コロナ後のデジタルガバナンス・コード 「法令工学」に注目すべし

デジタルトランスフォーメーション(DX)を推進するためのデジタルガバナンスコードは、COVID-19のおかげで経済産業省の検討会が休止、先送りになってしまった。政府がテレワークを推奨しているのだから、検討会もWeb会議でどんどん進めていけばいい、いまを逃すとチャンスはなかったかもしれないのだが、ときはすでに遅しだ、コロナ後を考えなければならなくなった。アフターコロナかポストコロナかはさておき、一味も二味も変えないと新しい時代は開けそうもない。そこで紹介したいのが「法令工学」だ。ITシステムを法令に基づいてチェックしようという考え方で、国の機関でいうと会計検査院の取組みに通じている。筆者が注目する会計検査院のIT検査が、アフターコロナのデジタルガバナンコ・コードの基本になるかもしれない。

f:id:itkisyakai:20200121170553j:plain

この30年、「IT費用はコスト」の認識

デジタルトランスフォーメーション(DX)の推進を阻む「デジタル負債」が生まれた事情は、ざっくり以下のようだ。

バブル経済崩壊(1992年秋)をきっかけに始まったIT領域の変革は、①ダウンサイジング、②オープンシステム、③フリー・ソフトウェア——だった。1台数億円もしたメインフレームとCOBOLからオープン系サーバーとJAVAへの動きだ。

技術的には前進に見えたのだが、同時に「ITは金食い虫」の認識が事務管理系の管理職や経営者に広がった。思い切ったIT投資で仕事の仕方を変え、ビジネスを創出する、そんな余裕なんてない、と経営者は考えた。不況がデフレを生み、デフレが不況の度合いを深めるスパイラルのなかで、「コスト削減」が是とされてきたのは周知の通りだ。

バブル経済への反省から「本業回帰」が喧伝され、事務にかかる業務を外部の専門会社に委託することが「コスト削減」の掛け声に合致した。ITは事務にかかわることとされたので、社内IT部門とその予算は縮小され、「何ごともない」ことが最善とされるようになってしまった。

以来30年、"偉い人"たちはITのこととなると「分からん」「難しい」と反応するのが一般的だ。役員や部長クラスの上級管理職たちは、「キミに任せるよ」が太っ腹で理解のある上司としての振る舞いと錯覚している節がある。

予算が減る一方なので、IT部門は制度改正に伴うシステム改修以外のことは何もできない。経営陣は「社内ベンチャー」とか言って小手先の目新しさを打ち出すけれど、本格的な事業改革に手を着けない。新しいシステムも要らないし、システム基盤を変える必然性がない。

その結果、1990年代に構築された集中処理・バッチ処理の基幹業務システムが温存され、その作業はITベンダーに丸投げさている。ユーザー企業の内部には、何がどうなっているのか分かる人がいない。

聞き覚えで「うちのクラウドはどうなっとるかね」と経営者は尋ねるのだが、システム基盤は20世紀モデルのままだから、木に竹を継ぐ結果になるのは目に見えている。システムの保守・運用を丸投げしているITベンダーも、既存システムで売り上げを立ててきたのでクラウドビッグデータ、AIなどに対応できるエンジニアがいない。

さぁ、どうする? というわけだ。

DX3点セットが経営のKPIになる

このままだと日本の産業は世界の潮流から取り残されてしまう。グローバル経済がここまで進展しているなかで、日本だけが「ガラパゴスの平和」を満喫していられるわけがない。そこで経済産業省は、株主総会での報告事項や有価証券報告書に「DX指標」を盛り込むのはどうか、と検討しているらしい。

「らしい」というのは、日本証券業協会日本経済団体連合会(日経連)、金融・保険業などに相談を持ちかけたところまでは確認しているけれど、その後が不明だからだ。産業界や他の所管府省の一部から異論が出ているという情報もあって、どうなるかは予断を許さない。

しかし強制力はないにしても、経産省独自の「デジタル・ガバナンスコード」と東京証券取引所「DX銘柄」が、企業経営者の目をITないしDXに向けさせる効果はあるだろう。並行して策定作業が進んでいる「DX推進指標」との3点セットが、その進捗上をチェックするKPI(Key Performance Indicator:重要業績評価指標)として機能する。

下に示した図「DX銘柄とデジタル・ガバナンスコードの位置づけ」で分かるように、DX3点セットを裏付けるのは「情報処理促進法」をはじめとする法令群だ。図をひっくり返して眺めると、まず日本国憲法があって、それを具現するための法令があり、組織や個人はその法令の枠内で様ざまな活動をしている。法令に合致しないITシステムは認められず、当該事業者は市場から退場を余儀なくされることになっていく。

