PCネットワークの管理活用を考える会/クライアント管理分科会,大阪座長の柳原です。あっという間にこのコラムも10回目となりました。これからも、分科会活動を通じて筆者が感じたり、考え込んだりしたことをお話していこうと思いますので、お付き合いのほどを。
さて、2005年も終わろうかとしている時に、11月に発覚した耐震強度偽装問題は世間を驚愕させました。被害に遭われたマンション住民の皆さんが、この年の瀬をどんなに不安に過ごしておられるかと思うと、構造計算を偽造した建築士、その計算内容のチェックが甘かった検査機関、その内容を知りながら施工した人々に対して、怒りを禁じ得ません。誰が問題の責任を負うべきなのかが、早急に明らかになって欲しいと思いますし、同時に再発防止策が誰しも納得できる方法で作られて欲しいと思います。
また、筆者がこの原稿を書いているその日に、金融庁の企業会計審議会が、日本版SOX法の基準案を公開しました。正確には「財務報告に係わる内部統制の評価及び監査の基準のあり方について」という文書です。企業の情報システムに係わるIT関係者は、既に日本版SOX法への対応については検討を開始していると思います。
この二つの話題の根底には、共通する問題があるように思えてなりません。今回はそのあたりを考えてみましょう。
耐震強度偽装問題に関する報道を見る限りでは、なんともやりきれない気分になる点があります。それは、構造計算の偽造に関係した人々の発言が、一般的な消費者の感覚から、まったくずれてしまっているということです。
偽装されたマンションの住人の方々にとっては、ひとたび大規模な地震が起これば、自らや家族の命に関わる問題なのです。同時に多額のローンなど、それぞれの人生設計にも関わる問題です。
ところが偽造に関係した人々の口から出てくる言葉をみていると、あくまでもマンションというものを「商品」としか見ていない。売ったら終わりです。今回は、建築確認を行った自治体や国交省も絡んでいるために、問題が面倒になっているように見えますが、根本の原因は、構造計算結果を偽造したり、偽造を迫ったりした行為にあります。ここには、ばれなければいいという卑しい精神が充ちています。
似たような話は、個人情報保護の問題にもありました。入手した個人情報を売買しようとしたり、不正な目的に使おうとする人々は、その情報を商品や道具としか見ていない。売ったり、不正に使ったあとに何が起こるのかなどという問題は、彼らにとっては些細なことなのです。
こうした、私たちの感覚からでは理解できないような行動をとる人々の事を、私たちは一般に「信用できない人(または法人)」と呼びますが、今回の事件によって、建築業界は相当信用を失ったでしょう。正常な感覚を持っている人なら、今回の事件以降、建築業界から提出されてくる書類や、施行内容そのものに対して、基本的に疑ってかかるはずです。
建築という仕事の中の下流であった建築現場で、手抜き工事が行われたなどという話は昔からあります。今回は、最上流に近い設計段階すら信用できなくなったのですから、これではもう、建築業界は何も信用できない、と考えてしまうのも無理はありません。この不信感を払拭するために、建築業界は今後、膨大なコストを負担する必要に迫られそうです。案外、IT業界に仕事が流れてくるかもしれませんね。
しかし、今回の事件を通じて、建築業界だけが信用できないなどとは誰も考えていないと思います。特にコンプライアンス(法令遵守)を検討した経験のある人なら、組織の中で証拠の偽造が多発しており、それが大和銀行やカネボウの事件の根底にある問題だという事を知っています。社内でさまざまなチェック機能を作り、内部統制のルールを作っても、チェックする証拠となる文書が偽造されていたのでは、チェックのしようがありません。
これは、IT系の技術者であれば、次のような例えがわかりやすいかもしれません。業務システムでは通常、データの入力画面ではデータの整合性について多面的なチェックが行われます。マスターテーブルとの照合、数値や文字の妥当性チェックなど、考えられる限りのチェックがプログラムに組み込まれます。しかしそのデータが、データベースに保存された後で改竄されたとしたらどうでしょう。この改竄がチェックされるチャンスはあまり多くありません。また,その改竄データとうまく対応するように、他のデータも改竄されてしまえば、その発見は相当遅れるはずです。つまり、なかなかばれないでしょう。
問題の根底はここにあると思います。ばれなければ何をしてもいい、という風潮には楔が必要です。
そのためには、単に人手によるチェックや監視を強化するのではなく、そのための仕組みを考えなければなりません。チェックや監視にはコストがかかります。それをうまく抑えながら、不正がすぐにばれる仕組みが必要なのです。
例えば、オープンソースソフトウェアの思想は、ソースコードを公開することによって、良い意味での相互監視が行われている良い例でしょう。もちろん誰もがソースコードを読めるわけではありませんが、「誰かが読んでいる」という状態が、自律的に良いソフトウェアを生産する後押しをしていることは間違いありません。私のこの原稿をとっても、Web上で誰でも読めます。もちろん全員が読むわけではありませんが、この状態で私が嘘八百を書きまくることはできません。もしそんなことを書いたら、きっと翌日から私は失踪していると思います。二度とインターネット上には姿を現さないことでしょう。
今回の耐震強度偽装問題において、構造計算における入力データと計算結果について、公開できるものであるかどうかは筆者は知りません。しかし、もし公開することが義務つけられていれば、今回のような偽装事件は起こりにくかったのではないでしょうか。
企業内情報のような公開できない情報であれば、内部でその偽造が行われないよう電子証明書をつけたり、帳簿や伝票のハッシュ値を別に保存するなどの手段が必要でしょう。そうすれば、帳簿や伝票の偽造が行われても、後に容易に発見されることになります。つまり、すぐに偽造がばれるのです。こうした仕組みの導入が、今後は求められるのだと思います。
おれおれ詐欺のおかげで、消防署や病院が事故で運び込まれたけが人に代わって自宅や実家に電話をすると、信用されなくて困っているそうです。電話には、電話番号を表示する機能はありますが、その電話が誰からのものなのかを簡単に証明してくれる機能が無いからです。このために電話による詐欺事件もなくなりません。
改竄や偽造そのものを技術的に防止する方策を検討するのも良いのですが、技術は技術によって破られるのが常です。よって、それに加えて「すぐにばれる」仕組みの導入が必要なのです。
これからは、何が信用できるのか?不正が行われていないか?をチェックするためのコストが増大する社会になっていくでしょう。そして、そのコストをいかにして低減していくのか、という問題に応える技術や、信用の担保、社会の仕組みを考えていくのが、これからのビジネスチャンスにつながっていくように思います。
パーソナルコンピュータとの付き合いは1979年のNEC社製PC-8001から始まっています。
1985年から当時はオフコンと呼ばれていたIBM社のシステム36を使って、機械製造メーカでの社内用生産管理システムの構築に関わりました。言語はRPGでした。
1990年ごろから社内にパソコン通信やLANを導入してきました。この頃からネットワーク上でのコミュニケーションに関わっており、1993年以降はインターネットとWindows NTによる社内業務システムの開発、運用を行ってきました。
1996年からはインターネット上でのコミュニティであるNT-Committee2に参加し、全国各地で勉強会を開催しています。
http://www.hidebohz.com/Meeting/
1997年からはIDGジャパンのWindows NT World誌に「システム管理者の眠れない夜」というコラムの連載を始めました。連載は既に7年目に突入し、誌名は「Windows Server World」に変わっていますが、読者の皆さんに支えられて今でも毎月、締め切りに追われる日々が続いています。
連載から生まれたメーリングリストもあります。ご参加はこちら。お気軽にどうぞ。
Copyright 2005 Hideki Yanagihara All Right Reserved
