イケてる環境のWEB系の労働生産性がイケてないSIerのたった三割しかない件
久しぶりの更新。一度ブログ書くの面倒になると、とことん書くのが面倒になるもんで。
【Web系最高って言うけど本当なの?】SIから転職したエンジニア達に聞いてみた - paiza開発日誌
まあ、いつものPaizaのWebアゲSIer Disの記事なわけなんですが。。。
最近、どうでもよくなって放置していたものの、いろいろ誤認している人が増えていそうなので、改めて問題点指摘しておきますか。ブコメ見るとSIer側の反論も欲しそうだし。
とはいえ、開発環境の話はわきに置いて、別の観点を中心とした内容となります。
イケてる環境のWEB系の労働生産性は、イケてないSIerのたった三割
http://www.soumu.go.jp/johotsusintokei/linkdata/ict_keizai_h28.pdf
上記は総務省が毎年公開している「ICT の経済分析に関する調査 」の資料です。
大体10年前からIT業界の動向などが分析されている資料で、業界動向にかかわる人間なら一読しておいたほうが良い資料だったりします。
で、この資料ってずいぶん昔から公開されているので、みんな知っているものかと思いきやPaizaの記事やブコメ見るに案外知られてないような気がしてます。
このPDFは平成27年度版。現時点の最新版です。
P.64を参照してもらえると、IT業界内の各業種ごとの労働生産性が記載されてます。
ITにかかわるすべての業種の労働生産性が記載されており、見づらいので、SIer(便宜上情報サービス業*1)とWEB系(インターネット付随サービス業)を抽出したグラフを作成するとこんな感じとなります。
まあ、見ての通りなんですが、WEB系業種の労働生産性は2007年をピークに下がり続け、現時点では293万円となりIT業界で最低、半面、SIerの労働生産性はリーマンショックの影響を受けてピークを打ち、現在は992万円。
アジャイルを使い、GitHubを使い、各種ツールを使い内製をしてるWEB系は、ウォータフォールを使い、SVNを使い、Excel方眼紙で多重請負構造のSIerと比べ、労働生産性がたった3割しかない状態です。
労働生産性の全業種・IT業界全体への寄与度では直近マイナスをキープし続けている状態。いわば、日本の労働生産性の足を引っ張っている状態です。
よく、Paizaなんかでは「Web業界は知的集約産業。SIerは労働集約産業」なんて言ってたりします。この知的集約産業ってのは、「高い知的生産を持って、労働力を用いた労働集約的な側面も持ちつつも高い労働生産性を持つ産業」なんて言われたりするわけで、労働生産性は「労働サービス産業<知的集約産業」という関係性を持つことがあります。
SIerは全産業平均よりも高く、知的集約産業の面目を保っているわけですが、WEB系は労働生産性を見ればほぼ労働集約産業といった水準。小売業(349万円)以下、飲食業(262万円)や医療・福祉・介護業(291万円)と同等水準。屋台で焼きそば焼いていたりするのと生産性に大差ない。
なぜWEB系は生産性が低いのか
はてなのテクノロジーカテゴリみていると、このPaizaを筆頭にWEB上げ、SIer DISの記事やブコメばかりで、まっとうなWEB系の生産性の低さを分析・問題視している記事を見た記憶がありません(見落としているだけかもしれないけど)。
WEB系の外部から見たなんとなくの風景です。憶測なので、ここはぜひともWEB系の人からの分析・意見がほしいなあ。
せっかく、前述のとおりWEB系は開発環境がイケているそうなので、そこからざっくり考えると
- 「イケてる」WEB系の開発環境がほんとはイケてない(生産性を下げている)
- 開発環境はイケているけど、それに余りあるほどウェブエンジニアの能力が低い
- そもそも、業界自体のビジネスがイケてない
ってのが予想されます。
ただ、よく考えてみると、開発環境についてはたまに「かえって生産性下げているよな、それ」みたいなものを見かけることがあるものの、SIerとくらべ著しく労働生産性を下げる要因には見えない。
ウェブエンジニアの能力についても、従業員教育に金渋っているな~って見える場面がしばしばあるものの、SIerから転職した人間もいるし、著しく労働生産性を下げる要因には見えない。
となれば、業界自体がイケてないんじゃないだろうか、と予測できる。
ざっくりとだけ言う*2と、WEB系はプログラムを作成する開発生産性が高いものの、ユーザが金を払ってでも使いたいと思わせるような付加価値の高いプロダクトが作れてないのが原因じゃないのかなって気がしてます。開発生産性ばかり高めることに目を向けるあまり、過剰生産となり、例えばあるヒットサービスが出たら雨後の筍のように類似サービスが出現するなど、顧客を食い合って互いに付加価値を削りあっているレッドオーシャンに見えたり(いわばウェブサービスのデフレ状態)。
結局のところ、業界をマクロでみてみれば
「SIerのプロダクトは、ユーザが高い金を払ってでも欲しがる故にどんくさい」
「WEB系のプロダクトは、無駄なく・素早く・大量故に付加価値は限りなく低い」
っていう対比関係にあり、プロダクト特性をあまり理解せず開発生産性の一点だけを持ってSIerはイケてないって言っているような気がします。
