システム外部委託先管理の現状と課題 [PDF 422KB]

金融高度化セミナー資料
2015年3月
システム外部委託先管理の現状と課題
日本銀行 金融機構局
1.本日の説明内容

日本銀行では、2013年11月に、地域銀行のシステム運用・
開発業務に関する外部委託先(以下、委託先)の管理状況
を把握することを目的に、「委託先管理に関するアンケート
調査」を実施。

本日は、同アンケート調査結果等を踏まえ、地域金融機関に
おける委託先管理の実効性確保に向けた留意点等を解説し
ます。
以下のデータは、特に断りがない限り、地域銀行106先(地方銀行、
第二地方銀行等)を対象とした上記アンケートの調査結果。
また、グラフ中、「前回」と記載しているものは、2008年4月に実施した
委託先管理に関する前回アンケート、「09年」と記載しているものは、
2009年6月に実施したシステム共同化に関するアンケートの調査結果。
1
2.アンケート(2013年11月)調査結果の概要

システム運用・開発業務における委託先への依存度が高ま
る中、多くの先で委託先管理に関する取組みを強化。

もっとも、以下の分野で、改善の余地が認められた。
委託先の管理手段
再委託先管理
情報セキュリティ管理
経営陣の関与
委託先管理のスキル蓄積・維持・向上
次期システムに向けた体制整備
2
3.勘定系システムの現状①

約7割の先が共同システムを利用。
▽勘定系システムの利用形態
今回
33%
09年
67%
51%
0%
20%
49%
40%
自営
60%
80%
100%
共同
3
3.勘定系システムの現状②


現在稼働している勘定系システムについて、約7割の先が、
「他行/ベンダー製システムをカスタマイズして利用」してい
る。
「他行/ベンダー製システムをカスタマイズなしで利用」して
いる割合が前回調査比高まっている一方、「一から自行で独
自開発」とした割合が低下。
▽現在稼働中の勘定系システムの開発方法
今回
21%
前回
66%
13%
36%
0%
10%
20%
62%
30%
40%
一から自行で独自開発
他行/ベンダー製システムをカスタマイズなしで利用
50%
60%
70%
2%
80%
90%
100%
他行/ベンダー製システムをカスタマイズして利用
4
3.勘定系システムの現状③

「他行/ベンダー製システムを利用」している先について、約
6割の先が、カスタマイズ率10%未満。
▽勘定系システムのカスタマイズ率
17%
0%
10%
0%

25%
20%
5%未満
30%
16%
40%
5%超~10%未満
50%
17%
60%
10%超~20%未満
70%
16%
80%
20%超~50%未満
10%
90%
100%
50%以上
約4割の先が、現行システムに切り替えた際、自行の事務プ
ロセス・手続きを5割程度以上変更している。
▽事務プロセス・手続き変更度合い
29%
0%
10%
29%
20%
30%
ほとんど変更なし
40%
3割程度
17%
50%
5割程度
60%
70%
7割程度
4%
22%
80%
90%
100%
ほとんど全て変更
5
3.勘定系システムの現状④

今後の委託先比率は、9割以上の先が「現状維持」または
「高める」としており、前回調査比増加。
▽委託先比率の今後の方向性
(システム運用業務)
今回
16%
前回
77%
9%
3%
76%
0%
20%
40%
高める
現状維持
4%
15%
60%
低めていく
80%
100%
不明
(システム開発業務)
今回
16%
前回
80%
18%
0%
2%
64%
20%
高める
40%
現状維持
2%
17%
60%
低めていく
80%
100%
不明
6
4.委託先の管理手段①

共同化先では、全先でサービス仕様書「有」となっている。ま
た、SLAを取り交わしている割合も、前回調査比大幅に上昇
し、9割に達している。
▽サービス仕様書の有無(共同化先)
今回
100%
(システム運用業務)
前回
今回
(システム開発業務)
95%
0%
20%
40%
有
前回
100%
5%
60%
80%
100%
無
93%
0%
20%
40%
有
7%
60%
80%
100%
無
▽SLAの取り交わしの有無(共同化先)
今回
90%
前回
10%
57%
0%
20%
43%
40%
有
60%
80%
100%
無
7
4.委託先の管理手段②

