネス」に参入。以後、会計・人事給与システム構築を手がけるビジネスユニットを運営しながら、パッケージ導入、コンサルティング、個別開発、製品開発、プロジェクトマネジメント等幅広い分野で活躍。製造/プロセス/流通/サービス業の民需系ユーザーを中心に、数多くのシステム構築経験を持つ。

待ったなしのJ-SOX法対応と新しい企業会計の整備
金子
目の前にある最大の課題は、2008年4月（開始事業年度）から施行されるJ-SOX法（金融商品取引法）への対応でしょう。2007年2月の野村総研の調査では、上場企業の80％以上がJ-SOX法の対応負荷が「非常に高い」、もしくは「高い」と答えています。
森川
内部統制について、まだはっきりわかっていないのが現状ですね。例えば、内部統制では「業務の分離・分掌」の定義がありますが、中堅企業になると、経費削減、人件費削減で人がいない。そうした企業に対し「業務を2つに分けろ」といっても「でも、対応できる者は一人しかいませんよ」と返ってくるのが実状です。
金子
現状がどうあれ対応は待ったなしです。ただ、半数の企業は消極的ですね。他社と同じ程度ならいいという感じで、コストをかけてまで良い仕組みにしようとは考えていないのでは．．．。
森川
内部統制の本来の意味は、会社の中の歪みを直していこうということです。企業としては、法律で決められているからやらざるを得ないという以前に、仕組みがオフィシャルに出回ってくれば採り入れようという考え方はあると思います。ただ、経営者は理想を追うけれど、現場ではなかなかそうもいきません。いざシステムを導入しようとする際に現場で最も起こりやすいのは、私どもの提案したスケジュールにお客さまが追いつけないというケースです。我々が「人を増やしてでも対応してください」と要請したところで、逆に「できる限りそちらでやってください」となりがちです。プロジェクト全般がそのような流れになり、「操作できない、メンテナンスできない、とりあえずシステムを入れるだけ」という本末転倒な状況に陥ってしまいます。
金子
団塊世代が少なくなって風通しがよくなった反面、不況でずっと採用を絞ってきたせいで中間層が少ない。しかし、景気が良くなり新人採用を増やした結果、うまく日々のオペレーションができないまま、部下が増えてしまっている。そんなところにJ-SOX法対応といわれても、手薄な中間層は「これ以上、新しい仕事を増やさないでくれ」というのが本音でしょうね。
自社のウィークポイントを把握してから取り組む
金子
会計システムと内部統制について、いろいろな基準が出ていますが、あまり明瞭に書かれていません。主な理由は、最終的な判断は経営者に任せたいということからです。「これしかダメ」となると自由度がなくなり、うまくできなくなります。もう一つは監査人が最終的に良いか悪いかを評価しますから、国も現場の意見をなるべく汲み取ってあげたいということが関係しているように思います。方向性をはっきり示した上で、「何％以上は合格」といった数値による基準は設けず、なるべく柔軟に実態に照らして判断をさせる。したがって、監査人とどのように始めたらいいのかを話し合い、それになるべく適合するように頑張っていく、というのが経営者の出発点になると思います。
森川
我々SIerの立場では、システムの内容を含めてアドバイスはできますが、最終決定権はありませんから、お客さまに「こうしなさい」とは言えません。そこが監査人となる会計士との絶対的な差です。そこで最後は「会計士に聞いてください」となるわけですが、会計士もコンサルタントもいないと悩まれているお客さまが少なくありません。
また、アメリカではSOX法に対して全方位的なやり方をしたためにコストが非常にかさみ、メリットがよく見えなくなるという本末転倒なことになっています。日本ではその教訓を活かして、初めからリスクのありそうなところにポイントを当てていくことが求められています。法律の中でも、この辺にリスクが潜んでいるはずだから、この辺にスポットを当てるべきだという方向性が見られます。要は勘どころを示唆しているわけです。
金子
経済産業省が出した「システム管理基準」をご存じの方は多いと思いますが、その追補版として、この春に「IT統制ガイダンス」が出ています。これは良くできていて、後半に導入までの道のりが示されています。その例を見ていくと導入イメージが掴めると思います。Web上からダウンロード※できますので、とりあえずこれを読むといいでしょう。
※http://www.meti.go.jp/press/20070330002/20070330002.html
メンテナンスを睨んだシステム構築が大切
森川
SIerを利用される場合、どうしても「何かを構築する」という点に着目しがちですが、もっと重要なのは構築した後のメンテナンスです。内部統制を睨んで会計システムを再構築しても、例えば業務フローなどは毎年変更されるわけです。これを手書きするのか、あるいはデータ化するのかによって、メンテナンスの手間は大幅に異なります。こうした業務フローなどは監査の対象になりますので、メンテナンスが容易なツールの導入を初めから視野に入れておいた方がいい。まずはそこから取り組んでみてはどうでしょうか。
金子
私も2年目以降が重要だと思います。1年目はなだれ込むような格好で進むでしょうから、2年目から業界全体の流れと差がつかないようにうまくやる必要があります。そのとき、一番コストに響くのが「内部統制はこんな風にできています」という手順を示す業務フローチャートの作成と検証です。特にこれを書かれた通りにやっているかどうか、検証しなければならない点がポイントです。この検証は毎年のことなので「内部統制の整備・運用状況をチェックするコスト」がいつまでも追いかけてくる。そこで、簡単に検証ができるような仕組みが必要になるわけです。この負荷について、最初から念頭に置いておくと2年目以降が楽になるはずです。
森川
これまでのようにシステムを一からオーダーメイドで構築していると、それに付随したドキュメントづくりなども大変な手間になりますから、パッケージソフトを上手に使うというのが内部統制を円滑に進める上では有効な手段だと思います。
金子
そうですね。会計パッケージを入れたら全部解決とまではいきませんが、それを使わないことにはとても維持できないという感じになることも多いでしょう。内部統制のチェックはプログラムのテストを毎年やるみたいなもので、プログラムを作っている方ならわかると思いますけれど、そんなことは簡単にはできないと思います。
森川
そこで「今までのシステムを捨てた方がいいのか」という判断も必要になると思います。世の中でパッケージを利用したシステムの比率が増えているのは確かです。ただ、その会社のオーダーメイドとして構築したレガシーシステムを導入している企業の場合、そのシステムは非常に完成度の高いものもありますから、一概に捨てる方がいいとは限りません。オーダーメイドのスーツに馴れている方に「法律があるから既製品を着ろ」と言っても、肩がきついとかいろいろ納得しにくい部分が出てくる。その辺りのトレードオフをお客さまにどこまで示すか、我々もその部分の費用対効果を求められる時があります。単純に、パッケージを持ってきてシステムをつくれば良いという時代ではありません。そこのノウハウがなければSIer側も生き残っていけないのではないでしょうか。

