要求事項を示さなかったことによる結果責任は発注者にある

建物の耐震構造設計の偽造問題が取り上げられているが、そこから学ばなければならないことがある。
そして、学んだら、自分にできることが何かを考えなければならない。

建設業界に関係しない者も、この問題を狭くとらえずに、自分が何を改善するかを考えるべきだ。

何か社会的な問題があれば、そこから「自分は何をできるか」を考えようということを、
「バカな行政、バカな報道、バカな国民では再発は防げない」
で述べた。

今回、耐震構造設計偽造問題から何を学ぶべきかを考えてみる。

●学ぶべきこと

この問題には多くの原因があるが、もっとも単純化すると以下のようなことが言える。

・発注者が受注者に丸投げすることは無責任意識の温床となる。

丸投げ関係は、人の意識にとても悪い影響を与える。
もしも丸投げしたことに対して、事故が発生した場合に、発注者は受注者のせいにし、受注者は発注者のせいにすればよいと思い始めるかもしれないからである。
このことは、発注者と受注者双方の利害関係が一致した場合に最悪のシナリオとなる。
双方が互いに、事故の発生を予測できたとしても、そのことについては双方とも触れずに済ませることができてしまう。
耐震構造設計書の偽造事件では、被害者の救済のために税金が使われるしかないが、多くの人は、そのことに釈然とはしていないのではないだろうか。
この場合、そこに悪事があったことは確かと思われるのに、その責任の所在がはっきりしない。そして、責任所在が不明なので、その悪事の被害者が救済されるためには、まずは税金を使うしかないだろうということを理解せざるを得ない。納得できないが理解するしかない。ということが、モヤモヤ感を生むのかもしれない。

ここで注意深いのは、検査機関というものがうまく機能しなかったことだろう。
しかし、そのことは自明とも言える。
「事故の発生を予測できたとしても、そのことについては双方とも触れずに済ませることができる」状態においては、検査機関は経済的に機能しないことが十分予想される。

結論だけ先に書けばこんなかんじだ。

・検査の合格証書をもらうことだけが目的化したとき、民間による検査は正しく機能しなくなる。

本事件でも、検査機関は、「あそこは審査が厳しいと思われたら、ビジネスに悪影響が出る」ということを懸念した。このことは、「審査の甘い機関」がひとつでもあれば、多くの機関が「あまい審査」をすることについて、拍車がかかるのは経済原則として当然だ。
検査機関は、「検査をする場」であるが、そこで検査を受ける側からの視点でいえば、「合格をもらうための場」になる。その場で検査機関を民間ビジネスとして運営すれば、「合格を与えるビジネス」というビジネスモデルになるのは当然のことだ。

自動車運転教習所を考えるとわかりやすい。
非常に安全な運転を指導してくれるが、それを完璧にマスターするまで、かたくなに合格させてくれない教習所に、「客」は集まるだろうか。そこに集まる客は、本来の目的は「安全な運転を習得する」ことではあるが、実際には、「合格証書をもらう」ために教習所に通うことになる。
このとき、「すぐに合格証書をくれる教習所」が出現したらどうなるだろうか。
そこでは、「安全な運転を習得する」ことができないから、「客」は来ないのだろうか・・・それはないだろう。
「合格証書さえもらえばよい客」が集まる。ことによっては、安全な教習所より繁盛してしまうかもしれない。
しかし、実際の教習所ではそうならないだろう。色々な理由が考えられるが、少なくとも２つの側面がある。
教習所にとっては、安易な合格乱発をしたくとも、「合格証書を与えるための条件」が細かく規程されているからそうはできない。
また、受講者にとっては、「あまりに何も教えてくれないのでは、実際に運転もできない」ことになるし、「安全な運転を習得する」ことができないのは、自分の不利益となる。
そして、最終的な運転免許証は、試験場で合格しなければ入手できない。そのため、いい加減な教習所の授業では合格率が確保できないことになり、その評判はビジネスに不利益となる。試験場で合格するように、ちゃんとした学科教習を少なくとも実施しなければならない。
これらの環境によって、合格証書を乱発する教習所は、ビジネスとして成立しないのだろう。

今回の耐震構造設計の検査については、「合格証書を与えるための条件」が見直されることになるだろう。
しかし、その検査だけに頼るのは現実的ではない。
「ちゃんとした検査を受けたい」という意識と、「ちゃんとした検査をしないとビジネスが成立しない」というシステムが全体として構成される必要があるのだろう。
このとき、「ちゃんとした検査を受けたい」という意識には、それなりの覚悟が必要だ。
ちゃんとした検査を受けるためには、そのための費用も手間も必要だと、居住者は認識しなければならない。
そうしなければ、安全性の欠陥に気づいてもそれに触れずに済ませることができる状態では、検査だけですべてを管理するのには限界があるはずだ。
この問題の解決のために、どのような検査の仕組みができあがるのかは、とても興味深い。

と書いてきたが、これは他山の石だ。
本題の、「自分は何ができるのか？」について考えてみる。

●自分ができること

「建設業界にいない自分には関係ない」という発想は、「自分は何ができるのか？」をさぼる言い訳にはならない。
この場合、これと同種の問題が自分の環境の中にないかを考え、その問題について考えることこそが、「自分は何ができるのか？」を考えることになる。