SLAの管理項目をみると、約1割の先では、「バッチ処理時
間」、「サービス提供時間帯」、「障害発生件数」を規定してい
ない。⇒システムの安定稼働のために重要な項目について
は、委託先との間での内容の十分な共有、業務や環境の変
化に応じた見直しを行うことが重要。
▽SLAの管理項目(共同化先)
バッチ処理時間
92%
8%
サービス提供時間帯
88%
13%
障害発生件数
88%
13%
障害通知に要する時間
72%
サービス稼働率
66%
障害発生後の復旧時間
34%
55%
オンライン応答時間
45%
47%
同時利用者数
問合せ時間帯
28%
53%
27%
73%
5%
0%
95%
20%
40%
有
60%
80%
100%
無
8
4.委託先の管理手段③

委託先の管理手法については、「定期報告(書面)受領や定
期打ち合わせ」、「立入監査」、「委託先が実施した監査の結
果の入手」を実施する割合が、いずれも前回調査比上昇。
▽具体的な委託先の管理手法
定期報告(書面)受領 今回
や定例打ち合わせ
前回
(運用)
立入監査
97%
78%
今回
22%
90%
前回
委託先が実施した監
査の結果の入手
3%
10%
68%
今回
32%
86%
前回
14%
57%
0%
20%
43%
40%
60%
有
定期報告(書面)受領 今回
や定例打ち合わせ
前回
(開発)
立入監査
委託先が実施した監
査の結果の入手
80%
100%
無
92%
8%
78%
今回
22%
82%
前回
18%
62%
今回
38%
83%
前回
17%
57%
0%
20%
43%
40%
有
60%
80%
100%
無
9
4.委託先の管理手段④

委託先からの報告状況をみると、「作業体制(委託先の内部
体制)」や「情報セキュリティ遵守体制」については、約2割の
先が、「書面の受領のみ」または「報告なし」としている。⇒定
期的に打ち合わせを開催して説明を受けたり、必要に応じ、
現場の確認を行うことも重要。
▽定期報告の実施
(システム運用業務)
実施作業(本番作業)内容の報告
96%
3%
1%
個別障害(事象、直接原因、対応、再発防止策等)の 報告
96%
3%
1%
システムの容量・性能管理にかかる報告
91%
個別障害を踏まえた類似障害防止 策等の 報告
6%
90%
障害傾向分析報告
4%
89%
作業体制(委託先の内部体制)
情報セキュリティ遵守状況
17%
74%
監査等実施方法の協議
13%
67%
SLAの見直し
18%
66%
0%
10%
20%
定期的な打ち合わせを実施
30%
6%
40%
2%
5%
80%
50%
書面の受領のみ
60%
70%
報告なし
4%
5%
1%
2%
1%
2%
6%
8%
10%
5%
17%
80%
1%
12%
90%
100%
その他
10
4.委託先の管理手段④(続き)
(システム開発業務)
実施作業(本番作業)内容の報告
96%
作業体制(委託先の内部体制)
2% 1% 1%
74%
情報セキュリティ遵守状況
21%
70%
監査等実施方法の協議
12%
60%
0%
10%
20%
30%
定期的な打ち合わせを実施
18%
40%
50%
60%
書面の受領のみ
70%
1%
6%
11%
14%
80%
報告なし
3%
7%
90%
100%
その他
11
4.委託先の管理手段⑤

共同化先における銀行と委託先との役割分担をみると、ほ
ぼ全項目で、委託先が主担当としている割合が高まっている。
▽委託先の役割(共同化先)
(システム運用業務)
今回
92%
前回
8%
76%
0%
委託先主担当
20%
40%
9%
60%
委託先副担当(銀行等が主担当)
80%
15%
100%
委託先は担当外(銀行等が担当)
12
4.委託先の管理手段⑤(続き)
(システム開発業務)
要件定義
設計
製造・単体・結合テスト
総合テスト
運用テスト
今回
14%
前回
7%
56%
今回
27%
96%
前回
3%
67%
21%
今回
前回
3%
83%
今回
6%
77%
前回
17%
73%
今回
15%
76%
前回
委託先主担当
26%
40%
委託先副担当(銀行等が主担当)
60%
1%
12%
6%
12%
18%
63%
20%
1%
12%
96%
0%

