検討会07 レジュメ

社会経営研究講座検討会
検討会07「社会経営における情報技術」
レジュメ
2006年11月4日
全国デジタル・オープンネットワーク事業協同組合
手塚潤治
ITを考える際の共通事項
経営者/マネジメントが混乱するような導入は回
避すべし
事業目的やトップポリシーがブレークダウンされ
ていなくてはならない
ITの位置づけと役割
事業活動において,ITを利用することによって,有効性,
効率性,機密性,完全性(責任追跡性と真正性を含む),
可用性,信頼性,適合性が増す場合
事業活動において,ITを利用しなければ遂行できない場
合
→ITへの依存度が高いもの
上記のIT化を全般的に支援する場合
→ITインフラ
※「セキュリティ」とは,事業活動に対してITが持つ役割のうち,「機密
性」「完全性」「可用性」を総称したもの
はじめに :IT評価と業務内容
ITの要素
効果性
効率性
機密性
完全性
業務内容
経営
完全性
内部統制
真正性
可用性
信頼性
責任性
内部統制
内部統制
各部門
各部門
管理運用
(内部統制)
適合性
(内部統制)
各部門
各部門
(内部統制)
個人情報保護(Pマーク対象)
情報管理
(内部統制)
(内部統制)
システム開発
(内部統制)
情報セキュリティ管理(ISMS対象)
各部門 (内部統制)
(内部統制)
各部門
研究開発
(内部統制)
(内部統制)
(内部統制)
実務/販売
(内部統制)
(内部統制)
(内部統制)
(内部統制)
(内部統制)
(内部統制)
サービスサポート
生産/製造
いわゆる「情報セキュリティ」と呼ばれている部分
ITと事業活動
COBIT(IT統制の世界標準)で定義されている事業目的について,
(中長期事業戦略)(事業体のステージ)(業種)(規模/戦力)
をフィルタとして,
「自社の用語に読み替えたポリシーを作り上げる」 「ポリシーに優先順位
をつける」
事業体の全社ポリシーに対して,対応するIT手順を抽出する(COBIT)
IT手順に含まれるITプロセスについて,事業体の用語に読み替える
事業体で行う業務プロセスに対して,読み替えたITプロセスを当てはめ
る
→ITの過不足が判明する
・IT投資の計画と戦術マップを作成する
4.業務内容とITプロセスのリンケージ
事業上の達成目標
情報技術利用の目的
有
効
性
効
率
性
機
密
性
完
全
性
可
用
性
○
○
○
順
守
性
信
頼
性
1.財務的な展望
1
市場占有率の拡大
25
○
○
2
利益の増加
25
○
○
3
再投資
24
4
資産利用の最適化
14
5
ビジネスリスクの管理
○
○
2
14
17
18
19
20
21
○
22
2.顧客に対する展望
6
顧客志向とサービスの改善
3
23
○
7
対立する製品とサービスの提供
5
24
○
8
サービスの可用性
10
16
22
9
ビジネス上の変化への反応速度
1
5
25
サービス提供コストの最適化
7
8
10
24
11
10
23
○
○
○
○
○
○
3.社内的な展望
11
企業のバリューチェーンの自動化と統合化
6
7
8
12
ビジネスプロセス機能の改善と維持
6
7
11
13
プロセスコストの切り下げ
7
8
13
15
24
14
法規制や規程への遵守
2
19
20
21
22
15
透明度
2
18
16
内部規定への遵守
2
13
17
生産,運用コストの改善と維持
7
8
11
○
○
○
○
○
26
27
○
○
○
○
13
○
○
○
○
○
4.教育,訓練の展望
18
製品とビジネスの改革
5
25
28
19
信頼性が高く有益な,戦略的意思決定のための
情報収集
2
4
12
20
個人のスキルと動機付けの獲得と維持
9
20
26
○
○
○
○
○
情報技術利用の目的
ITプロセス
1
事業戦略を支える要求事項に対応すること
PO1
PO2
PO4
PO10
AI1
2
経営方針に沿った統制要求に対応すること
PO1
PO4
PO10
ME1
ME3
3
サービスの提供とレベルに関する顧客満足を確保すること
PO8
AI4
DS1
DS2
DS7
4
情報の利用を最適化すること
PO2
DS11
5
ITの機敏さを作ること
PO2
PO4
PO7
AI3
6
