社会経営研究講座検討会 検討会07「社会経営における情報技術」 レジュメ 2006年11月4日 全国デジタル・オープンネットワーク事業協同組合 手塚潤治
ITを考える際の共通事項 経営者/マネジメントが混乱するような導入は回避すべし 事業目的やトップポリシーがブレークダウンされていなくてはならない
ITの位置づけと役割 事業活動において,ITを利用することによって,有効性,効率性,機密性,完全性(責任追跡性と真正性を含む),可用性,信頼性,適合性が増す場合 事業活動において,ITを利用しなければ遂行できない場合 →ITへの依存度が高いもの 上記のIT化を全般的に支援する場合 →ITインフラ ※「セキュリティ」とは,事業活動に対してITが持つ役割のうち,「機密性」「完全性」「可用性」を総称したもの
はじめに :IT評価と業務内容 効果性 効率性 機密性 完全性 可用性 信頼性 適合性 真正性 責任性 経営 管理運用 情報管理 内部統制 管理運用 (内部統制) 情報管理 情報セキュリティ管理(ISMS対象) システム開発 研究開発 実務/販売 サービスサポート 生産/製造 ITの要素 業務内容 各部門 各部門 各部門 個人情報保護(Pマーク対象) 各部門 各部門 各部門 いわゆる「情報セキュリティ」と呼ばれている部分
ITと事業活動 COBIT(IT統制の世界標準)で定義されている事業目的について, をフィルタとして, (中長期事業戦略)(事業体のステージ)(業種)(規模/戦力) をフィルタとして, 「自社の用語に読み替えたポリシーを作り上げる」 「ポリシーに優先順位をつける」 事業体の全社ポリシーに対して,対応するIT手順を抽出する(COBIT) IT手順に含まれるITプロセスについて,事業体の用語に読み替える 事業体で行う業務プロセスに対して,読み替えたITプロセスを当てはめる →ITの過不足が判明する ・IT投資の計画と戦術マップを作成する
4.業務内容とITプロセスのリンケージ 事業上の達成目標 情報技術利用の目的 有効性 効率性 機密性 完全性 可用性 順守性 信頼性 1.財務的な展望 1 市場占有率の拡大 25 ○ 2 利益の増加 3 再投資 24 4 資産利用の最適化 14 5 ビジネスリスクの管理 17 18 19 20 21 22 2.顧客に対する展望 6 顧客志向とサービスの改善 23 7 対立する製品とサービスの提供 8 サービスの可用性 10 16 9 ビジネス上の変化への反応速度 サービス提供コストの最適化 3.社内的な展望 11 企業のバリューチェーンの自動化と統合化 12 ビジネスプロセス機能の改善と維持 13 プロセスコストの切り下げ 15 法規制や規程への遵守 26 27 透明度 内部規定への遵守 生産,運用コストの改善と維持 4.教育,訓練の展望 製品とビジネスの改革 28 信頼性が高く有益な,戦略的意思決定のための情報収集 個人のスキルと動機付けの獲得と維持
サービスの提供とレベルに関する顧客満足を確保すること 情報の利用を最適化すること ITの機敏さを作ること 情報技術利用の目的 ITプロセス 有効性 効率性 機密性 完全性 可用性 順守性 信頼性 1 事業戦略を支える要求事項に対応すること PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 P S 2 経営方針に沿った統制要求に対応すること ME3 3 サービスの提供とレベルに関する顧客満足を確保すること PO8 AI4 DS2 DS7 DS8 DS10 DS13 4 情報の利用を最適化すること DS11 5 ITの機敏さを作ること PO7 AI3 6 事業の機能的な及び統制上の必要性が,効果的かつ効率的に自動化された解決策でどのように表現されるかを定義すること AI2 7 統合化され,標準化された業務システムの調達と保守 PO3 AI5 8 統合化され,標準化されたITインフラの調達と保守 9 IT戦略に対応するITスキルの調達と保守 10 外注,取引先との相互の満足感を確保すること 11 業務システムと技術的解決策を継ぎ目無く統合化すること 12 ITのコスト,利便性,戦略,方針とサービスレベルの透明度と理解を確実にすること。 PO5 PO6 DS6 13 業務システムと技術的解決策の適正な使用と性能を確実にすること。 14 すべての情報資産の資産登録と保護 PO9 DS5 DS9 DS12 ME2 15 ITのインフラ,資源,能力を最適化すること 16 解決策及びサービス提供の障害と手戻りを削減すること。 