会計パッケージ選択のポイントと監査人の承認
森川
仮に会計パッケージの導入を決定したとして、その際の選択のポイントが問題になります。まず、第一に導入実績です。今回のJ-SOX法での監査人の対応を見ると、どのくらいたくさん使われているかという認知度に重点があるように思われますので、実績を見ていくことが大切です。例えば、ＮＥＣソフトの「EXPLANNER/Ai」は、前身のパッケージを含めると、過去からずっと改良を続けながら最新の製品になっているのが強みです。第二に汎用性です。今現在のフィット性だけでなく、企業の体格がどう変わっていくか、太っていくか痩せていくかというとき、どのくらいベルトを調整できる機能がついているかが重要な点です。第三はやはりSIerです。パッケージの機能比較表を作って、○×形式でパッケージを決めるお客さまがおられますが、私の経験上、同じパッケージであってもSIerが異なるとプロジェクトが失敗することもあります。フィット率が一番高かったパッケージなのにSIerが悪いと失敗するということがありますので、SIerの見極めが大切です。
金子
監査用語に「監査証跡」という言葉があります。IT用語でいうとログに当たります。参照ログは普通とらないケースが多いのですが、厳しい監査人のケースではそれをとっておけと言われるでしょう。また、それと似たような形で「承認」があります。紙にハンコを押すのではなく、画面に向かってシステム上で「承認した」というログです。ID、パスワードが一人ひとり違っていて、「誰がいつ、どこでどんなプログラムを起動してどんなデータを書いた、書き換えた、削除した、見た、それを全部残しなさい、そして監査できる状態をつくりなさい」と言われはじめています。全部とは言わなくても、重要な業務については要求されることになります。人間ではなくシステムで対応するしかないと思います。
森川
それはマンションに監視カメラを付けるのはいいけれど、24時間ずっと回したテープをいったい誰が見るのか、という問題と同じですね。いつ、誰がどう見て、その中にどんなリスクが含まれているのか、何が悪いのか、それを自動的に判断できるシステムが今後出てくるのかもしれません。今はとにかく「監視カメラを付けて24時間撮りなさい」という第一段階ですね。
金子
それを見るのが大変です。ただデータをとっただけでは何の意味もない。モニタリングというのですが、そこに異常がないかどうかを判断できなければいけない。抽出条件を入れて異常なログが見つかればアラートが出るとか、異常なログのしきい値を決めるとか、そんな便利な機能がパッケージの方に求められてきそうです。
ただ、各社が具体的にどうやってシステムを活かしていくかというのは、やはり監査人の意見に大きく依存することになると思います。今年はいいけれど来年はダメとか、そういったさじ加減の問題も含めて、今の仕組みの中でどれだけ正当性を保証することが言えるか、監査人の意見は大きいと思います。
森川
私どもでもお客さま先に伺った時には、J-SOX法も含めて「必ず監査人である顧問会計士の方に相談してください」とお願いします。お客さまとの仕様が固まって「これでいきましょう」となっても、監査人の方に「ダメ」と言われれば水の泡になってしまうからです。
金子
監査人自身はそこまで大きく影響しているという意識はないと思いますが、実質的にそうなってしまうんですね。企業とすればヘタをしたら上場廃止になってしまうわけですし、そうはならなくても、ちょっと間違えただけで作業が3倍になったりしますから。
森川
我々にも経験値がありますから「案1、案2、案3があって、案3はたぶん会計士の方には認められないけど、1か2だったらいけると思います」といったアドバイスはできます。そのために我々もいるので活用してほしいですね。ただ、いずれにせよ、監査人の承諾をとらないとダメだということです。
システム構築を通して人づくりに貢献
金子