高い付加価値を得るために、法、契約、資産効率などの理由からあえて今現在の開発スタイルをとっている部分を「非効率」といったりとか。
「日本のエンジニアの地位を上げるというサービスとしての目的」
元記事では、「日本のエンジニアの地位を上げるというサービスとしての目的」なんて記載しているわけだけど。。。
でも、イケてないSIerの特定企業をあたかも業界全体みたいな感じで適当にDisって、一部の事例でWEB業界がイケているようにごまかし、労働生産性が著しく低いWEB業界で優秀なIT技術者を使いつぶそうとするのって、本気で「日本のエンジニアの地位を上げる」って考えているのだろうか。
よその業界をDisって悦に入っている暇があるなら、まずは、WEB業界の労働生産性の低さに向き合って、きちんと知的集約産業として誇れる水準に持っていけるよう、ユーザへの付加価値を高めることを努力することじゃあないのだろうか。
もちろん、イノベーションを達成するためには、投資として一時的に労働生産性が低い時期があっても仕方ない。ただ、それがもう10年近く続けば、そろそろイノベーションのための投資とも言ってられない状況。
現在は、アベノミクスなどの金融政策もあり、資金余りがWEB業界に集まっていると思います。なので、労働生産性が低いにもかかわらず、飲食業などと比べればそこそこ良い待遇となっていると思います(確か、平均だとSIerの3割減ぐらいだったはず)。サービス業の労働分配率が50%程度といわれることから、SIerが大体妥当な給与水準で、WEB系は相当高い下駄をはいた状態と認識しております。
言い換えれば、イノベーションがいつまでも生み出せないと判断され投資意欲が落ちたり、金融政策が緊縮に転換したりして資金流入が滞れば、たちまち待遇が激減する恐れだってあるわけで。
それが表れたのが、過去のITバブル。米国のインターネット業界が、過剰生産、過剰投資となった挙句、利上げを契機に過剰な期待がしぼみ一気に不況となったのが、2000年代前半の話。
現在の米国IT業界もバブルの再来で過剰投資では、という声はしばらく前からちらほら聞こえてきているものの、利益や付加価値は依然と上昇しており、投資に見合った成長を続けているという声もあり、バブルではないという反論も聞こえる感じ。
翻って日本は?
上場ゴールみたいな期待ばかり先行し実力が伴わないウェブ企業が頻出してないだろうか?
開発技術を追うばかりで生産過剰となって互いの首を絞めてないか?自らの首を絞めてないか?
過剰投資とならないよう、自転車操業的な売り上げの拡大だけでなく、利益・付加価値額を成長させているだろうか?
ITバブル越えの日経平均株価となった現在、バブルの芽は発芽してないだろうか?
まとめ
しばらく前、たまたまだけど新卒でとあるWEB系企業に就職した女性の話を耳にする機会がありました。
深夜遅くまでの長時間労働、頻繁な休日出勤、ろくな研修もせず半強制的な時間外勉強会。。。SIerでも激務と呼ばれる会社で働いたおっさんでもさすがにドン引きする水準の労働環境で、ぼろぼろとなった見た目から相当疲弊しているのは明らか。
でも、その女性曰くその会社では「SIerよりもうちのほうがマシ」なんて言い訳をしている。
傍から見たら何を寝言をといったレベルでも、当事者の女の子からしたらそんなことはわからない。
その女性の姿が、ちょうどこの前の電通の過労自死問題で亡くなってしまった女性のTwitterで記された姿に重なってしまい、ついこんな記事を書いてしまった。。。
WEB系の中の人でないおっさんが書いたところで正確性を欠くし、人によってはDISりにしか聞こえないと思うし。。。あまりよくないのはわかってはいるものの、書かずにはいられなかった。
彼女は大丈夫だろうか。。。。
前述のグラフのように、SIerの職場は労働生産性は20年前の1.5倍に上昇したし、残業の扱いも厳しくなって総労働時間もぐっと減った。でも、まだまだ改善の余地はある。腐ってる企業もまだまだ多いし、Disりたくなる気持ちもわからなくはない。
だからと言って、WEB系の環境が最高か?ってのははなはだ疑問。
というか、ブコメなんかでもちらほら見かけるけど、他業種をDisることで自業種を相対的にアゲようとしている言説が当たり前のようにネットに流れている時点で、その業界ってまともなの?って思える。
繰り返しになりますが、前述のようなWEB業界の状況も鑑みずに能天気にWEB上げ、SIer Disを繰り返しているPaizaは本気で「日本のエンジニアの地位を上げる」って考えているのだろうか。
本気でエンジニアの地位を上げることを考えているのであれば、先述の女性のような労務状況を改善できるよう、米国のようにエンジニアがバブルの露と消えないよう、まず自分らの足元をきちんと見てほしい、と切に感じるわけです。
以上
- 作者: エドワードチャンセラー,Edward Chancellor,山岡洋一
- 出版社/メーカー: 日経BP社
- 発売日: 2000/04/07
- メディア: 単行本
- 購入: 8人 クリック: 90回
- この商品を含むブログ (22件) を見る
IT技術者の視点で見たホワイトカラーエグゼンプション
しばらく前の記事ですけど、上記の記事の感想を書いておこうと思っていたのでした。
裁量労働制からどう変えるのか?