17 ITの対象物の達成を保護すること 18 ITの対象物と資源に対するリスクが事業に及ぼすインパクトの段階を確立すること 19 重要かつ機密性の高い情報が無権限者のアクセスから隔離されることを確実にすること 20 自動化された商取引と情報交換が信頼できることを確実にすること 21 ITサービスとインフラがエラー,計画的な攻撃または災難に対してきちんと抵抗することができ,かつ回復することができることを確実にすること DS4 22 ITサービスが混乱したり変化したりした場合,ビジネスに対する影響を最小にすることを確実にすること。 23 ITサービスが必要に応じて利用できることを確実にすること。 24 ITの費用対効果と事業の収益性に対する貢献を改善すること。 25 プロジェクトが,品質標準に合致した予定通りのスケジュールと費用で行われること 26 情報と処理インフラの完全性を維持すること。 27 ITが法令や規制などに適合していることを確実にすること。 ME4 28 ITが経済的なサービス品質,継続的な改善及び将来の変化のための準備を示すことを確実にすること。
ITプロセス IT評価のための材料 ITの要素 ②-a ②-b ②-c ②-d ②-e 有効性 効率性 機密性 完全性 可用性 順守性 信頼性 PO:計画と体制 PO1 戦略的なIT計画の定義 P S PO2 情報アーキテクチャの定義 PO3 技術的な方向性の決定 PO4 ITの組織と部門の連携状態の定義 PO5 IT投資の管理 PO6 運用目標と指針の伝達 PO7 IT人的資源の管理 PO8 品質管理 PO9 リスクの査定と管理 PO10 プロジェクト管理 AI:調達と実装 AI1 自動化されたソリューションの検証 AI2 アプリケーションソフトの調達・保守 AI3 技術基盤の調達・保守 AI4 可能な運用と利用 AI5 IT資源の調達 AI6 変更管理 AI7 ソリューションと変更の導入・認定 DS:サービス提供とサポート DS1 サービスレベルの定義と管理 DS2 サードパーティサービス管理 DS3 性能やキャパシティの管理 DS4 継続的サービスの保証 DS5 システムセキュリティの保証 DS6 識別とコスト配賦 DS7 ユーザーの教育・訓練 DS8 サービスデスクとインシデント管理 DS9 構成管理 DS10 問題管理 DS11 データ管理 DS12 物理環境管理 DS13 運用管理 ME:監視と評価 ME1 ITパフォーマンスのモニタと評価 ME2 内部統制のモニタと評価 ME3 コンプライアンス遵守の保証 ME4 ITガバナンスの提供
内部統制との共通事項 内部統制の評価では これらを通して実現しなくてはならないものは 統制環境 → 全社ポリシーは適切かどうかを評価する。 統制環境 → 全社ポリシーは適切かどうかを評価する。 リスク分析 → 全社ポリシーをさらにブレークダウンし,具体的な方策まで落とし込んだ際の,遂行を阻害する要因等について分析し,実際に阻害を受けないような対策が講じられているかを評価する。 統制活動 → リスク分析の結果得られた対策が確実に行われるようにルールや手順が作られているかを評価すること 情報と伝達 → コミュニケーションが正確かつ適切なスピードで実現できるかどうかを評価する モニタリング → 上のような仕組みが有効に働いているかどうかをきちんと監視できるかを評価する ITへの対応 → 上のような内容と関与するITが適切かを評価する これらを通して実現しなくてはならないものは 事業活動が有効かつ効率的に行われること 正確かつ適切な財務報告をステークホルダに示せること 法令に違反する行為が行われるのを防止できること 資産を適切に保全できること
COSO 内部統制の 基本的要素 定義 統制環境 組織の気風を決定し、組織内のすべての者の統制に対するものの統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし影響を及ぼす基盤 リスクの評価と 対応 組織目標の達成に影響を与える事象について、組織目的の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの対応を行う一連のプロセス 統制活動 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続 情報と伝達 必要な情報が識別、把握及び処理され、組織内外及び関係者相互間に正しく伝えられることを確保すること モニタリング 内部統制が有効に機能していることを継続的に評価するプロセス ITへの対応 ※他の基本的要素と一体評価される 組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応すること