各企業の取り組みが横並びになった場合、そこからは、人の問題で一番差がつくわけです。「あの会社は優秀な情報システム担当者がいる、うちにはいない」となると困ってしまう。そんな優秀な人材を簡単に手配できませんし、今のスタッフの能力がいきなり上がるわけでもありませんから、パッケージベンダーに対して「パッケージを買うのはいいけれど、人も出してくれ」となる。もちろん、それはできませんので、会計業務を全部やってくれるところを探そうということになる。つまり「サービスを買う」という発想にシフトするわけです。今後はアウトソーシング業、もしくは人材派遣業にスポットライトが当たりそうな気がします。
森川
内部統制の観点で考えると、アウトソースした場合はその先である程度の保証が得られますから、アウトソーシングを有用だと考えることもできると思います。それに反対はしませんが、自社の中にノウハウを蓄積できなくなってしまう方が問題です。自分のところの経理がどうなされているのかわかる人間がいなくなってしまう。こういったためにも、やはり「人を育てていく」ことは企業にとって非常に重要なことだと考えます。
「ＮＥＣソフトが導入支援してくれる1年の間に、こっちの人間も育つよね」という感じで、結果、システムエンジニアであるはずの我々が教師になって、お客さま側の人を育てる立場になることがあります。私どもが差別化を図ろうとしているのも、まさにこの部分です。そうなると我々も、お客さまの中で起きている経営上の問題、M&Aなどとすべて向かい合わないと、結局、適切に意思が伝えられません。我々の強みは何かというと、お客さまの所に行ってシステム構築を始めれば、立場の壁を超えて仲間としてやっていける点にある。一つのチームのプロジェクトマネージャーとして、お客さまを叱咤激励する本当の意味での教育を行える立場になれるのです。
金子
それは、多くの実績とノウハウを持つＮＥＣソフトならではの強み、戦略といえるでしょうね。パッケージベンダー側としてはそういう路線も考えられますが、ユーザー側の受け皿がまだ整っていないかもしれません。最後は「頑張って勉強してください」というしかなくなってしまうのです。
森川
根本的に考えると、企業がなぜ存在しているかというところまでいってしまいますね。私は企業の役割は最終的には社会貢献だと思っています。システムを入れて足場を作る、インフラを整えていくということも社会貢献だと思います。できれば、日本の企業を立て直していくための「人育て」に貢献できればいいなというのが私の考え方です。お客さまとSIerが一体になって進めることで、プロジェクトは短期的な目標に関しては一気に行けますし、成果が非常に見えやすくなります。J-SOX法などいろいろな波がきて、お互いに大変なところにいるからこそ、協力しながら乗り越えていくという姿勢です。
金子
会計制度は今後もどんどん変わっていくと思います。今回乗り越えたら、これで安住できるというものではありませんし、逃げ切れるものでもありません。「誰かがやってくれるだろう」ということではなく、自分で勉強して新しいルールを覚えていただきたいのです。もちろん会計士の先生に聞くのも正解ですが、それもまずは勉強してからのことです。すでにルールは変わり、昔のノウハウはもう役に立たない時代です。経営者の方も古い成功体験は捨てて新たな知識をインプットしてください。監査する側もされる側もお互いにキツイことが多いですが、切磋琢磨して一緒に頑張りたいものですね。
森川
厳しい経営環境とJ-SOX法にも対応した会計システムを構築するには、実績あるパッケージとSIerをお客さまが自分の目で選ぶことが重要だと思います。
時代と共に会計制度は変わりますから、会計システムもそれに応じて変化しなければなりません。ＮＥＣソフトは会計パッケージの改善に継続して取り組むことで、最新の会計制度に対応できるよう努力しています。これからの経営戦略を支える会計システムを検討しているお客さまには、実績あるＮＥＣソフトの「EXPLANNER/Ai」を是非とも活用していただければ幸いです。