そもそも、システムエンジニア自体、既に裁量労働制の対象なわけで。
所定時間内在業代は36協定で労使合意がとれていれば出ない状態なわけでして。
正直ホワイトカラーエグゼンプション(以下WE)の対象にする必要ないんじゃないかな、と思っているのですが、どうやら労働政策審議会では思惑が違うようです。
一定の年収要件を満たし、職務の範囲が明確で高度な職業能力を有する労働者を対象として、長時間労働を防止するための措置を講じつつ、時間外・休日労働協定の締結や時間外・休日・深夜の割増賃金の支払義務等の適用を除外
労働政策審議会 (労働条件分科会) |厚生労働省 資料より抜粋
上記の記載内容を見るに、裁量労働制との違いは「所定労働時間外労働」の取り扱いの違いみたいですね。
現在の裁量労働制でも、深夜など、所定労働時間外の労働については残業代として割増賃金が支払われるんですけど、それがなくなる点が違いとなる模様です。
システムの仕事していると、夜間立会などざらにあるわけですけど、別に自分の意思で行っているわけではなく、お客の業務都合といった半強制的なモノがほとんどなわけで、ぶっちゃけ自己の裁量で進めるものじゃあ無いと思うんですよね。
殆どの場合会社都合なわけなので。
それを、自己の成果のための自由の働き方のために制限を無くすってのはちょっと違う気がするんだけどなあ。
IT技術者の適応範囲
ところで、元記事では「労働時間規制の除外、IT技術者も対象」なんて記載がありますが、労働政策審議会の資料を見るに、プログラマは適応除外になるんじゃないかな、なんて気がします。
(2) 情報処理システム(電子計算機を使用して行う情報処理を目的として複数の要素が組み合わされた体系であってプログラムの設計の基本となるものをいう。)の分析又は設計の業務
「情報処理システム」とは、情報の整理、加工、蓄積、検索等の処理を目的として、コンピュータのハードウェア、ソフトウェア、通信ネットワーク、データを処理するプログラム等が構成要素として組み合わされた体系をいうものであること。
「情報処理システムの分析又は設計の業務」とは、(i)ニーズの把握、ユーザーの業務分析等に基づいた最適な業務処理方法の決定及びその方法に適合する機種の選定、(ⅱ)入出力設計、処理手順の設計等アプリケーション・システムの設計、機械構成の細部の決定、ソフトウェアの決定等、(ⅲ)システム稼働後のシステムの評価、問題点の発見、その解決のための改善等の業務をいうものであること。プログラムの設計又は作成を行うプログラマーは含まれないものであること。
厚生労働省基準では、「概要設計・要件定義」「外部設計・内部設計」「システム運用・保守」に該当する業務を担当するエンジニアは自己の裁量で仕事を行うことが出来ると判断してます。
そして、WEの検討資料を読んだ感じ、裁量労働制を改善しつつ、WEを導入するみたいな記載から推測するに、現在の裁量労働制対象職種から、年収基準が適合する職種が対称となるような形かな、との印象を受けました。
ざっとまとめると以下の表の様な感じかと。
| WE | 裁量労働制 | 通常労働 | |
| SE(年収1075万円以上) | 対象 | 対象 | 対象 |
| SE(年収1075万円未満) | 対象外 | 対象 | 対象 |
| プログラマ | 対象外 | 対象外 | 対象 |
ところで、昨年某社のブログだっけか、「SIerのプログラマは言われたままにプログラミングするだけで労働集約的。WEBプログラマなら自分でサービスを考えながら創造性を持ってプログラミングできる知識集約だ」とかって主張をさんざん見た記憶があります。*1
今までは裁量労働制でもなく、WEの対象とならなかったプログラマも、厚生労働省のあまりIT業界の労働実態に詳しくないお役人あたりが変に唆されて、「裁量を持って仕事が出来るんだし、WEや裁量労働制の対象にしてもいいよね」なんて変更されたりする可能性も0ではない、かも。
グレーゾーンで名ばかりSEで裁量労働制*2にしていたのが、大手を振って裁量労働制にできて経営層は大喜び、とか。
ま、そこまで変更にはならないか。
多分、現状通り対象外でしょうけどね。
そんなこと考えながらpaizaの求人見たら
勤務時間帯は基本的には固定されず出勤・退勤の時間は自由に決められる裁量労働制のIT/Webエンジニア、プログラマ求人情報です。
名目だけ、だよね。。。
まとめ
色々書いてみたものの、正直、既に裁量労働制なので、WEに変更したとして多分給料も変わらないだろうし、あまりメリットが見えないんだよなあ、って思います。
夜間立会の残業代も出なくなりそうだし。
裁量労働制からWEに変わったことでメリットを感じるIT技術者は、どんな人なのだろうか。。。
ぜひとも、モデルケースを見てみたいものです。
以上
40歳年収が高い会社ランキング(IT関連業界抽出版)
最新版!「40歳年収が高い会社」トップ300 | ランキング | 東洋経済オンライン | 新世代リーダーのためのビジネスサイト
持株会社が含まれてたり、従業員数が入ってなかったりするのでイマイチぴんとこなかったので、IT業界を中心に抽出してみました。
分析に入る前に
抽出条件としては以下のとおりです。
- 東洋経済オンラインに掲載された1~300位の企業
