情シス奮闘記 中小企業編
第15回テーマ「企業間データ提携」
2018年5月
“情報流”が企業を覆う――企業間データ提携でセキュリティは大丈夫?
中村和人がこの数年、1人の情シス体制でも頑張ったおかげで、機械部品製造がメインのアミダ社における社内のセキュリティレベルは上がっているように見える。そんな中、部品商社A社との提携話が持ち上がってきた。A社は機械部品などの流通をWebなどのインターネットを軸に促進する企業。江窪社長は「提携すると想定して、セキュリティの懸念事項は解決しといてね」と、今回も中村にまる投げ状態だ。また中村の忙しい日々が始まる。
自社製品をECプラットフォームで販売。アミダ社に取引拡大のチャンス到来
予想される提携の内容はおよそ次のようなものだ。
ある特定の機械部品シリーズについては、競合他社もある中で、アミダ社の品質は国内の取引先では高く評価され、推定シェアも高い。これに目を付けた機械部品商社A社は、以前から「うちのEC(電子商取引)のプラットフォームでも取り扱いたい」と言ってきていた。日本企業の生産がグローバルに広がる中で、Webシステムを通して日本製の高品質部品を手にしたいという企業は国内外を問わず増えている。アミダ社にとっては、従来のチャネルに止まらず、広く顧客を獲得する絶好の機会だ。しかも一度、A社のECプラットフォームに預けてしまえば、受発注や流通まで任せてしまうことができる。中小企業の製品をグローバルに展開する上では重要な提携案件だった。
ただ、そのためには、A社との間で受発注データを共通化して、さらには生産・在庫情報の共有も必要になるかもしれない。これまで、アミダ社製品を欲しいという顧客とは相対取引が中心だったから、極端にいえば、紙の伝票のやりとりだけでも事務はさばき切れたのが、これからはそういうわけにはいかない。システムの共有化にあたっては、情報が第三者に漏れては困るので、そのセキュリティ対策はもちろん重要。A社のセキュリティ基準と同レベルのものを、アミダ社にも求められる可能性が出てきたのだ。
情報セキュリティ対策のすり合わせが課題に
「提携するとすれば、商品受発注データのやりとりをスムーズにするため、両者の情報システムの一部連携を行う必要が出てくるかもしれない、ってことなんだ。A社の企業規模は大きいし、ECの経験も豊富。うちみたいな中小企業のシステムとは規模が違うし…」
総務部の加藤彩の前で、中村はいつになく深刻な顔でつぶやき始めた。
「具体的にはどういうことをしなくちゃならないんですか」
加藤も心配顔だ。
「データの取り扱いに関する守秘義務契約を締結したり、情報セキュリティのポリシーやガイドラインを共有する、ということも必要になるだろう。A社との間で、セキュリティをどう擦り合わせるか。その調整は僕がするしかないんだろうな」
しかし、加藤は話も半ばに、
「そうですか。あっ、でもごめんなさい。今日は女子会の約束があるので、その話はまた明日聞きますね」
と言い置いて、さっさと会社を出て行ってしまった。
一人取り残された中村は、例によって友人のシステムエンジニア、海田大輔を「今夜、一杯どう?」呼び出すことにした。自分の力だけでは、この事業提携にかかわるシステムのセキュリティ案件はどうにも解けそうにないからだ。
EDIプラットフォームは“情報流”の出現でさらに高度化する
「最近、そういう話をよく聞くね。実は中小企業庁が去年から『経営力向上・IT基盤整備支援事業(次世代企業間データ連携調査事業)」における実証プロジェクト』ってのを始めていて、うちの会社も少しからんでいるんだ」
例によってビールの中ジョッキをぐいっとひと飲みしながら、海田は話を始めた。
「へぇ、それはどういうものなの?」
「“EDI”って言葉を聞いたことないかな。日本語でいえば電子データ交換。標準化されたプロトコルにもとづいて電子化された注文書や請求書などをやり取りすること。あるいはこうした受発注情報を使って、企業間の取引を行うこと。言われ始めたのはもう10年以上も前になるけれど、最近はIoTとかAIの最新技術を用いて、この仕組みをもっと高度化するという動きもあるんだ」
例えばと言って、海田が例に挙げたのはこういう仕組みだ。