社会経営をテーマとした場合の読み替え 情報や関連する資産は共有財産である 余分なコストや時間がかからず,環境やその他民業に対する影響を抑えられなければならない 透明性を高め,360度どこからでも正しい評価を受けることができなければならない 法令に違反する行為を行ってはならない →ほぼ共通のスキームでITの役割分析,導入,運用が行えるはずである
導入者にとっての課題 以下の項目を具体的にイメージさせ,個々が自分の手で事業体のために構築できるようにしなければならない 前記のフローにおいて,フィルタとなった各項目の明確化が必要 長中期の事業戦略 事業の内容のフロー化 事業の規模と戦力 自分の言葉で表現する事業体のポリシー(と優先順位) これらがそろって初めて,導入するITにおいて,どのようなインフラと能力が必要かがわかる
運用上の課題 行おうとする事業ごとに,要求される内容と実現可能な条件とのバランス配分 ステージごとに要求される外部要因 ステージを想定して段階的に上げてゆく ステージごとに要求される外部要因 法的あるいは社会的な制約 期待される成果の推移 セキュリティなどの精度
例1:住民による自治体活動の支援モデル 参加レベル 評価レベル (細) 例1:住民による自治体活動の支援モデル 参加レベル (高)ボランティアベースの積極的な活動 (低)各種サービスのモニタ 評価レベル (細い)達成度,コスト,方法,改善まで通して行うべきもの (粗い)成果を活用できれば良いもの 評 価 レ ベ ル (粗) (低) 活動への参加レベル (高) ボランティアベースの積極的な活動としては,以下のものがある。 「住民が何らかのボランティア組織に参加して,明確に組織的に活動するもの」 「ボランティア組織に参加していなくとも,すべての住民が参加することができるもの」 前者の場合は自警団的な集団や,町内会的な活動など,どちらかというと計画的な活動となる。 後者の場合は,住民が危険区域や事故などを発見次第,携帯を通して通報と情報発信サイトへのエントリーするなど,スポット的な(日常的な)活動となる。 更に参加度の低い活動では,各種サービスの精度やレベルについて適時モニタを行い,その結果を入力するなどがある。 これらの活動のテーマは,住民が自ら見つけたものと,行政側が提示するものがあるが,どちらも双方で内容と参加レベルを明確にして合意し,それぞれの参加レベルに合った評価と改善を行わなければならない。 これらの実施についてもっとも大きな要因は「参加意識」または「当事者意識」という動機付けである。この動機付けに失敗すると,いかに良い仕組みやシステムを作っても,効果的には動かない。 またこうした動機付けは,往々にして一時的なものとなるので,継続のための仕組みも必要である。
例2:対話レベルと実現能力モデル (高) 住民が,電子自治体の中で積極的に参画できるためには,提供側のインフラと参加側のインフラが充分なレベルに達し,なおかつ双方のリテラシーが向上されなければならない。 5 対 話 レ ベ ル 4 対話レベルが低ければ,一方的に行政側の情報を開示すればよい。 次の段階としては,Webやメールなどを通して情報を入手し,分析・処理を行うことで,行政サービスへの反映を実現する。 対話レベルが高くなるほど,相互性が高まり,情報処理と操作が密接に,かつ適切に行われなければならない。 3 2 1 (低) (低) 情報管理・運用レベル (高) 対話レベルが最も高いシステムでは,統合化された各種の情報が,安全に,高速に処理され,医療,教育,衛生,産業など,あらゆる分野で適切に活用ができ,同時に最新の情報が常に維持される。そのインターフェースは高度に洗練され,サービスの追加や変更が容易であり,同時に他の自治体との相互接続性も高いものでなければならない。 情報管理・運用レベルは,高度になるほど大きなコスト,運用ノウハウ・スキルが必要となる。これらは比例して考えられることが必要であり,コストや提供側のリテラシの現状によって,実装可能な情報レベルを明確に評価できなくてはならない。すなわち,情報管理・運用レベル以上の情報化レベルのシステムを導入しても,それはムダであるということが誰にでも分からなければならない。 また,情報化レベルをできるだけ効率的に向上させる仕組み(教育,外部支援,ツール,部品)が適切に評価され,どのタイミングで何をどのように使えばよいかまでが提示される必要がある。 ※情報化レベルを先に定義するのは困難なので,各レベルで行うべき内容や公開・開示される内容とその実現手段,コスト,能力を先に組み立て,モデル化するほうがやりやすい(共通アウトソーシングに,ITIL的な考え方やITコーディネータ簡易診断ツールなどの成果物を加味する。)