- 情報通信業、及びサービス業でWEBサービスを中心に行っている企業
- 持株会社は除く(やっぱり知りたいのは一般従業員の給与ですし)
- 情報通信業でも、メディア、広告代理店は除く(非IT業界)
- 個人的な趣味でキャリアは除く
- 非情報通信業でのシステムインテグレータやっている会社で知っている会社は入れておく
とまあ、個人の趣味バリバリのランキングですね。
40歳年収を中心にしたランキングということで、平均年齢が著しく乖離している平均年齢の若い企業は、平均年齢を赤字にしてます。
IT業界だけだと味気ないので、ざっくりとですが分類分けしてます。
分類は、ソリューション提供していたらシステムインテグレータ、パッケージ売やソフトウェアハウス的な開発中心ならソフトウェア開発、WEBサービスからの収益がメインそうならWEBサービスとしてます。
システムインテグレータ以外は結構適当。
40歳年収が高い会社(IT業界抽出版)
| 順位 | 元順位 | 社名 | 40歳推定年収 | 平均年収 | 平均年齢 | 社員数(単独) | 分類 |
| 1 | 20 | 野村総合研究所 | 1134 | 1091 | 38.7 | 5938 | システムインテグレータ |
| 2 | 36 | グリー | 1030 | 744 | 31.2 | 1200 | WEBサービス |
| 3 | 40 | 日本オラクル | 1007 | 1010 | 40.1 | 2468 | ソフトウェア開発 |
| 4 | 74 | オービック | 907 | 773 | 35.3 | 1510 | システムインテグレータ |
| 5 | 84 | エックスネット | 892 | 769 | 35.6 | 150 | システムインテグレータ |
| 6 | 89 | コロプラ | 887 | 617 | 30.2 | 403 | ソフトウェア開発 |
| 6 | 89 | NTTデータ | 887 | 798 | 36.7 | 11000 | システムインテグレータ |
| 8 |
94 |
フューチャーアーキテクト | 882 | 739 | 34.9 | 769 | システムインテグレータ |
| 9 | 103 | ISID | 870 | 857 | 39.5 | 1313 | システムインテグレータ |
| 10 | 107 | ディー・エヌ・エー | 868 | 719 | 32.1 | 936 | WEBサービス |
| 11 | 112 | ジャストシステム | 863 | 828 | 38.6 |
388 (連) |
ソフトウェア開発 |
| 12 | 120 | クックパッド | 852 | 688 | 31.2 | 181 | WEBサービス |
| 13 | 128 | アバント | 846 | 789 | 33.9 | 227 | ソフトウェア開発*1 |
| 14 | 135 | サイバーエージェント | 844 | 666 | 30.3 |
3165 (連) |
WEBサービス |
| 15 | 139 | 新日鉄住金ソリューションズ | 841 | 802 | 38.4 | 2383 | システムインテグレータ |
| 16 | 141 | テクマトリックス | 840 | 739 | 36.1 | 392 | ネットワークインテグレータ |
| 17 | 145 | トレンドマイクロ | 836 | 761 | 37.0 | 5217 | ソフトウェア開発 |
| 18 | 148 | ACCESS | 831 | 751 | 36.8 | 229 | ソフトウェア開発 |
| 19 | 153 | ヤフー | 824 | 768 | 34.4 | 4860 | WEBサービス |
| 20 | 157 | 大塚商会 | 820 | 806 | 39.4 | 6634 | システムインテグレータ |
| 21 | 169 | 日立製作所 | 810 | 828 | 40.7 | 33500 | メーカ |
| 22 | 170 | 東洋ビジネスエンジニアリング | 809 | 790 | 39.2 | 413 | システムインテグレータ |
| 22 | 170 | オービックビジネスコンサルタント | 809 | 606 | 32.2 | 641 | ソフトウェア開発 |
| 23 | 173 | プラネット*2 | 805 | 823 | 41.1 | 158 | システムインテグレータ |
| 24 | 177 | enish |
803 |
597 | 32.0 | 187 |
ソフトウェア開発 |
| 25 | 179 | アイ・ピー・エス | 801 | 575 | 31.0 | 70 | システムインテグレータ |
| 25 | 179 | 都築電気 | 801 | 847 | 42.6 | 1367 | システムインテグレータ |
| 27 | 182 | 伊藤忠テクノソリューションズ | 799 | 778 | 39.1 | 3919 | システムインテグレータ |
| 28 | 194 | システムインテグレータ | 791 | 666 | 35.0 | 148 | システムインテグレータ |
| 29 | 196 | サイボウズ |