事業の機能的な及び統制上の必要性が,効果的かつ効率的に自動化された解決
策でどのように表現されるかを定義すること
AI1
AI2
7
統合化され,標準化された業務システムの調達と保守
PO3
AI2
8
統合化され,標準化されたITインフラの調達と保守
AI3
9
IT戦略に対応するITスキルの調達と保守
PO7
10
外注,取引先との相互の満足感を確保すること
DS2
11
業務システムと技術的解決策を継ぎ目無く統合化すること
PO2
AI4
AI7
12
ITのコスト,利便性,戦略,方針とサービスレベルの透明度と理解を確実にすること。
PO5
PO6
DS1
DS2
DS6
13
業務システムと技術的解決策の適正な使用と性能を確実にすること。
PO6
AI4
AI7
DS7
14
すべての情報資産の資産登録と保護
PO9
DS5
DS9
15
ITのインフラ,資源,能力を最適化すること
PO3
AI3
16
解決策及びサービス提供の障害と手戻りを削減すること。
PO8
17
ITの対象物の達成を保護すること
PO9
18
ITの対象物と資源に対するリスクが事業に及ぼすインパクトの段階を確立すること
PO9
19
重要かつ機密性の高い情報が無権限者のアクセスから隔離されることを確実にす
ること
PO6
DS5
DS11
20
自動化された商取引と情報交換が信頼できることを確実にすること
PO6
AI7
DS5
21
ITサービスとインフラがエラー,計画的な攻撃または災難に対してきちんと抵抗する
ことができ,かつ回復することができることを確実にすること
PO6
AI7
DS4
DS5
22
ITサービスが混乱したり変化したりした場合,ビジネスに対する影響を最小にするこ
とを確実にすること。
PO6
AI6
DS4
23
ITサービスが必要に応じて利用できることを確実にすること。
DS3
DS4
DS8
24
ITの費用対効果と事業の収益性に対する貢献を改善すること。
PO5
AI5
DS6
25
AI6
DS8
AI7
DS10
DS1
DS13
DS3
ME1
有
効
性
効
率
性
P
P
P
P
P
機
密
性
完
全
性
可
用
性
S
S
P
S
S
順
守
性
S
P
P
P
S
AI6
P
P
S
AI5
P
P
S
AI5
S
P
AI5
P
P
P
P
P
P
P
P
DS8
P
S
DS12
ME2
S
S
DS3
DS7
DS9
S
P
AI4
AI6
DS7
DS8
P
P
DS10
ME2
P
P
S
S
ME1
ME3
DS12
S
P
DS13
ME2
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
P
P
P
S
S
P
P
S
S
S
P
S
S
S
S
P
DS12
P
S
S
P
DS13
P
P
S
P
P
S
プロジェクトが,品質標準に合致した予定通りのスケジュールと費用で行われること
PO8
PO10
P
P
S
26
情報と処理インフラの完全性を維持すること。
AI6
DS5
P
P
P
27
ITが法令や規制などに適合していることを確実にすること。
DS11
ME2
ME3
ME4
28
ITが経済的なサービス品質,継続的な改善及び将来の変化のための準備を示すこ
とを確実にすること。
PO5
DS6
ME1
ME3
S
P
S
P
P
P
S
P
P
DS12
信
頼
性
S
S
P
S
P
S
P
ITの要素
IT評価のための材料
ITプロセス
②-a
②-b
②-c
②-d
②-e
S
S
P
P
P
S
有効性
効率性
機密性
完全性
可用性
順守性
信頼性
PO:計画と体制
PO1
戦略的なIT計画の定義
PO2
情報アーキテクチャの定義
P
PO3
技術的な方向性の決定
PO4
ITの組織と部門の連携状態の定義
PO5
IT投資の管理
PO6
運用目標と指針の伝達
P
PO7
IT人的資源の管理
P
PO8
品質管理
P
PO9
リスクの査定と管理
PO10
プロジェクト管理
S
P
S
S
S
P
P
S
P
P
S
S
P
P
P
P
P
P
P
P
S
P
S
P
S
P
S
S
S
P
P
P
P
S
S
P
P
S
P
P
S
P
S
S
AI:調達と実装
AI1