PDFファイルをダウンロード

※本ページに記載されている情報は掲載時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。

対談・座談会

真の顧客視点に立ち企業価値創造のためのナレッジマネジメントを

森戸 裕一

齋藤 愼司

ナレッジマネジメントに欠かせない動機付けと目的の明確化

重要なのは顧客視点で如何に情報共有を考えるか

現場で求められる“どろどろした”暗黙知の共有

企業の風土とニーズがナレッジマネジメントツールを育てる

新たなステージに入ったIT活用。効率化からビジネスの創造へ

高橋 進

国嶋矩彦

少子化時代を前にして、いかに生産性を向上するかが大きな課題

ネットワーク化によって、単なる効率化から増力化、ビジネスの創出へ

中堅中小企業にとってもグローバル対応は不可欠となった

中堅中小企業のIT活用はネットワーク化やアウトソーシングの活用がポイント

コンプライアンス時代を乗り切る「攻めのセキュリティ」

小林偉昭

大谷俊一

企業にとって最大のセキュリティリスクは情報漏えい

「どんな脅威から何を守るか」を明確にすることが原点

コミュニケーションレベルでのセキュリティ確保

部分最適から全体最適の攻めのセキュリティへ

全体の意識を高めることが攻めのセキュリティのポイント

厳しい経営環境やJ-SOX法にも対応できる会計システム構築のポイント

金子則彦

森川兼利

待ったなしのJ-SOX法対応と新しい企業会計の整備

自社のウィークポイントを把握してから取り組む

メンテナンスを睨んだシステム構築が大切

会計パッケージ選択のポイントと監査人の承認

システム構築を通して人づくりに貢献

森戸裕一

齋藤愼司

高橋　進