789 |
616 | 33.2 | 295 | ソフトウェア開発 |
| 30 | 210 | ボルテージ | 782 | 484 | 27.4 | 300 | ソフトウェア開発 |
| 31 | 214 | ドリコム | 781 | 575 | 31.7 | 227 | ソフトウェア開発 |
| 32 | 218 | 楽天 | 780 | 652 | 32.5 | 3762 | WEBサービス |
| 33 | 229 | インターネットイニシアティブ | 775 | 664 | 35.4 | 1671 | システムインテグレータ |
| 34 | 235 | カカクコム | 773 | 664 | 33.5 | 491 | WEBサービス |
| 34 | 235 | ネットワンシステムズ | 773 | 703 | 37.0 | 2163 | ネットワークインテグレータ |
| 36 | 250 | ビットアイル | 768 | 676 | 36.1 | 140 | データセンター |
| 37 | 258 | インフォコム | 766 | 779 | 40.6 | 1188 | システムインテグレータ |
| 38 | 263 | アイスタイル | 764 | 511 | 29.2 | 388 | WEBサービス |
| 39 | 270 | セック | 761 | 651 | 35.4 | 267 | システムインテグレータ |
| 40 | 270 | ブレインパッド | 761 | 589 | 33.0 |
143 (連) |
ソフトウェア開発 |
| 41 | 281 | ユビキタス | 756 | 731 | 41.2 | 54 | ソフトウェア開発 |
| 42 | 286 | ガイアックス | 755 | 556 | 31.7 | 196 | ITアウトソーシング |
| 42 | 286 | イマジニア | 755 | 679 | 36.7 |
77 (連) |
ソフトウェア開発 |
| 44 | 300 | 東芝 | 751 | 812 | 42.7 | 35942 | メーカ |
感想
中の企業知ってますけど、平均年齢が40未満の会社で、実際には40歳になる前に「40歳推定年収」に到達している事例を見かけますので、給与テーブルのシミュレーションはちょっと甘いんじゃないかな、という気がします。
アプリ開発を中心とした企業や、WEBサービスを中心とした企業の多くは、平均年齢が40歳よりもかなり低いです。
人員流動の激しい会社もありそうですし、実際に40歳まで到達している人数も少ないことから、40歳推定年収を本当にもらえるかはちょっとわからないかと思います。
言い方を変えると、今後順調に企業成長すれば、現在の推定年収以上の年収となる可能性があるため、あくまで参考値として見るのが良いかと思います。
本来であれば、日本IBMやアクセンチュア等外資系も欲しいところですけど、データがないので仕方ないですね。。。気になるところです。
メーカは日立と東芝だけですか。。。見落としたかと思って3回ほど見返しましたが、NECと富士通の気配が消えてしまった模様。昔は年収上位に上がっていた気がしたんだけどなあ。
システムインテグレータは元請け会社が多そうですけど、元請け、再委託の両方を請け負っている1.5次請け企業も結構ランクインしていたりもします。
元請けやっている企業の中には「ユーザ子会社」も多く、非上場企業が多かったりするんですよね。
意外とランキングに出てこない企業があるので、そういった企業も含めたランキングを一度作ってみたいものです。
まとめ
まあ、こういった年収は所詮今現在の年収ですし、将来どうなっているかなんてわかりません。
なので、年収ランキングの順位がどのように変動したのか、という視点の分析はより面白いんじゃないかな、なんて思います。
例えば、昔は上位にいたはずのNECや富士通といったメーカが今回のランキングにはない。ITビジネスの中心がハードウェアから、ソリューションビジネス、ソフトウェア開発にシフトしたことが原因かもしれない、とか。
そういう観点から業界動向を占ってみるのも面白いと思いますよ。
以上
職業別・会社別・業界別 ダイヤモンド給料データブック (週刊ダイヤモンドBOOKS)
- 作者: 週刊ダイヤモンド編集部
- 出版社/メーカー: ダイヤモンド社
- 発売日: 2008/01/19
- メディア: 単行本
- 購入: 3人 クリック: 23回
- この商品を含むブログ (4件) を見る
ベネッセから個人情報流出に関するお詫びの品の手紙がきた
この前書いたベネッセの件の続報です。
ベネッセからお詫びの品選択の手紙が届いた
前回のベネッセのお詫びの手紙からはや3ヶ月。
ベネッセのお詫びの品選択の手紙が届きました。
ずっと連絡が来なかったので、もしかしたら個人情報は流出してなかったのかな~みたいな淡い期待をしていたのですが、お詫びの品のご連絡が来てしまいました。。。
ま、しかたない。
気になる手紙の内容
まず気になったのは流出情報。
結局のところ流出したのは
- サービス利用者本人の名前、性別、生年月日
- 保護者、家族の名前、性別、生年月日
- 郵便番号
- 住所
- 電話番号、FAX番号