79%
17%
6%
12%
80%
100%
委託先は担当外(銀行等が担当)
要件定義について、委託先が主担当としている先が一部に
みられる。⇒金融機関が主体的に要件定義を行うことが重
要。
13
4.委託先の管理手段⑥

開発プロジェクトにおける委託先からの報告状況をみると、
約1~2割の先が、結合テスト以降の工程で、「品質・性能評
価」について、「書面の受領のみ」または「報告なし」としてい
る。⇒委託先と打ち合わせを開催するといった緊密な連携の
もと、金融機関が、テスト結果等を踏まえた品質・性能評価
について十分に確認し、開発作業を進めていくことが重要。
14
4.委託先の管理手段⑥(続き)
▽開発プロジェクト管理
進捗
結合テスト
78%
品質・性能評価
69%
問題・課題管理
進捗
14%
71%
79%
不具合内容・対応策
79%
12%
問題・課題管理
1%
13%
1%
14%
70%
進捗
5%
12%
79%
13%
1%
5%
79%
9%
4%
問題・課題管理
85%
6%
不具合内容・対応策
85%
6% 1%
0%
10%
20%
30%
定期的な打ち合わせを実施
40%
50%
書面の受領のみ
60%
70%
報告なし
80%
7%
8%
7%
7%
8%
88%
品質・性能評価
6%
6%
17%
80%
不具合内容・対応策
移行・
コンチプラン
2%
80%
7%
1% 6%
19%
問題・課題管理
品質・性能評価
3%
13%
5%
6%
3%
13%
80%
進捗
運用テスト
6%
78%
品質・性能評価
3%
18%
76%
不具合内容・対応策
総合テスト
14%
90%
7%
7%
8%
9%
8%
100%
その他
15
4.委託先の管理手段⑦

システム障害等発生時の委託先との役割分担をみると、約2~
3割の先が、「障害復旧にかかる作業内容の決定・指示・命令」
や「再発防止策の承認・指示・命令」を「委託先が主で担当し、
自行職員が協力」または「委託先に全面委託」としている。⇒業
務への影響等を見極めながら、金融機関がこれらを主体的に
実施することが重要。
▽障害管理の役割分担
運行監視による障害の発見 2% 4%
39%
行内関係者への第一報の発信
36%
障害復旧にかかる作業内容の検討 2%
障害復旧にかかる作業内容の決定・指示・命令
24%
障害原因の究明作業 1%
19%
4%
24%
58%
21%
63%
17%
17%
69%
13%
10%
58%
10%
25%
28%
行内関係者(役員を含む)への報告
10%
20%
4%
53%
46%
0%
7%
68%
20%
障害傾向の分析
10%
71%
8%
再発防止策の承認・指示・命令
30%
21%
実際の障害復旧作業 1%
再発防止策の検討
56%
8%
48%
30%
40%
自行職員だけで対応する
委託先が主で担当し、自行職員が協力する
実施していない
50%
60%
70%
6%
80%
90%
100%
自行職員が主で担当し、委託先が協力する
委託先に全面委託
16
4.委託先の管理手段⑧

システム障害の未然防止に向けたシステム性能・容量のモニ
タリングに関する委託先との役割分担については、約1割の
先が、「稼働開始後は、委託先のモニタリングに委ねている」
としている。⇒日々の監視等を委託先に委ねる場合でも、業
務内容や外部環境の変化に対し、十分なシステム性能・容量
が確保されているか、金融機関として評価し、遅滞なく必要な
システム対応を図っていくことが重要。
▽システム性能・容量のモニタリングに関する委託先との役割分担
全体
(自営先)
23%
0%
(共同化先)
10%
66%
20%
46%
30%
40%
11%
0%
50%
9%
60%
70%
43%
80%
90%
20%
30%
40%
50%
100%
11%
77%
10%
8%
60%
70%
2%
80%
90%
3%
100%
自行が主体となって、業務環境の変化を考慮の上で足許の事務量を評価・検証し、委託先に対して閾値の変更等を指示
委託先が主体となって、自行から業務環境の変化に関する情報を取得のうえ、事務量を想定し閾値の変更等を実施
稼働開始後は、委託先のモニタリングに委ねている
その他
17
5.再委託先管理