自動化されたソリューションの検証
P
P
S
AI2
アプリケーションソフトの調達・保守
P
P
P
S
AI3
技術基盤の調達・保守
P
S
P
S
S
AI4
可能な運用と利用
P
P
P
S
S
AI5
IT資源の調達
P
S
P
AI6
変更管理
AI7
ソリューションと変更の導入・認定
S
S
P
S
S
S
S
S
P
P
S
S
P
S
S
P
S
S
S
P
S
S
DS:サービス提供とサポート
DS1
サービスレベルの定義と管理
S
DS2
サードパーティサービス管理
P
DS3
性能やキャパシティの管理
DS4
継続的サービスの保証
P
S
DS5
システムセキュリティの保証
P
S
DS6
識別とコスト配賦
P
DS7
ユーザーの教育・訓練
P
DS8
サービスデスクとインシデント管理
S
DS9
構成管理
P
DS10
問題管理
P
DS11
データ管理
DS12
物理環境管理
DS13
運用管理
S
S
S
P
P
S
S
S
S
S
P
S
P
P
S
S
S
S
S
P
S
P
P
P
S
S
S
S
P
P
P
S
P
S
P
S
S
S
P
S
P
P
S
P
P
P
S
S
P
P
S
P
P
P
P
P
S
S
P
S
S
P
P
P
P
P
P
S
S
S
P
P
P
S
S
S
ME:監視と評価
ME1
ITパフォーマンスのモニタと評価
ME2
内部統制のモニタと評価
ME3
コンプライアンス遵守の保証
ME4
ITガバナンスの提供
S
P
P
S
S
S
S
P
P
P
S
S
S
S
S
S
S
P
S
S
S
内部統制との共通事項
内部統制の評価では
統制環境 → 全社ポリシーは適切かどうかを評価する。
リスク分析 → 全社ポリシーをさらにブレークダウンし,具体的な方策まで落とし
込んだ際の,遂行を阻害する要因等について分析し,実際に阻害を受けないよう
な対策が講じられているかを評価する。
統制活動 → リスク分析の結果得られた対策が確実に行われるようにルール
や手順が作られているかを評価すること
情報と伝達 → コミュニケーションが正確かつ適切なスピードで実現できるかど
うかを評価する
モニタリング → 上のような仕組みが有効に働いているかどうかをきちんと監視
できるかを評価する
ITへの対応 → 上のような内容と関与するITが適切かを評価する
これらを通して実現しなくてはならないものは
事業活動が有効かつ効率的に行われること
正確かつ適切な財務報告をステークホルダに示せること
法令に違反する行為が行われるのを防止できること
資産を適切に保全できること
COSO
内部統制の
基本的要素
定義
統制環境
組織の気風を決定し、組織内のすべ
ての者の統制に対するものの統制に
対する意識に影響を与えるとともに、
他の基本的要素の基礎をなし影響を
及ぼす基盤
リスクの評価
と 対応
組織目標の達成に影響を与える事象
について、組織目的の達成を阻害す
る要因をリスクとして識別、分析及び
評価し、当該リスクへの対応を行う一
連のプロセス
統制活動
経営者の命令及び指示が適切に実
行されることを確保するために定める
方針及び手続
情報と伝達
必要な情報が識別、把握及び処理さ
れ、組織内外及び関係者相互間に正
しく伝えられることを確保すること
モニタリング
内部統制が有効に機能していること
を継続的に評価するプロセス
ITへの対応
※他の基本
的要素と一体
評価される
組織目標を達成するために予め適切
な方針及び手続を定め、それを踏ま
えて、業務の実施において組織の内
外のITに対し適切に対応すること
社会経営をテーマとした場合の読み替え
情報や関連する資産は共有財産である
余分なコストや時間がかからず,環境やその他
民業に対する影響を抑えられなければならない
透明性を高め,360度どこからでも正しい評価を
受けることができなければならない
法令に違反する行為を行ってはならない
→ほぼ共通のスキームでITの役割分析,導入,運
用が行えるはずである
導入者にとっての課題
以下の項目を具体的にイメージさせ,個々が自
分の手で事業体のために構築できるようにしな
ければならない
前記のフローにおいて,フィルタとなった各項目の明
確化が必要
長中期の事業戦略
事業の内容のフロー化