そこで「法令工学」だが、この言葉を聞いてピンとくる人はシステム工学、ソフトウェア工学ないし社会学の研究者に違いないし、それを先行して実施しているのが会計検査院だ、ということに首肯してくれる人は、システム監査やクラウド対応のCAAT(Computer Assisted Audit Techniques:コンピューター利用監査技法) に精通している資格保有者ということになる。

f:id:itkisyakai:20200205102024j:plain

社会は法令でできている

「法令工学」は、北陸先端科学技術大学院大学の「検証進化可能電子社会」研究チームが提唱した考え方だ。2002年にスタートした文部科学省「21 世紀COE事業」(Century Center Of Excellence)のテーマに採択されている。

5年の準備期間を経て、8人の共著による132ページの研究レポートが公表されたのが2007年9月なので、考え方を初めて提唱したのは2002年4月といったほうがいいだろう。学術研究の世界では、北陸先端科学技術大学院大学というだけで紛い物ではないことの証になる。

その要諦を、研究チームのリーダーを務めた片山卓也氏(北陸先端科学技術大学教授を経て同大学院大学学長、東京工業大学名誉教授)の文章を引用すると、次のようだ。

我々の社会は、非常に多数の相互に関連した法律や法令により規定されている。それらは社会の組織や構造、目標や目的を記述すると同時に、組織における活動や手続きを定めており、われわれはその法令に従って社会活動を行っている。(中略)社会というシステムを考えたとき、法令がこのシステムの仕様の役割を果たしていることを意味している。

ITシステムを企画・立案、概要設計、プログラム作成・テスト、システム運用・保守というライフサイクルで解析し、検証可能なプロセスを再構築するのがシステム工学ないしソフトウェア工学だ。「検証進化可能電子社会」研究チームはそれを社会に拡大し、法令がITシステムでいう設計仕様書だという。

企業や個人は民法、刑法が行動規範だ。「社会は法令でできている」の典型はいうまでもなく公務員の世界で、国や地方公共団体の仕事は法令遵守が絶対要件となっている。法令に基づいて事務を進めているので間違いはないという「無謬の原理」が生まれるのだが、ときとして誤解や不作為の不正が発生する。

いや、実際は作為的な不正行為があるかもしれないが、それは会計検査院のマターではない。司法、立法、行政の3権から独立し、院長は大臣級の扱い、その報告は内閣総理大臣に直接届けられる会計検査院は、「法令工学」の視点からもっと注目されていいのではないか。

会計検査からブラックボックスに切り込む

さて、会計検査院に目を転じると、「法令工学」的な視点で改善や廃止を指摘した最近の事例に、「子ども・子育て支援全国総合システム」がある。2013年度から2016年度にかけて、内閣府が約3億7千万円で構築したもので、市区町村や都道府県が所管している保育施設や子育て支援制度の情報を国が収集して、国民・住民の利活用に供しよう、という主旨だった。

その趣旨はいいのだが、市区町村や都道府県の担当職員からすると使いにくい。情報の登録が煩雑で面倒(1項目に21画面600タッチ、90項目もの確認が必要ということもあった)だし、実際の利用者(子育て中の保護者)は市区町村に相談に行く。結果として国民の福利に貢献しないとの判断から、改善するよう意見を示している。

2019年に指摘したのは、政府共通プラットフォーム「セキュアゾーン」(総務省:18億8701万円)だ。日本年金機構の大量情報流出事案が動機だっただけに、セキュリティレベルは完璧といってよかった。しかし運用開始から2年間、一度も使われなかったのでは意味がない。会計検査院の調査官は、利用者不在で要件が設定されたプロセスを指摘、システムの廃止を妥当と断じている。

そして年明け1発目が「自治体のマイナンバー情報管理に漏洩リスク」だった。検査の対象は総務省補助金事業「自治体情報システムの強靱性の向上」で、交付先は46都道府県・1727市区町村、2334億5889万円と規模が大きい。

18都道府県・219市区町村を抽出調査したところ、約4割の自治体が「情報持出し不可」の機能を解除していたり、二要素認証を実行していない自治体があることが判明した。その気があれば誰でも、マイナンバーの特定個人情報にアクセスでき、外部に持ち出すことが可能という。個人番号と特定個人情報の乱用(目的外使用)を禁止する法律(行政手続における特定の個人を識別するための番号の利用等に関する法律)がある以上、とんでもない状態だ。

しかし、もう一つ別の考え方がある。さらに多額の予算をかけてマイナンバーの情報管理を厳格にする必要があるのだろうか。特定個人情報といっても氏名、住所、生年月日、性別の基本4情報で、診療記録や年収・納税額が漏れるわけではない。となればなぜ「特定」なのか、その指定を解除すれば税金は無駄にならない、という議論も起こってくる。

会計検査院のIT調査が高度化すれば、公共システムを巡るIT利権、ひいては政策立案のブラックボックスに切り込むことになり、いずれは施策評価となっていく。ITは0か1なのでKPIを動かしやすい、ということだ。

会計検査院の役割を民間企業に置き換えると、システム監査、会計監査だ。システム・ログや電子メールの保存義務、文書のデジタル化と改ざん防止対策が求められる。より効率的に「法令工学」を実践し、その効果を高めるためにも、やはりデジタル化、DX化は避けて通れない。