運用・開発とも、再委託を認める先のうち約4割が、「事前承
認を要していない」、「再々委託に制限がない」としている。⇒
情報セキュリティなど、再委託によって生じるリスクを適切に
洗い出したうえで、必要な対応等を検討することが重要。
再委託を認めている
(運用)
93%
事前承認を要する
62%
再々委託に制限がある
38%
49%
0%
44%
20%
はい
40%
いいえ
再委託を認めている
(開発)
7%
60%
6%
80%
不明・定めなし
100%
93%
事前承認を要する
7%
62%
再々委託に制限がある
38%
53%
0%
20%
はい
41%
40%
いいえ
60%
80%
不明・定めなし
6%
100%
18
6.情報セキュリティ管理①

85%の先が「委託先の情報セキュリティ関連ルールを自行
が確認」、48%の先が「自行の情報セキュリティ関連ルール
の遵守を契約等で規定」している。もっとも、再委託先につい
ては、ルール遵守に関する契約等での規定が22%、自行で
のルール確認が15%にとどまっている。⇒必要に応じ、委託
先による再委託先の管理状況を確認することが重要。
委託先の情報セキュリティ関連ルールを
自行が確認
▽ 委託先による再委託先の
管理状況の確認(概念図)
85%
自行の情報セキュリティ関連ルールの遵守を
契約等で規定
48%
自行の情報セキュリティ関連ルールの遵守を
再委託先との契約等で規定
金融機関(委託元)
管理
22%
管理状況
を確認
委託先
再委託先の情報セキュリティ関連ルールを
自行が確認
15%
管理
その他
6%
0%
再委託先
20%
40%
60%
80%
100%
19
6.情報セキュリティ管理②

牽制・管理手段として、「システムの特権IDは自行職員が管理
する」、「委託先職員による本番システムへの作業の後は作
業ログを自行職員が検証する」、「委託先職員による本番シス
テムへのオペレーション時には必ず自行職員が立ち会う」との
回答は、いずれも3割未満。⇒セキュリティ管理作業を委託先
に委ねる場合でも、金融機関による定期的な監査の実施等に
より、適切な牽制が機能する仕組みを構築することが重要。
IDカード等によるシステム的な入退室管理
97%
監視カメラの設置
96%
立入監査による情報セキュリティ関連ルールの
遵守状況確認
端末等での外部記憶媒体の利用を
システム的に制限している
金属探知機の設置等による外部記憶媒体等の
不正持込・持出の防止
90%
83%
55%
自行の情報管理ルールの周知・徹底
49%
システムの特権IDは自行職員が管理する
24%
委託先職員による本番システムへの作業の後は
作業ログを自行職員が検証する
委託先職員による本番システムへの
オペレーション時には必ず自行職員が立ち会う
委託先職員による本番システムへの作業においては、事前
申請されたコマンドしか入力できない仕組みを構築している
18%
8%
4%
その他
6%
0%
20%
40%
60%
80%
100%
20
7.委託先管理のスキル蓄積・維持・向上①

近年の自行システム要員のスキル変化をみると、共同化先で
は、自営先と比べ、 「システム設計スキル」や 「システム資源
・性能管理スキル」について、「低下」または「担当外」とする割
合が高い。⇒金融機関による十分な関与を確保するためのス
キルの蓄積・維持・向上が重要。
(自営先・共同化先)
自営先
46%
54%
委託先管理スキル
共同化先
66%
自営先
32%
43%
1%
49%
6%
3%
システムプロジェクト管理スキル
共同化先
35%
自営先
58%
31%
1%
63%
6%
3%
3%
要件定義スキル
共同化先
20%
自営先
20%
72%
7%
57%
14%
1%
9%
システム設計スキル
共同化先
3%
39%
自営先
34%
29%
24%
60%
6%
6%
システム資源・性能管理スキル
共同化先
6%
0%
54%
10%
20%
30%
向上
24%
40%
50%
不変
60%
低下
70%
17%
80%
90%
100%
担当外
21
7.委託先管理のスキル蓄積・維持・向上②

