杭打ちデータ偽装事件からみるIT業界と酷似の構造とコンプライアンス危機!!〜ITプロマッチへの道（その８）

ITプロマッチシリーズ第８回目になります。

今回はIT業界と同じ、いやより歴史の古い下請け多重構造を持つ建設業界の近年最大の事件「旭化成建材杭打ちデータ偽装事件」を参考にしながらIT業界の下請け多重構造のコンプライアンスの問題点を説明します。

ここ数ヶ月ほどの新聞は、横浜の大規模マンションが傾いた原因として杭の６本が支持層に届いておらず、また２本も打ち込み不十分であること、そしてなんと原因究明の過程で、工事段階において杭打ちを担当した旭化成建材の担当者が杭打ちデータを偽造し報告していた、という驚愕の事実が判明しました。

これに対して、IT業界の我々も対岸の火事として眺めている場合ではありません。

このようなずさんなミスまたは悪しき慣習？は建築業界の「下請け多重構造」の中で発生しているからです。

建築業界も建物を建てるために、歴史的にゼネコンを頂点とする下請け多重構造を取っています。しかし、それはIT業界のそれよりも、歴史が長い分、ルール性の強いものとなっています。例えば以下のようなルールが法律で決められています。

○　下請け業者は全て建設業法の許認可業者である
○　建設プロジェクトにおいて施行体制台帳を作成が義務づけられている
○　下請け業者であっても基準労務単価があり、見積基準が明白である

歴史が長い分だけ、さすがに厳しいですよね。建設業界の場合は、まさに景気に左右される規模の大きい業界のため、その需給の調節弁として下請け構造は是として保たれてきました。国土交通省も、そうした業界構造を是としながらも、コンプライアンスをある程度保てるルールを義務づけているのだと推定されます。

そうした中で起きた、この杭打データ偽造は以下のような下請け構造の末端で発生しました。

三井不動産レジデンシャル（ユーザー企業）
↓
三井住友建設（元請け）
↓
日立ハイテクノロジーズ（１次下請け）
↓
旭化成建材（２次下請け）
（ここで発生☆）

また10月27日の日本経済新聞によると、元請けから工事を委託された日立ハイテクノロジーズはその下請けの旭化成の工事の「進捗確認をする役割」にあったにも関わらず、なんと

「技術的な知見はなく、工事データの信憑性は判断できなかった」

と言っているようです。

--------------------------------------------------

例えば、これがあるユーザー企業の顧客管理システムの開発があったとして、大手Sierから関連企業にまず、開発業務を委託し、そこから中小のIT企業にその仕事が委託されたとします。

そして、そこで開発された顧客データベースのテストを行ったデータにねつ造、改ざんが行われ、やっていないテストをあたかもやったように見せかけて報告されていたとします。

システムがリリースしてすぐに、ユーザー企業の顧客データが設計ミスで外部に漏洩してしまったとします。そしてその原因は中小のIT企業のテストデータ偽造であり、関連会社と大手Sierは、それを見抜けなかった

という酷似のストーリーが容易に想像つきます。

--------------------------------------------------

建築業界で今回、明白になった「丸投げの功罪」、すなわち現場の企業のミスをチェックできない丸投げ下請け構造、はそのままIT業界の下請け多重構造でも起こりえます。

さらには許認可や品質管理の規制のないIT業界では、全く同じようなミスが丸投げ下請け多重構造の中でさらに日常に起こっていても不思議ではないのです。

こうしたコンプライアンスルールが十分でないIT業界の多重下請け構造ではもっと悪質な事件が今迄にいくつかおきています。

それらは結局ユーザー企業が大手Sier以下の企業群にIT業務を丸投げしているから、ユーザー企業には全くチェックできないところでおきています。

例えば、世間を騒がせた次のような事件を覚えている人も多いと思います。
いくつか拾ってみました。

--------------------------------------------------------

2014年7月ベネッセコーポレーションは、最大で2000万件以上の顧客情報が漏洩したと発表した。

ベネッセからベネッセのグループIT企業シンフォームに発注されていた「顧客情報データベース管理業務」について、シンフォームからさらに下請け企業に委託され、そこに在籍する社員（犯人）が名簿を売却した。

--------------------------------------------------------

2012年11月関係するシステムエンジニアがNTTデータが運営する地銀共同センターに不正アクセスしてキャッシュカードを偽造して他人口座から現金を奪った。

犯人のシステムエンジニアはNTTデータの孫請け企業のシステムエンジニアであり、業務上、地銀のシステムにアクセスできていた模様。

--------------------------------------------------------

2002年、防衛庁は富士通社員が内部ネットワークに関するデータを流出したと発表した。

その原因は、防衛庁から富士通に発注していたネットワーク構築プロジェクトの５次請けに相当するフリーのエンジニアが防衛庁のネットワークデータを富士通のサーバーからコピーしたことであった。

--------------------------------------------------------

など、大ニュースになったものだけでもIT業界における事件はまさに「下請け多重構造」の中で起こっているのです！！

下請け多重構造の下層の人間が犯してしまうミスや犯罪はユーザー企業には防ぎきれないのが現状です。また一定の確率で、下請け多重構造の中ではこうしたことは実際に起きていても不思議はないのです。

こうしたコンプラアンスの問題は、やはり本質的にはユーザー企業がきちんと責任を持てるような発注体制とする事が大事です。今のような大手Sier丸投げでは、絶対に防ぐ事はできません。

例えばベネッセの事件のように顧客データという最重要な業務はユーザー企業が委託するのではなく自社内部で行うべきと考えます。

ユーザー企業は、今後、より重要かつコンプライアンスが必要とされる領域とIOTなど新技術による新たなビジネスモデル構築の領域などは自社でIT技術者を雇い確保していくべきです。
逆にハードインフラ等の自社で持たなくても良い領域はクラウドなどの外の専門サービスをより使っていくべきです。

またユーザー企業は今後、大手Sierに丸投げしていた部分のいくつかを自社で行うために優秀なIT技術者を直接雇用または契約することが必要になってくると予想しています。

そうした時代に「ITプロマッチ」というプラットフォームが真に必要になってくると考えています。（ITプロマッチについてはシリーズの後半で説明します）

---------------------------------------------

ITプロマッチサイトのURLアドレスはこちら
https://it.pro-match.jp

---------------------------------------------