機械部品やエレクトロニクス部品でこれまで取引関係のある発注企業と受注企業が、共通EDIサービスプロバイダと呼ばれるIT事業者と組んで、その事業者が提供するアプリケーションやプラットフォーム上で商取引を行うというもの。取引量が多い部品業界でのやりとりを電子化することで、情報伝達コストやリードタイムを大幅に短縮することを目的としている。取引情報の電子データ化によって、これまで活用されていなかったデータが活用できるようになり、サプライチェーンの強化も図れるようになるのだという。
「要はこれまで紙やFAXでやりとりしていたのをすべてデジタル化しようということなんだ。現在はまだ一定の地域内にある企業が参加する実証プロジェクトの段階だけれど、将来的には1000社規模の企業が参加して、バイヤー、サプライヤー双方にとって有用になるようにプラットフォームを整備するとしている。こういう仕組みは、輸出業界では貿易手続きの連携、自動車部品業界ではカンバン方式による生産管理情報との連携、大手メーカーと中小の卸・小売業との間では、出荷・仕入、請求・支払までのシームレスな連携による業務効率化など、いろんな業界で進んでいるという話だよ」
「サプライチェーンマネジメントの強化ということを考えると、これまでのようにモノの流れだけでなく、情報の流れを重視しないといけないってことか……」
中村が独り言のように呟くのを、海田は聞き逃さなかった。
「その通りだよ。物流、商流というのは昔からあるが、これからは“情報流”で勝負だよ。まずは情報のデジタル化、次にそれを取引先と共有すること、さらにそうした情報から価値を見いだして、それを業務改善や生産効率化につなげること。IoTやビッグデータの活用も、言い替えれば情報流強化の一環ということになるんじゃないかな」
“情報流”という言葉は、中村は初めて聞いたが、なんとなくイメージは摑めた。
「EDIと言われると難しそうだし、IoTやビッグデータと言われるとまだ先のような話に聞こえるけれど、その第一歩として受発注データのデジタル化や共有化があると考えればいいよ。情報のデジタル化で、商取引の流れを“見える化”する。それを今から始めなくちゃいけないんじゃないかな」
うん、うん、そうなんだ…、と中村は心の中で頷くのだった。
日々のセキュリティ対策をベースに、共有化のポイントを探る
「しかし、情報のデジタル化で商取引の流れを見える化することはいいんだが、今度はデジタル化に伴うデータの漏えいということが、ますます心配になるよな。そのあたりのセキュリティはどう考えればいいんだろうか」
と、中村は海田のグラスに、芋焼酎を注ぎながら聞いた。
「もちろんだよ。でも、まずは自社の情報セキュリティがしっかりしていれば、問題ないんじゃないか。基本はそれぞれの会社の情報セキュリティポリシーの確立、社員教育、PCやモバイル端末の情報漏えい防止対策、取引データへのアクセス権限の明確化など日々のセキュリティ対策がしっかりしていれば、そんなに心配することはないよ。しかも、アミダ社とA社が合併するわけじゃないし、商材の提供も少しずつ始めればいいわけなんだから」
「ただ、取引情報はプラットフォームを中継点としてやりとりされるわけだろう。プラットフォーム側のセキュリティはどうなんだ」
「それは重要だけれど、こうしたEDIの仕組みを提供するプロバイダーは、そのあたりはことのほか気を使っているはずだよ。さっきの提携話の場合は、相手がA社だろう。ここは実証段階じゃなくても、もう実ビジネスとして世界で部品を売っているわけだ。情報セキュリティで事故があったという話は聞いてないな」
「そこはプラットフォームを信頼するしかない、ということか」
「もちろん、万一、事故があった場合の保証体制などはお互いに確認する必要はある。事故が起こりがちな発生ポイント、例えば、取引データを収める社内サーバの管理状況はどうなっているか、取引担当者のノートPCの外部持ち出しは禁止されているかどうかなどは、お互いにすりあわせる必要があるだろうな」
「ウチもその点はしっかりやっているつもりだけれど、A社にセキュリティ体制を点検されて、いろいろ穴を指摘されると辛いかもなあ」
