梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

CIOのいない3兆円企業

 年商規模とIT導入(&DX)能力には、大きな相関関係がある。一部ITベンチャーのような企業を除く一般的な(IT)ユーザ企業では、ある程度の規模がないとITシステムの導入・運用は難しい。

 

 10年ほど前大手SIerの社長は「年商300億円規模なら、ERPがどんどん売れる。しかし100億円規模では(システム開発・運用を)引き受けるのは難しい」と言っていた。システムのコスト問題もあるし、要員の問題もある。日本企業のIT部門要員の比率は3%以下(*1)というが、30人規模の部門を持てるのは1,000人以上の大企業に限られるわけだ。

 

 ところが大企業であっても、CIOを置かず(恐らくはIT部門に十分な要員を充てず)トラブルを招いた例がある。それが4~6月期利益半減の痛手をシステム更改の失敗で受けたこの企業。

 

    

 

システム障害のグリコ、CIOが不存在だった…純利益半減でデロイトの責任問題 | ビジネスジャーナル (biz-journal.jp)

 

 記事を見る限り、コンサル&システムベンダーに丸投げだったと思われる。名のある企業なのでその情報を見ると、

 

・2023年の年商 連結3.3兆円 単独2.1兆円

・従業員 連結5,400人余 単体1,400人余

 

 である。100億円のカベの33倍も売り上げがあるし、従業員の3%といえば160人以上になる。いくら業務にも詳しいコンサルファーム相手だとしても、個社の特徴や制約は社内でちゃんと取りまとめて、ベンダーに発注しなくてはいけない。適宜進捗を見て、問題があればそれを芽のうちに摘む、そんなことはCIOがやって当たり前である。

 

 何度か申し上げたように、コンサルやベンダーは「自分がやってもできることだが、時間とかコストを節約するため」に使うのが正しい用法。それを全く考慮しなかったのが、今回のインシデントと減益につながったわけだ。3兆円企業でCIOがいない・・・当然CISOもいないだろう。今回は事故だったが、サイバー攻撃による事件だって起きかねない。犯罪集団からは、狙いやすい企業と見られたはずである。

 

*1:日本企業のIT部門の正社員は全社員の3%以下。それでも「スリムなIT部門」をお望みですか? | 経営のためのIT | ダイヤモンド・オンライン (diamond.jp)