委託先管理に関する課題について、自営先と共同化先を比
較すると、運用・開発ともに、ほぼ全項目で、課題があるとす
る割合が自営先よりも共同化先の方が高い。
(自営先・共同化先)
委託先を管理する
自行人材の不足
<運用>
委託先作業内容に対する
自行の理解不足
委託先との意思疎通不足
自営先
34%
共同化先
48%
自営先
52%
6%
94%
共同化先
20%
80%
自営先
3%
97%
共同化先
3%
97%
0%
<開発>
66%
委託先を管理する
自行人材の不足
自営先
共同化先
委託先作業内容に対する
自行の理解不足
自営先
共同化先
委託先との意思疎通不足
自営先
共同化先
業務要件に関する
委託先の理解不足
自営先
共同化先
10%
20%
43%
30%
40%
50%
60%
有
70%
無
90%
100%
90%
100%
57%
56%
44%
9%
91%
18%
82%
3%
97%
14%
86%
23%
24%
0%
80%
10%
77%
76%
20%
30%
有
40%
50%
60%
70%
80%
無
22
7.委託先管理のスキル蓄積・維持・向上③

実施している施策として、「システム要員に対する育成プログ
ラムの実施」(自営先・共同化先)、「自行独自システムの開
発・運用によるスキルの維持」(自営先)、「自行からの委託
先への出向」(共同化先)との回答割合が高い。
(自営先)
システム要員に対する育成プログラム(社内・社外研修を含む)の実施
77%
自行から委託先への出向
54%
自行独自システムの開発・運用によるスキルの維持
77%
共同システム等の共同組織への出向・派遣
3%
ITベンダー等からの中途採用
40%
自行プロパーのスキル分析
31%
定期的なシステム更改を行い、スキルの維持、向上に努める
37%
自行から委託先への実務研修(短期派遣)
23%
外部コンサルティングの活用(開発・ プロジ ェクト管理関係)
29%
ユーザー部門とシステム部門の人事交流
23%
委託先から自行への出向
20%
人事制度の充実(採用基準、人事ローテ ーションの見 直し等)
17%
委託先から自行への実務研修(短期派遣)
14%
外部コンサルティングの活用(業務フロー分析・システム技術面の検討等)
6%
その他
3%
0%
20%
40%
60%
80%
100%
23
7.委託先管理のスキル蓄積・維持・向上③(続き)
(共同化先)
システム要員に対する育成プログラム(社内・社外研修を含む)の実施
61%
自行から委託先への出向
69%
自行独自システムの開発・運用によるスキルの維持
34%
共同システム等の共同組織への出向・派遣
49%
ITベンダー等からの中途採用
25%
自行プロパーのスキル分析
23%
定期的なシステム更改を行い、スキルの維持、向上に努める
20%
自行から委託先への実務研修(短期派遣)
20%
外部コンサルティングの活用(開発・ プロジ ェクト管理関係)
13%
ユーザー部門とシステム部門の人事交流
13%
委託先から自行への出向
14%
人事制度の充実(採用基準、人事ローテ ーションの見直し等)
13%
委託先から自行への実務研修(短期派遣)
7%
外部コンサルティングの活用(業務フロー分析・システム技術面の検討等)
6%
その他
6%
0%
20%
40%
60%
80%
100%
24
7.委託先管理のスキル蓄積・維持・向上④

25%の先で、自行の委託先管理手法や体制(人員数・スキ
ル等)を評価し、必要な見直しを行う枠組みを有していない。
⇒委託先管理を行う上での自行の課題については、組織的
に共有・評価し、計画的に見直しを行うことが重要。
▽管理体制の評価・見直しの枠組み
(枠組みの有無)
75%
0%
20%
25%
40%
60%
有
80%
100%
無
(枠組みの見直し頻度)
10%
0%
72%
20%
年に複数回
3%
40%
60%
年に1回
複数年に1回
15%
80%
100%
不定期
25
8.次期システムに向けた体制整備状況①