「でも、部品商社という第三者の視点で自社のセキュリティ対策の不備を指摘してもらうのは、いい機会なんじゃないか。そういうことを恐れていてはだめだよ。これからはグローバルにビジネスを拡大しなくちゃいけないんだから、企業間のデータ連携はこれまで以上に進んでいくことだけは確かだ。いずれ、その壁はクリアしなくちゃいけないんだよ」
海田の言葉で、中村は少し元気が出てきた。
セキュリティを小さな企業の中だけで閉じていてはならない。時代の流れに追いつく意味でも、企業間取引の電子化を支えるセキュリティ対策の高度化は不可避だ。今回の提携話をそれに取り組むための第一歩にしようと思うのだった。
翌週、中村は江窪社長と共に、A社との打ち合わせに赴くことになった。社用車に乗り込んだ中村の手元には、アミダ社の情報セキュリティポリシーと具体的なセキュリティ対策の経緯を記した、膨大なドキュメントがあった。この一週間、中村はその作成にかかりきりで、残業時間も多かったのだ。
中村の真剣な眼差しに気づいて、加藤も書類作成の一部を手伝ってくれた。A社には包み隠さず、現状を話して、足らざるところは素直に指摘を受けようという気に中村はなっていた。「人事を尽くして天命を待つ」の心境だ。
情報セキュリティ対策は、どこまでやってもきりがないとはよく言われるが、守るべき情報資産を明確にし、リスク評価を行うことにより、企業としてどこまで対策を行えばよいかの判断は可能だと、中村は考えている。
江窪社長は相変わらずだが、「こういう提携話は、あらためて自社のセキュリティを点検するよい機会にはなるんだな。A社との事業提携話は俺ががんがん進めるからな。セキュリティのことは君に任せたぞ」とは言ってくれた。
いざ、出陣だ。
今回のポイント
- 中小企業の製品が、たとえそれがB to B製品であっても、ECプラットフォームでグローバルに販売されるケースは増えている。
- こうした企業間取引においては、これまでのような紙やFAXでの伝票のやりとりは、電子データに置き換えられようとしている。
- 複数企業が参加する受発注プラットフォームを介した、取引情報や生産・在庫情報の共有化も今後進んでいく。
- こうした流れに乗るためには、これまで以上に個社の情報セキュリティポリシーの明確化が不可欠。
- 企業をまたがっての、セキュリティリスクの事前評価、対策が重要になる。
登場人物
- アミダ社:社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
- 中村 和人:総務部所属。情シスを1人で取り仕切っている。入社11年目
- 江窪 満:アミダ社の社長。2代目だからか、どこかのんびりしているところがある
- 仙道 淳:営業職の社内ユーザー。トラブルをよく起こす社員
- 海田 大輔:外部のシステム会社のSE。中村の友人
- 加藤 彩:総務部の女性社員。陰ながら中村をサポートしている
- 早田 昌司:入社4年目。生産部門と情報部門を兼任しながら、情報セキュリティ専門家への一歩を踏み出す
*文中の氏名・社名はいずれも実在するものではありません
情シス奮闘記 中小企業編
- 第1回 テーマ「セキュリティ教育」
- 第2回 テーマ「サイバー攻撃」
- 第3回 テーマ「SNS利用編」
- 第4回 テーマ「改正個人情報保護法」
- 第5回 テーマ「働き方改革」
- 第6回 テーマ「ランサムウェア」
- 第7回 テーマ「シャドーIT」
- 第8回 テーマ「BYOD」
- 第9回 テーマ「IT資産管理」
- 第10回 テーマ「顔認証」(前編)
- 第11回 テーマ「顔認証」(後編)
- 第12回 テーマ「IoT」(前編)
- 第13回 テーマ「IoT」(後編)
- 第14回 テーマ「サイバーセキュリティ経営ガイドライン改訂」
- 第15回 テーマ「企業間データ提携」
- 第16回 テーマ「セキュリティ人材育成」
- 第17回 テーマ「OS移行(Windows 10)」
- 第18回 テーマ「ビジネスメール詐欺」
- 第19回 テーマ「Webサービスからの個人情報窃取」
- 第20回 テーマ「内部不正」
- 第21回 テーマ「無線LAN」
- 第22回 テーマ「メール誤送信」