第9回　費用対効果の視点に基づく正確な判断をシステム化のプラスとマイナス

評価の”物差し"

情報システムの構築の際に最も重要となるのは、その目的を明確にすることと、得られるプロフィットを正確に把握することである。システムの導入や運用に要するコストを上回るビジネス上の利益が見込めないとすれば、そのシステムの構築は単なる無駄遣いということになってしまうからだ。

しかし、そうした“費用対効果”の視点をすべての企業が持っているかというと、正直言って心もとない。なかには、まるでシステム化の推進そのものが目的であるかのように、性急なIT導入を進めているケースも見られる。その背景には、「システム化を急がなければビジネスで遅れをとる」あるいは「システム化すれば問題が解決できる」といったような過度な“システム信仰”が存在しているようなのだ。しかも、企業をリードしていくべき経営陣にかぎって、こうした傾向が強いのである。あくまでもシステムはビジネスの手段の1つにすぎないということを自覚しないかぎり、そのメリットを生かすことも、マイナス面をカバーすることも出来ないだろう。

そうした愚を犯さないためにも、システム導入に際しては、達成しようとするビジネス上の目標を明確に設定し、導入後にその達成度を細かくチェックできるような方法を、事前に用意しておくことが必要となる。ここでの目標とは、単に「業務の効率化」や「顧客サービスの向上」といったお題目ではない。客観的な判断材料となる具体的な数値である。例えば、工場の生産ラインを増やす際に、そのライン増強にどれだけのコストがかかり、その結果1日の生産量がどれだけ増えるか――ということを事前に把握するのと同じ手法を、情報システムにも当てはめるのである。

そして、目標の設定ができたならば、システム導入後に、その稼働状態をチェックできる仕組みを作らなければならない。ある時点で「どれだけの効率化が達成できているのか」、「どれほどのコストを削減できたのか」、「顧客の満足度がどれほど向上したのか」といった項目について、目標数値の何％が実現できているのかを定期的に測定・評価するのだ。そうしたチェック体制が整ってはじめて、設定した目標が力を発揮するのである。

評価の内容

システムを評価する内容についても注意する必要がある。システム担当者は往々にして、「このシステムでこんなことができるようになった」というプラス面 の効果ばかりを主張するからだ。それでは、正確な評価を下すことはできない。システム化によって企業が抱えてしまうマイナス面 もしっかり把握し、万が一の有事に備えなければならない。

そう考えると、システム化によるマイナス面は至るところに存在する。システムがダウンすれば、企業の財産とも言えるデータが消失してしまう可能性がある。また、インターネットを介した不正侵入で機密情報や顧客情報が漏洩したり、プログラムの誤りやオペレーション・ミスで欠陥商品が市場に出回ったり、顧客の信頼を失ったりといったことが起こらないとも限らない。事実、そうしたトラブルは、国内だけでもすでに数多く発生している。これらは、まさにシステム化さえしなければ起きなかった問題である。

記憶に新しいところでは、コンピュータの誤作動によって甚大な被害が発生すると人々に恐れられた西暦2000年問題がその典型例である。実際には、想像されたような被害が発生しなかったこともあり、多くの人々は過去の出来事として片づけてしまっているかもしれない。だが、もう一度当時を振り返ってみていただきたい。年末年始にかけて各企業がこぞって特別 体制を敷き、数多くの社員が社内での待機を余儀なくされたはずだ。また、人件費や対策費など予定外の出費を強いられることにもなった。

絶対に安全なシステムというものが存在しない以上、こうしたトラブルは今後も必ず発生すると考えたほうがよい。だからこそ、問題が表面化したときにそのビジネス上のダメージがどれほどになるのか、あるいは、そのダメージを回避するにはどのような対策を立てるべきなのか――という考えが必要になってくるわけだ。それがセキュリティ対策の基本であり、その場合にもやはり“費用対効果”の視点を忘れることはできない。

例えば、われわれが日常的に使用する自動車には、交通事故が起きたときのために、さまざまな安全装置が組み込まれている。「自動車を運転すれば、必ず事故は起きる」という考えが作り手側の意識の根底にある表れである。そこで、事故が起きても被害を最小限に食い止めるための策をこらしているのだ。ジャンボ機にも同様に、何らかのトラブルが発生した場合にも、墜落せずに安全に着陸できるようにするための機能が組み込まれている。万が一墜落すれば、航空会社のダメージは甚大なものになるからだ。こうした機能は、本来の「走る」「飛ぶ」といった機能とは合致しない。それでも、企業や顧客を守るため、ビジネスを続けていくために巨費を投じているのだ。

IT化を進めている企業にも、同様の対策が求められている。事前に考えられるトラブルを十分に考慮したうえで、許容できる被害とそうでない被害を決め、マイナス面をカバーするための対策を施すことが急務となっている。

IS部門を制御する

企業の情報システム（IS）部門の関心がテクノロジーに向きがちで、ビジネス面から見たシステムの評価が欠落しているケースが多いということは、これまでもたびたび述べてきた。システムについて正しい評価を下すには、こうしたIS部門を制御する必要がある。

最近、次々と登場しているインターネット・バンキングを例に取ってみよう。窓口で行員が対応しているのと同じサービスをシステムに対応させようというものだが、いかなる最新技術を駆使しようとも、窓口の行員の臨機応変さには及ばない。また、重要な個人データが漏洩する危険性も生じる。そうしたマイナス要素をIS部門がきちんと把握しているかどうかを見極め、コントロールしなければ、万が一トラブルが発生した際に、そもそも顧客の利便性向上を掲げてスタートしたはずのシステムによって顧客からの信用を失うという皮肉な結果 を招くことにもなりかねない。

IS部門を統制し、テクノロジーがもたらす正も負も正しく把握させたうえで、ビジネス戦略の視点からコスト意識を持たせることは、CIOの重要な役割である。逆に言えば、そうした対策を取らずして、上に述べたようなシステム評価や、マイナス面をカバーするセキュリティ対策を行うことは不可能である。

あらゆる角度からシステム構築のあるべき姿を考え、セキュリティ対策を確立するためには、CIOが的確な判断を行うことが必要なのだ。