先に述べたことを繰り返すと以下のとおりだ。

・発注者が受注者に丸投げすることは無責任意識の温床となる。
・検査の合格証書をもらうことだけが目的化したとき、民間による検査は正しく機能しなくなる。

もう、多くを書く必要はなさそうだ。

ＩＴ業界において、情報セキュリティ対策はまさに、以下の状態といえる。

・受注者に丸投げ
・認証取得が目的化

しかも、建設業界よりも始末が悪い。
おそらく、耐震構造設計の偽造をした人達は、耐震強度が弱くなり、そのことはよいことではないことだとわかっていたし、その強度は本来高めることは可能だが、コストを下げて利益やビジネス機会を増やすために「悪いことをしている」という意識はあったはずだ。
情報セキュリティ業界というのは、たちが悪い。
「情報セキュリティに完全はない」を声高々に掲げてビジネスをしているのだ。
こんな業界は他にないだろう。
「情報セキュリティに完全はない」と言いつつ、認証制度があるという矛盾についても、解決しないまま、合格証書が次々と出されている。
いまのところの救いは、まさに、証書をもらいに行く側が、「実際にちゃんとした対策にしておきたい」という動機付けが大きいことだろう。
しかし、この後、「合格証書の取得」ばかりを推進すれば、認証取得が目的化することになる。

さて、「自分にできること」は何か。

『発注者が具体的に要求事項として示さなかったことが原因で問題が生じた場合には、その責任は発注者自身にあるという意識を持つこと』を具現化することだろうと思う。
それを２つに分解すると以下のようにすることができる。

・ＩＴ構築の委託先に対して、単にＩＳＭＳ認証取得を強要しない。
→認証取得を相手に示させるのではなく、情報セキュリティ対策の要求内容を発注者が具体的に示す。
・ＩＴ構築の受託者は、具体的な要求内容も示されていないことに無責任に合意しない。
→「十分な対策を講じること」のような抽象的なことは、業務委託として確約できないはずだ。確約もできないことに合意するのは、事故が発生したときに責任不在を生じることになるということの重大さを自覚すべきだ。

その昔、「なるべく停止しないこと」というような抽象的な要求では適切な情報システムを構築することができないことを経験してきたはずだ。いまは、計画停止時間と計画外停止時間などを具体的にＳＬＡ（サービスレベルアグリーメント）で定めているはずだ。ＳＬＡなくして、「なるべく停止しないこと」という契約が無意味であるように、セキュリティ対策についても、発注者と受注者間で具体的な内容について審議し合意する必要がある。
そのような合意をちゃんとすることは、両者にとって責任を明確にすることになってしまい、自らの足かせとなる。
足かせを作らなければ、事故が発生してしまったときに、事故原因そのものについて、両者がともに言い逃れることができるように思うかもしれない。そのため両者とも、それをうやむやにしておきたいという衝動に駆られるかもしれない。
しかし、それでは、両者とも、説明責任を果たせず、再発防止策も立てられないということになる。
いまや、そんなことは社会が許してくれないということを、耐震構造設計書偽造事件で知ったはずだ。

下請け会社に対して、発注する業務個別に要求事項を定めていないようなＩＳＭＳ認証を取得させるというのは、まったく無意味であることを正しく認識すべきだ。ましては、単に会社としてＩＳＭＳ認証を取得しているかを確認するというのは、発注者における情報セキュリティ対策との依存関係はない。
下請けに出した発注業務プロジェクトについて、発注者が情報セキュリティ対策の要求事項を定めた上で、プロジェクト個別にＩＳＭＳ認証を取得するのならば大変有意義だ。
そのとき、要求事項を達成しなければ、下請けの責任であるし、要求事項に不足があれば、発注者の責任であることが明確になる。ただし、その場合には、そのための相当のコスト請求を覚悟しなければならない。
下請け企業に情報セキュリティ対策を自立させようとするのは、最善ではない。発注者が、下請け企業に対する監督責任を果たすのがあくまで基本だ。
すなわち、『発注者が具体的に要求事項として示さなかったことが原因で問題が生じた場合には、その責任は発注者自身にあるという意識を持つこと』が重要だ。契約というのはそういうものだ。
「後はよきに計らえ」では情報セキュリティ対策の当事者意識は、どこにも生まれない。
「後の責任は全部下請けが取る。という契約を締結すること。」を、発注者の監督責任だと説明するＩＳＭＳ審査員がいるという話をときどき耳にする。それは契約リスクの軽減策のひとつであって、監督策とは無縁のことだ。

以上のような説明をすると・・・
『示さなかった要求事項による結果責任は発注者にある』ということを局所的だけにしか考えることができない人にとっては、発注者責任ばかりが増大するように思うかもしれない。しかし、そのことで得られる経験を広く共有していく仕組みを作ることができれば、ある時間と空間の範囲では、発注時要求事項が改善され、受注者による対策が改善・向上していくはずだ。
短期的・局所的にだけ解を求めようとすれば、それを得ることはできないことが予想される。
あるレベル設定により、それが時間と共に「より改善される」という仕組みをちゃんと作りこめれば、最初に設定したレベルが少しくらい低くてもよいはずだ。
いまは、最初から高いレベルを求めようとするあまりに、時間を浪費してしまい、結果的にレベルが高まらないというジレンマに陥っているように思う。
言い換えると、「その対策は３年かかるのでは長い。１年でできる対策を考えよう。」と言って、３年間考えているとしたら、「３年前に３年間でできる対策に着手していれば、もう対策できていたはず」ということになる。いまは、あまりに短期的に解決しようとしすぎている試みが散見される。
人は責任を感じれば、それを全うしようとするものである。と考えることによって、責任の所在を明確にすることによって、人が物事を改善していくことに期待してもよいのではないだろうか。
それが、ＰＤＣＡの本質ではないだろうか。
ＰＤＣＡは、人によって回されるもの。人にしか回せないものだ。
あまりに人から離れたところで、解決策を求めるのはもうやめたほうがよい。

情報セキュリティ対策の責任について、誰がどの部分をどうやって持つのかを、改めて考えるべきときだ。