- 出産予定日(たぶん、ウィメンズパーク利用者かな)
- メールアドレス
とのこと。ダダ漏れですね。
次に気になるのははお詫びの品。
なんかニュースなどでも流れてましたが、以下のモノがお詫びの品として選択できるようになってます。
- 選べる電子マネーギフト
- 全国共通図書カード
- ベネッセこども基金への寄付
ちなみに、追加の選択肢で「個人状況を消去する」なんて選択肢もありました。
個人情報の削除対象は、ベネッセ関連の全サービス。
こどもちゃれんじだけでなく、ウィメンズパーク等のサービスの登録情報もまとめて削除するようですね。
同じ顧客マスタなのかな。。。
細かく気になったところ
気になるのは上記画像の左側。QRコードで個人識別を行っている模様。
ウェブサイト*1からも受付を行っているのですが、その「ご登録用コード」(ログインID)で紐付けるようにしているみたいですね。
さすがに、返信用ハガキに名前を書いて返信させたら、「更に個人情報ばらまく気か!」みたいな感じになるので、配慮の結果でしょう。
ウェブサイトについては、ログイン後も徹底して個人情報は表示されませんでした。じつは、登録用コードが数字だけだったため、逆ブルートフォースアタックでもやられたらまずいんじゃね?なんて思ったのですけど、そういった攻撃に対しても配慮しているみたいですね。
ちょっと気になったのは個人情報が流出した被害者が引っ越しした場合。
今回のお詫びの手紙、ウェブサイトの登録全体で個人情報を入力させないようにしてます。ということは、流出後、住所情報などが変更となった場合に反映するための手立てがないんですよね。
そもそも、お詫びの手紙自体「転送不要」で送ってきているので、引っ越しした場合は届かないわけですが。
多分、住所の所在確認を兼ねての配慮だとは思いますが、ただ、住所が変わり電話番号も変わってしまった被害者への連絡手段がなくなってしまうわけで。。。
そういった被害者に保証は不要ともで考えたのでは、と穿った見方をされそうな気もします。
※住所が変わったんだし、個人情報もリセットされたんだろ、なんて言われたら怒る人もいそうですけどね。
まとめ
今回のベネッセからの手紙を見て、ウチの奥様、個人情報流出したことを思い出した模様で、お怒りになってました。
丁度、神戸女児不明:自宅近く草むらのポリ袋に子供の切断遺体 - 毎日新聞 
まあ、「500円いらんから、流出した個人情報全部消してこい!」なんて言っても解決しようもない状況でしょうし、落とし所として仕方が無いのかもしれませんけど。。。
まあ、釈然としないモノが残るのは確かですね。
余談
以上
「顧客情報管理、再委託を原則禁止 経産省が指針改正へ」の雑感
ここ最近、シフト体制で昼夜逆転生活で動いていたものですっかりブログの更新を怠ってしまいました。
まあ、仕事しているのだから、仕事優先になってしまうのは仕方が無いのですが、三十路過ぎると正直夜間シフトや早朝シフトの勤務はキツイ。。。
帰宅してから何もする気が起きなくなってしまいますよ。
前置きはさておき。。。
うわ~、これはダメでしょ。
お役所がこの手の話に関わるとろくでもないことになる代表例みたいな事例になりそうです。。。
BPOはどうする?
個人情報の委託は、別にシステム屋だけじゃあなく、BPO等の業務アウトソーシング会社でも扱ってます。コールセンタ委託なんかも。
ココらへんの会社は業務の専門家ではあるものの、システムの専門会社ではないため、システムの運用は再委託することもよくある話。
そういったBPO系の会社はことごとく影響を受ける可能性があります。
てか、親会社 → グループ内のBPO委託 → グループ内システム子会社のシステム運用、みたいな企業運営にも影響が出てきてしまうわけで。
セキュリティの向上につながらないのに、余計なコストがかかってしまう企業は涙目ですね。
自社データセンタを持つものだけが生き残るか。。。
多分、経産省は今回のベネッセ事件で「多重請負が~」みたいな声が多く発せられているのを見て、このような対策を打ち出そうとしているのかもしれませんが。。。
で、この方針が正式に運用された場合、「自前のインフラを持ってない会社はどのようなインフラ運用すれば良い?」という素朴な問題にぶち当たります。
ハウジングサービスは当然情報管理の再委託となります。AWSなどのIaaSも同じ。
つまり、この経産省方針に従うと、個人情報を管理する必要があるサービスは、実質的には自社データセンタや自社内のサーバルームにてオンプレミスで運用しなければならないということとなります。
昨今、AWS上でサービスを提供しているってWEBサービス、いくつかありますけど、この運用が実施されたら間違いなくいくつかのサービスは停止となるわけで。
ぶっちゃけ、システム屋の受ける影響よりも、WEBサービス系のベンチャーの方が影響が大きいんじゃないかな、と思います。
まとめ
代表2つ書きましたが、個人情報の再委託禁止とかになると他にも影響は計り知れないです。
てか、この前も書いたとおり*1、雇用関係など人に着目したってセキュリティ問題の解決は困難だし、付随する影響も大きい。
まあ、お役所がこの手の話に口出しするとろくな事にはならないでしょうね。。。
以上
ベネッセ事例の改め。「人」に着目したセキュリティ議論は問題を解決できない