現行システムの更改時期を想定している先のうち約8割が、
システム更改に着手する際には、「自行のシステム部門の体
制強化が必要」としている。⇒次期システムへの更改時期を
見据えて、自行のシステム要員のスキルレベル等の現状を
把握し、計画的に体制の強化を図っていくことが重要。
▽現行システムの更改時期の想定
今回
58%
09年
42%
48%
0%
10%
20%
52%
30%
40%
50%
60%
想定している
70%
80%
90%
100%
想定していない
▽システム更改に着手する際の自行システム部門の体制強化の必要性の有無
82%
0%
20%
10%
40%
有
60%
無
80%
8%
100%
その他
26
8.次期システムに向けた体制整備状況②

システム更改に向けて体制整備やスキル維持のために将来
予定している施策を、現在実施している施策との比較でみる
と、現在実施していないが将来予定している施策として、「人
事制度の充実」、「外部コンサルティングの活用」、「自行プロ
パーのスキル分析」を挙げる割合が高い。
▽将来予定している施策と現在実施している施策との差
現在実施している施策の方が実施割合が高い
将来予定している施策の方が実施割合が高い
システム要員に対する育成プログラム(社内・社外研修を含む)の実施
自行から委託先への出向
3%
17%
自行独自システムの開発・運用によるスキルの維持
1%
共同システム等の共同組織への出向・派遣
5%
ITベンダー等からの中途採用
5%
8%
自行プロパーのスキル分析
定期的なシステム更改を行い、スキルの維持、向上に努める
2%
自行から委託先への実務研修(短期派遣)
7%
外部コンサルティングの活用(開発・プロジェクト管理関係)
11%
ユーザー部門とシステム部門の人事交流
7%
委託先から自行への出向
2%
人事制度の充実(採用基準、人事ローテーションの見直し等)
13%
委託先から自行への実務研修(短期派遣)
0%
外部コンサルティングの活用(業務フロー分析・システム技術面の検討等)
4%
その他
-30%
3%
-20%
-10%
0%
10%
20%
30%
27
9.まとめ

以下の点について、金融機関において、必要な改善を図っ
ていくことや実効性向上に取り組むことが期待される。
安定稼働のために重要な管理項目は、委託先との間
での内容の十分な共有、業務や環境の変化に応じた
見直しを行う。
開発プロジェクト管理では、金融機関が主体的に要件
定義を行う。また、テスト工程等における品質・性能
評価も、委託先との緊密な連携のもと、金融機関が
十分に確認する。
障害発生時には、復旧にかかる作業内容の決定・指示
・命令や、再発防止策の承認・指示・命令を、業務への
影響を見極めながら、金融機関が主体的に実施する。
28
9.まとめ(続き)
日々のシステム性能・容量の監視等を委託先に委ねる
場合でも、業務内容や外部環境の変化に対し、十分な
システム性能・容量が確保されているか、金融機関と
して評価し、遅滞なく必要なシステム対応を図る。
再委託については、情報セキュリティなど、再委託に
よって生じるリスクを適切に洗い出したうえで、必要な
対応等を検討する。
委託先の作業体制や情報セキュリティの遵守体制に
関し、定期的に打ち合わせを開催して説明を受けたり、
必要に応じ、現場の確認を行う。また、必要に応じ、
委託先による再委託先の管理状況を確認する。
29
9.まとめ(続き)
セキュリティ管理作業を委託先に委ねる場合でも、金融
機関による定期的な監査の実施等により、適切な牽制
が機能する仕組みを構築する。
システム設計スキルやシステム資源・性能管理スキル
を含む、システムの開発・運用に必要なスキルの蓄積・
維持・向上を図る(特に共同化先)。
委託先管理を行う上での自行の課題については、組織
的に共有・評価し、計画的に見直しを行う。
次期システムへの更改時期を見据えて、自行のシステ
ム要員のスキルレベル等の現状を把握し、計画的に
体制の強化を図る。
30
ご清聴ありがとうございました
本稿の内容について、商用目的での転載・複製を行う場合は、予め日本銀行金融機構局までご相談ください。転載・
複製を行う場合は、出所を明記してください。
本稿に掲載されている情報の正確性については万全を期しておりますが、著者または日本銀行は利用者が本稿の
情報を用いて行う一切の行為について、何ら責任を負うものではありません。
本資料に関する照会先
日本銀行 金融機構局 考査企画課 システム・業務継続グループ
志村、伊藤、中井
tel: 03-3664-4333
email: [email protected]
31