事業の規模と戦力
自分の言葉で表現する事業体のポリシー(と優先順位)
これらがそろって初めて,導入するITにおいて,どの
ようなインフラと能力が必要かがわかる
運用上の課題
行おうとする事業ごとに,要求される内容
と実現可能な条件とのバランス配分
ステージを想定して段階的に上げてゆく
ステージごとに要求される外部要因
法的あるいは社会的な制約
期待される成果の推移
セキュリティなどの精度
(細)
例1:住民による自治体活動の支援モデル
• 参加レベル
• (高)ボランティアベースの積極的な活動
• (低)各種サービスのモニタ
• 評価レベル
• (細い)達成度,コスト,方法,改善まで通して行
うべきもの
• (粗い)成果を活用できれば良いもの
評
価
レ
ベ
ル
(粗)
(低)
活動への参加レベル
(高)
• ボランティアベースの積極的な活動としては,以下のものがある。
「住民が何らかのボランティア組織に参加して,明確に組織的に活動するもの」
「ボランティア組織に参加していなくとも,すべての住民が参加することができるもの」
• 前者の場合は自警団的な集団や,町内会的な活動など,どちらかというと計画的な活動となる。
• 後者の場合は,住民が危険区域や事故などを発見次第,携帯を通して通報と情報発信サイトへのエント
リーするなど,スポット的な(日常的な)活動となる。
• 更に参加度の低い活動では,各種サービスの精度やレベルについて適時モニタを行い,その結
果を入力するなどがある。
• これらの活動のテーマは,住民が自ら見つけたものと,行政側が提示するものがあるが,どちらも
双方で内容と参加レベルを明確にして合意し,それぞれの参加レベルに合った評価と改善を行わ
なければならない。
• これらの実施についてもっとも大きな要因は「参加意識」または「当事者意識」という動機付けであ
る。この動機付けに失敗すると,いかに良い仕組みやシステムを作っても,効果的には動かない。
• またこうした動機付けは,往々にして一時的なものとなるので,継続のための仕組みも必要である。
例2:対話レベルと実現能力モデル
住民が,電子自治体の中で積極的に参画できる
ためには,提供側のインフラと参加側のインフラ
が充分なレベルに達し,なおかつ双方のリテラ
シーが向上されなければならない。
• 対話レベルが低ければ,一方的に行政側の情報を開示す
ればよい。
• 次の段階としては,Webやメールなどを通して情報を入手し,
分析・処理を行うことで,行政サービスへの反映を実現す
る。
• 対話レベルが高くなるほど,相互性が高まり,情報処理と
操作が密接に,かつ適切に行われなければならない。
(高)
5
対
話
レ
ベ
ル
(低)
4
3
1
(低)
2
情報管理・運用レベル
(高)
対話レベルが最も高いシステムでは,統合化された各種の情報が,安全に,高速に処理され,医
療,教育,衛生,産業など,あらゆる分野で適切に活用ができ,同時に最新の情報が常に維持さ
れる。そのインターフェースは高度に洗練され,サービスの追加や変更が容易であり,同時に他の
自治体との相互接続性も高いものでなければならない。
情報管理・運用レベルは,高度になるほど大きなコスト,運用ノウハウ・スキルが必要となる。これ
らは比例して考えられることが必要であり,コストや提供側のリテラシの現状によって,実装可能な
情報レベルを明確に評価できなくてはならない。すなわち,情報管理・運用レベル以上の情報化レ
ベルのシステムを導入しても,それはムダであるということが誰にでも分からなければならない。
また,情報化レベルをできるだけ効率的に向上させる仕組み(教育,外部支援,ツール,部品)が
適切に評価され,どのタイミングで何をどのように使えばよいかまでが提示される必要がある。
※情報化レベルを先に定義するのは困難なので,各レベルで行うべき内容や公開・開示される内容とその実現手段,コスト,能力
を先に組み立て,モデル化するほうがやりやすい(共通アウトソーシングに,ITIL的な考え方やITコーディネータ簡易診断ツールな
どの成果物を加味する。)
例3:相互評価モデル
全てのステークホルダの関係性を明確化し,それぞれの役割と責任を明確
化します。
それぞれの目標(達成レベル),方針と実行計画を掲げ,相互に全プロセス