いい具合に容疑者逮捕、報道も一巡し、自分の個人情報も流出したことが確定したことですので、改めて情報をまとめてみますか。
セキュリティ運用のおさらい
まず、セキュリティ運用について。
外部からの攻撃に対して、主に内部者からの攻撃に対抗するためにはセキュリティ運用を行う必要があります。
セキュアなシステム運用を行う上で、いくつかの対応がありますが、オッサンが内部メンバーに対して説明するときには「隔離」「監視」「権限」みたいな概念で説明してます。
隔離は、物理的、論理的に重要なデータを普段使用する場面から隔離してセキュリティを高めること。静脈認証システムの導入、本番との切り離し、GWサーバの導入など、ですね。
監視は、 アクセス監視などを行うことにより、攻撃を速やかに発覚させることでセキュリティを高めることです。侵入検知システムの導入、ログ監視運用の実施、監視カメラの導入など、ですね。
権限は、利用と承認というプロセスを得ることで、複眼的な利用の妥当性チェックを行うだけでなく、権限上位者を限定することで監視や隔離をやりやすくし、セキュリティを高めること。アクセス承認システムの導入、特別権限者に限定した入退出管理、端末利用権限とUSB持出権限の分離など、ですね。
完璧なセキュリティ対策は無い、とよく言われています。技術の進歩により破ることも可能と。
なので、通常は上記のような施策を複数導入することで、「現時点の技術では限りなくセキュリティ突破が困難」な状態にするわけであり、定期的な運用設計の更新が必要となるわけです。
所謂個人情報を管理する企業であれば、上記のセキュリティ運用を最低1重以上設定しているもんですね。
オッサンの会社では、これを4重ぐらいに設定しているので、本番データに触るときは面倒くさいことこの上ないわけです。。。。
ベネッセのセキュリティ上の問題点
じゃあ、上記を踏まえてベネッセのセキュリティ運用の何が問題だったのか、整理してみます。
セキュリティ運用に対して一番正確な言及をしているな、と思ったのは以下の記事。
萩原栄幸の情報セキュリティ相談室:ベネッセの情報漏えい事件を分析 問題点と今後の可能性とは何か (1/3) - ITmedia エンタープライズ
報道から伺えるベネッセのセキュリティ運用は以下のとおり。
- 端末のUSB利用不可制御
- 端末アクセスログの監視
- データアクセス権限者の設定
ただし、いずれも正常に稼働していないことが判明してます。
1.の端末のUSB利用不可制御は、「隔離」に該当する対策です。
実際には、スマートフォンによる接続により回避されてしまっていることが判明してます。セキュリティ上の穴を塞ぎきれてなかったわけです。
2.の端末アクセスログの監視は「監視」に該当する対策です。
実際には、個人情報流出の指摘を受けるまで、全くチェックされてなかったわけです。セキュリティ上大穴が開いている状態です。
3.のデータアクセス権限者の設定は「権限」に該当する対策です。
実際には、委託先の容疑者にも全データアクセス権限が与えられている様に、適切な管理がされておらず、まともな運用になっていなかったことが判明してます。この場合は、本番確認の都度、限定的な参照権限を与えるのが一般的な運用です。セキュリティ上、何も管理されていない状態です。
上記のように、ベネッセのシステム運用は無きに等しい状態であることが判明してます。
これでは、上場会社の個人情報を取り扱う会社として、責任を追求されても仕方ない状態といえるでしょう。
待遇や業界構造みたいなポジショントークは筋違い
さて、前回のエントリでは。「人」に着目したセキュリティ議論は問題を解決しないと言いました。
ただ、案の定というかやはりセキュリティ運用以外のワキの議論が活発になってしまってます。。。
幾つか、はてなで目にとめた記事を挙げさせて頂いてますが、いずれも「下請構造が悪い」「待遇が悪いからだ」みたいな問題点で語られているわけです。
ところが、実際のところ、容疑者の実情見てみますと
名簿業者に売却して計約250万円を得たという。捜査関係者によると、松崎容疑者は趣味のパチンコや競馬に金をつぎ込み、消費者金融から借金を重ねていた。月給約38万円のうち、約11万円を毎月の返済に充てていたという。
なんて報道がされてます。
月収38万。。。年収ベースだと、600~700万円ってとこですかね。
今回の容疑者は、ベネッセ子会社「シンフォーム」から業務委託された委託先会社社員です。
客先常駐の形をしているためシンフォームとは「派遣」の形で契約を結んだかもしれませんが、委託先会社の中では「正社員」なわけですね。
IT業界、特にSI屋では結構よくある話ですけど、委託先会社のほうが大企業で、実は委託元よりも給料が良い、なんてことあります。
ベネッセの平均給与が700万、30代月収が30万なんて情報*1もありますし、ヘタしたら松崎容疑者の方がベネッセ社員よりも給料が良いんじゃあないかな、なんて思います。
つまり、給与の多寡なんて犯罪を犯すのに関係ないんですよ。
ぶっちゃけて言えば、「待遇を良くしてセキュリティ犯罪を防ぐ」ってのは、セキュリティ運用「監視」が正常に働き、問題があった場合に懲罰を与えることができる運用ができて初めて効果を発揮するんですね。さらに言えば、セキュリティ権限上上位に位置する一部の人間だけ高待遇など、「権限」対策と組合せてメリハリをつけたりだとか。
