2022.10.10 怖い話18「ベンダーロックイン」
中村です。
今回の怖い話は「ベンダーロックイン」を取り上げます。
今年6月に発生した尼崎市の住民基本台帳、46万517人分の情報が入ったUSBメモリーを紛失した事件はまだ記憶に残っていると思います。
幸いに外部への情報流出はなく、最悪のケースにならなかったようですが、前代未聞の事案だったことは確かです。
その尼崎市はホームページで次の3点を原因として挙げています。
要約すると、以下のようになります。
- 受託者が電子記憶媒体での個人情報データの運搬方法を市から許可を得ていなかった。また、市も許可が必要であることを徹底していなかったこと。
- 電子記憶媒体を運送会社のセキュリティ便などを利用せず、個人で持ち運んだこと。
- 個人情報データを利用する処理が終了後、速やかにデータ消去を行わず、USBメモリーを所持したまま飲み歩き、カバンごと紛失したこと。
これが本質的な原因か、と思うような内容ですが・・・。
この事案の根本的な原因は、いわゆる「ベンダーロックイン」という状態にあったことと指摘する専門家もいます。
ベンダーロックインとは、特定の業者「ベンダー」が長年にわたりシステムを受託した結果、他のベンダーへの乗り換えが困難になり、特定業者に依存せざるを得ない状態になることです。
この弊害は競争原理が働かず、コストが増えることと言われていますが、尼崎市の場合は、長年の継続した関係が「慣れ」を生み、委託者側の甘いチェック、業者任せなど、悪い依存関係に至ったことが、この事件の本質と考えられます。
当然、ベンダーロックインは尼崎市だけの話ではなく、今年2月に公正取引委員会が発表した「官公庁における情報システム調達に関する実態調査報告書」では、実に98.9%の自治体が同じベンダーとの再契約が「ある」と回答しているそうです。
自治体職員の頻繁な部署移動やIT人材不足がその原因といわれているそうですが、民間企業においてはどうでしょうか?
ベンダー側としては、継続的な契約の更新やシステムのリプレースは、商売としては非常にありがたく、長くお付き合いをしていただける良い顧客を多く確保していることは、そのベンダーにとって一つの勲章です。
ユーザー側にとっても不足するIT人材を補い、保守・運用を委託できる優秀なベンダーは、力強いパートナー的存在です。
ただし、その関係に甘えての「慣れ」が、「怠慢」(表現の仕方に遠慮しなければ)になることがないでしょうか?
当たり前ですが「怠慢」は、決して良い結果を生み出しません。
尼崎市の例を上げるまでもなく、「ベンダーロックイン」はベンダー・ユーザー双方の問題なのです。
IT技術者の70%がITベンダーに属している日本では、ベンダー依存はやむを得ない現象なのかもしれません。(ちなみにアメリカは35%がベンダー側で、残り65%がユーザー企業に属しているそうです。)
それでは、ベンダーロックインを防ぐためにどうするべきなのか。
自社取扱いのシステムを提供することを前提としたベンダーを選択するのではなく、ユーザーと一緒にシステムの要件定義や仕様を取りまとめ、必要とされるシステムの形と管理運用方法を明確にする立場の業者と、その要件定義・仕様に合ったシステムを提供する業者を分けるという考えがあります。
「ベンダーロックイン」は、長年この仕事をしてきた身としてはとても重く感じる言葉です。
今までの情報セキュリティとはちょっと違った「怖い話」でした。