を評価し,フェードバックする仕組みを作ります。
マスタープラン
情報化された相互評価システムの主な対象分野
マニフェスト
SLA
実行
計画
市民
(実施)
(評価)
(合意)
実行
計画
行政
推進支援
活動
成果
見直し
改善
活動
成果
(実施)
(評価)
• 直接行政サービス
住民がユーザとなり,直接/間接的に端末を操作して
サービスを受けること
---------• データ運用サービス
各種サービスで利用されるデータを管理運用するサー
ビス(人が直接操作するわけではない)
---------• 情報システム
全情報システムを統合管理・運営するシステム
---------• 行政事務支援サービス
行政側が事務で使用するシステム
• 住民活動支援サービス
住民側が活動で使用するシステム
戦術と戦略
戦力分析による戦術の制約を考慮する
投資可能なコストの規模
時間的な制約
運用に係わる人的なリソース
条件が合わない場合に,どのように対処するか
条件を上げる,または下げる
追加でコストや人材を投入する,またはつくりを粗くして条件に合わ
せる
別の条件に切り替える
アウトソーシングや,条件にあったサービス内容のものを採用する
一部または全部をやめてしまう
とりあえずはじめて様子を見る
本コースの概要とゴールとして想定するもの
対象者:ソーシャルマネージャー,及び事業に関連してソーシャルマネジメントに
参加する人
目的:対象者が事業を行うにあたり,IT化,またはITの支援によって,より有効か
つ効率的となる業務を明確化でき,かつ適切にIT化できること。またPDCAに基
づく運用管理を行えるようにすること。
カリキュラムの概要:
基礎1:ITの役割と機能(できることとやるべきこと,やらなくてもいいこと)を知る
基礎2:ITと業務のかかわりについて知る
基礎3:ITシステムのライフサイクル(計画~調達~導入~提供~運用~利用~変更
~廃棄)について知る
応用1:ソーシャルマネジメントで行う業務とその目的を考える(基礎2をベースに)
応用2:ソーシャルマネジメントでのIT運用上の必要条件と実施(基礎3をベースに)
事例
1.ITでカバーする範囲
① ITインフラについて
→以下の各要素について,整備と運用をPDCAに基づい
て行うこと
•
•
•
•
•
ネットワーク(接続)
セキュリティ(安全管理,危機管理/対策,アクセス制御)
機器及び施設・設備
機器等の規模と配置
機器等の導入・容量計画/管理
② IT化業務/業務支援について
→ITで置き換えが可能な業務,及びITによる支援が有
効な業務について,その目標とプロセスを明確化し,実
行すること。
2.カリキュラム全体のフレームワーク
メソッドの構築
①
•
「社会経営におけるITの役割」をどのようにとらえるのかにつ
いて,方法論を確立する
業務内容とITプロセスとのリンケージ
②
•
業務の目標と関連するITプロセスをリンクさせ,着目すべき点
を明確化する
具体的な実現内容の考察
③
•
利用者(管理側を含む)から見たときの切り口で考える
技術,製品,サービス,ツールの選択,選定と導入
④
•
•
実際に技術や製品,サービス,ツールなどを選択,選定,導入
するための手順を明らかにする。
特に,RFPの作成や調達の業務管理についての理解を深める。
3.メソッドについて
① IT導入の目的を明確化する
a.
b.
c.
d.
e.
業務目標を達成するために有効に役立てる
業務目標を効率的に達成するために役立てる
業務の遂行が正確に行われるために役立てる
業務が確実に法律やルールに沿って行われるために役立てる
重要な資産・資源をルールどおりに取得,使用,処分されるた
めに役立てる
② 組織にとってのITを評価するための材料を想定する
a.
b.
c.
d.
e.
業務の目標や基本方針
業務目標の達成を阻害する要因の分析,評価と対応策
具体的な方針や手続き
明確な情報の承認経路,処理経路,伝達経路
ITの評価システム
4.技術,製品,サービス,ツールの選択,
選定と導入
実習を交えずに,どこまで取り上げることが可能か?
教育,学習の機会を活用
RFPベースでの調達
CIO補佐の活用
外部スタッフの活用
ITコーディネータ
CISA
CISM
総括