待遇云々ていうのは、セキュリティ運用が正常に機能して初めて成立する話なんですよ。
今回のベネッセの様な、セキュリティ運用が穴だらけな状態であれば、犯行に対する抑止力が下がってしまい、給料がどんなによくとも犯罪を犯す人間は出てくるでしょう。実際、起きているわけですし。
さらに言えば、待遇云々で改善するためには、待遇と情報流出犯行の損得の比較ができるだけの合理性のある判断力を全ての人間が持ってることが必要。正直、現実的には無理だと思います。そんな合理的な判断ができたら、松崎容疑者はギャンブルで借金はそもそもしないんじゃないかなと思います。
また、情報流出の少なからずの理由として待遇面以外の「職場への復讐」「産業スパイ行為」があることを忘れちゃあいけない。
セキュリティ運用を語らずして、業界構造や待遇の話を語っても、問題の根本解決に向かうのは難しいと思います。
まとめ
事件発生当時に書いたことを繰り返します。
セキュリティ保全のためのIT運用システム(アクセス認証システム、USB利用制御ソフトなど)をきちんと有価なものと認識、導入することで、「人頼りのセキュリティ」から「システム頼りのセキュリティ」に変わらなければ、今後も情報漏洩は起き続けるものと思います。
これ。結局、事件発生から情報が一巡しましたが、オッサンが最初に書いた内容に変わりがないと思ってます。
蓋を開けてみれば、ボロボロのシステム運用だったベネッセ、待遇はそこそこ良かったものの犯行を犯した容疑者、となるわけです。人の問題というのは、ちょっとつらいでしょう。
「人」にフォーカスした議論って、システム運用などに関わったことがない人だとどうしてもポジション持ちやすい話なので、今回のような事例で語られちゃったりするのだと思います。しかし、そういったポジショントークでは問題を防ぐことはできないと思います。
というようなことを、子供の情報を流出させられた怨みつらみのポジショントークで語っているわけです。
余談
そういや、容疑者は39歳、年収600~700万前後でベネッセの仕事。。。
委託先会社を幾つかに限定できそうな気もしますが、間違いだったらアレなんでここでは書かない方向で。
以上
ベネッセからお詫びの手紙が来た
ベネッセからお手紙が来た
上記の件について、ベネッセからお手紙がきました。
【重要】個人情報漏えいについてのお詫び
平素は格別のご高配を賜り厚く御礼申し上げます
このたび、弊社内で調査を行ってきた結果。。。
ほうほう。どうやら、奥様と子供の個人情報を盛大に流出頂いたみたいですね。。。
災難な話です。
さて、情報漏洩したと確定したことで、いくつか気づいたことがあったので、ちょこっとだけメモしておきます。
退会者情報を削除していない
以前、「こどもちゃれんじ」を一時期だけ利用しており、退会したのですが、退会後の情報が残されていたみたいですね。。。
どうやら、ベネッセでは退会した会員情報も残しているみたいです。
そういや、退会後もベネッセからダイレクトメールきてたもんなあ。
子供向けのダイレクトメールが最近増加してた
ここ最近、ベネッセ以外からも子供宛のダイレクトメールが何通か届いてました。
居住市内にある写真スタジオだったりするのですけど、接点が無いところからのダイレクトメールだったので、もしかしたら情報流出したのでは?と疑ってました。
偶然かもしれませんが、もしかしたらジャストシステム以外にも、名簿を購入した業者がいる可能性がありますね。
流出情報に退会情報も含まれているかもしれない
流出した個人情報ですが、肝心のジャストシステムからはダイレクトメールきてなかったんですね。
もしかしたら、見込み客、現会員、退会者ぐらいの情報も流れたのかもしれません。
で、退会者は効率が悪そうなので送ってないとか。
今回のベネッセからの手紙を見ると
今回お客様情報が漏えいしたデータベースの稼働を停止することで、さらなる漏えいを発生させない措置が完了しております。
なんて記載があります。
通常の会員メニューの参照などはできるみたいですし、多分、基幹システムではなく、CRMなどの営業用顧客情報から流出したのかな、なんて予測できます。
まとめ
正直、退会者の情報は、退会と同時に削除しておいたほうが良かったんじゃあないかなって思うんですよ。
知恵袋なんか見ると、「こどもちゃれんじから退会したのにダイレクトメールがとどく」なんてQAが寄せられたりしてますし、今回みたいに情報流出した際の被害が拡大してしまうし。
会員の状態で流出したのなら、まだ多少諦めがつきますけど、退会したあとも個人情報流出の危険性にさらされていたってのもどうかと思うわけです。
まあ、というわけで流出してしまった我が家族の個人情報ですが、ベネッセの対応としてこのまま今回の手紙を送っておしまいなのか、次の動きがあるのか楽しみだったりもします。
さすがにこのまま音沙汰なしってのは無いと思いますけど。
以上
![みんなでつくった しまじろうベストヒット [DVD]](http://ecx.images-amazon.com/images/I/51klmF--CTL._SL160_.jpg "みんなでつくった しまじろうベストヒット [DVD]")