例3:相互評価モデル 全てのステークホルダの関係性を明確化し,それぞれの役割と責任を明確化します。 それぞれの目標(達成レベル),方針と実行計画を掲げ,相互に全プロセスを評価し,フェードバックする仕組みを作ります。 情報化された相互評価システムの主な対象分野 直接行政サービス 住民がユーザとなり,直接/間接的に端末を操作してサービスを受けること ---------- データ運用サービス 各種サービスで利用されるデータを管理運用するサービス(人が直接操作するわけではない) 情報システム 全情報システムを統合管理・運営するシステム 行政事務支援サービス 行政側が事務で使用するシステム 住民活動支援サービス 住民側が活動で使用するシステム マスタープラン マニフェスト SLA 実行 計画 実行 計画 (合意) 市民 行政 推進支援 (実施) (実施) 活動 活動 見直し 改善 (評価) (評価) 成果 成果
戦術と戦略 戦力分析による戦術の制約を考慮する 条件が合わない場合に,どのように対処するか 投資可能なコストの規模 時間的な制約 運用に係わる人的なリソース 条件が合わない場合に,どのように対処するか 条件を上げる,または下げる 追加でコストや人材を投入する,またはつくりを粗くして条件に合わせる 別の条件に切り替える アウトソーシングや,条件にあったサービス内容のものを採用する 一部または全部をやめてしまう とりあえずはじめて様子を見る
本コースの概要とゴールとして想定するもの 対象者:ソーシャルマネージャー,及び事業に関連してソーシャルマネジメントに参加する人 目的:対象者が事業を行うにあたり,IT化,またはITの支援によって,より有効かつ効率的となる業務を明確化でき,かつ適切にIT化できること。またPDCAに基づく運用管理を行えるようにすること。 カリキュラムの概要: 基礎1:ITの役割と機能(できることとやるべきこと,やらなくてもいいこと)を知る 基礎2:ITと業務のかかわりについて知る 基礎3:ITシステムのライフサイクル(計画~調達~導入~提供~運用~利用~変更~廃棄)について知る 応用1:ソーシャルマネジメントで行う業務とその目的を考える(基礎2をベースに) 応用2:ソーシャルマネジメントでのIT運用上の必要条件と実施(基礎3をベースに) 事例
1.ITでカバーする範囲 ITインフラについて →以下の各要素について,整備と運用をPDCAに基づいて行うこと ネットワーク(接続) セキュリティ(安全管理,危機管理/対策,アクセス制御) 機器及び施設・設備 機器等の規模と配置 機器等の導入・容量計画/管理 IT化業務/業務支援について →ITで置き換えが可能な業務,及びITによる支援が有効な業務について,その目標とプロセスを明確化し,実行すること。
2.カリキュラム全体のフレームワーク メソッドの構築 業務内容とITプロセスとのリンケージ 具体的な実現内容の考察 利用者(管理側を含む)から見たときの切り口で考える 技術,製品,サービス,ツールの選択,選定と導入 実際に技術や製品,サービス,ツールなどを選択,選定,導入するための手順を明らかにする。 特に,RFPの作成や調達の業務管理についての理解を深める。
3.メソッドについて IT導入の目的を明確化する 組織にとってのITを評価するための材料を想定する 業務目標を達成するために有効に役立てる 業務目標を効率的に達成するために役立てる 業務の遂行が正確に行われるために役立てる 業務が確実に法律やルールに沿って行われるために役立てる 重要な資産・資源をルールどおりに取得,使用,処分されるために役立てる 組織にとってのITを評価するための材料を想定する 業務の目標や基本方針 業務目標の達成を阻害する要因の分析,評価と対応策 具体的な方針や手続き 明確な情報の承認経路,処理経路,伝達経路 ITの評価システム
4.技術,製品,サービス,ツールの選択,選定と導入 実習を交えずに,どこまで取り上げることが可能か? 教育,学習の機会を活用 RFPベースでの調達 CIO補佐の活用 外部スタッフの活用 ITコーディネータ CISA CISM
総括