現実問題の下請け構造（発注元が知らないことが問題）

2022年7月11日 14:27

■世間に転がる意味不明（下請けがいなければ困るのは君だ）

ＩＴの世界では多重下請け構造はあまり不思議ではない。
私事だが、実質上のフリーランスでいた頃、以下のような多重下請け構造になったことがある。

［発注元　全国展開している通信サービス企業］
　↓
［大手の通信機器のメーカー　A社］
　↓
［A社の系列の情報処理会社　B社］
　↓
［B社から依頼を受けた大手Sier　C社］
　↓
［C社の協力会社　D社］
　↓
［D社と取引があるE社］
　↓
［E社の外注先　F社］
　↓
［F社に声をかけられた”私”］

6次下請けになるかな？
当然、発注元の打ち合わせどころかD社にすら顔を出せない。
そのプロジェクトに私が関わっていたなんてことはF社以外は知らないだろう。

なぜ私の所まで話が来たかと言えば、プログラムの実装が少しクセがあり、おそらく私のような経歴でないとこなせないからだ。

また現実問題として、上の階層に行けば行くほど、プログラムの実装ができない管理者だけの集団になり「ものづくり」が担保できないからだ。

私の担当は、「Fotrsan」「SQL」「Oracleのストアドプロシージャー」「VB.NET」と複数の実装技術にまたがるもので、こうした技術者を、大手のIT関連企業は抱えるとコスト高になるので外注せざるを得ない。

非難しているのではない。特定の実装技術を持つ集団は大きくなく、その割に種類が多い。そうした技術者を内在しておくのはコスト高になり、特に大手では無理だ。

■問題を混ぜてはいけない（下請け構造は悪なのか）

さて、こうした下請け構造が問題視されたのは、例の尼崎事件である。

○尼崎ＵＳＢ紛失問題　市に無許可で業務を再委託　なくした社員の所属は別会社
2022/6/27 神戸新聞NEXT
https://www.kobe-np.co.jp/news/sougou/202206/0015421350.shtml

○尼崎市のUSB紛失したのは「再々委託業者」　「コスト高」の指摘あるのに、なぜこんなことが起こるのか
2022年07月03日
https://www.j-cast.com/2022/07/03440513.html

こうした記事は「第三者委託はけしからん。責任を果たしていない」と言うことに焦点が当てられがちだが、いろいろな問題を混ぜてはなら無い。

感情的なことを抜きにして考えると、こうしたことの非難の論点は、
・コストが適正ではない（中抜きが起きる）
・多重下請けはけしからん（管理ができない）
になる。

それぞれについて考えてみよう。

■なぜコスト高と言われるのか

まずは、最初に100で頼んだ仕事がどうなっていくのか、仮に、管理料が20％として眺めてみよう。

［発注元　全国展開している通信サービス企業］　　　100で頼む
　↓
［大手の通信機器のメーカー　A社］　100で受ける
　↓
［A社の系列の情報処理会社　B社］　　　80で受ける
　↓
［B社から依頼を受けた大手Sier　C社］　64で受ける
　↓
［C社の協力会社　D社］　51で受ける
　↓
［D社と取引があるE社］　41で受ける
　↓
［E社の外注先　F社］　　33で受ける
　↓
［F社に声をかけられた”私”］　26で受ける

実際には、中間で必要となる管理コストは変動するから一概には言えないが、最終的には20％程度が実装費用になる。ほとんど（80％）か管理コストに消えて無くなる。最終的の受ける金額が法外に低ければ受けないので、それなりに余裕のある発注金額なのだと思うが、それでも、ほとんどが管理コストなのだと思うと、それはコスト高だと言われても仕方が無い。すこし多重下請けしただけでも、管理コストが半分を占める。

下請けに出すことの構造上の問題だ。

■コンプライアンス上の問題

多重下請けは管理ができないリスクがあり、それがコンプライアンス上の問題を引き起こす恐れがある。

実は、2000年を超えたあたりから仕事が激減した。当然、私の営業が下手のせいもあるが、いろいろなところの話を聞くとやはり厳しくなって言ったような印象がある。ちょうど、個人情報保護法が制定された頃と一致する。

購買プロセスが専門部署に集約され、現場の一存で発注ができなくなったことと、第三者委託が大きく制限されたことだ。特に公共機関、大手企業ほど厳しくなった。なので、尼崎市の「再々委託先のさらに外部」は驚かされる。完全に契約違反だろう。

そこに頼まざるを得ないというのはいいわけ以上のものではなく違法（レッドカードで一発退場）なのだからあきれかえる。

○ＵＳＢメモリー紛失業者、「他社では困難」と３０年以上の「ベンダー・ロックイン」
2022/07/0
https://www.yomiuri.co.jp/national/20220703-OYT1T50073/

上記の記事の冒頭に以下のようにある。

「兵庫県尼崎市の全市民の個人情報が入ったＵＳＢメモリーが一時紛失した問題で、情報システム会社「ＢＩＰＲＯＧＹビプロジー」（旧日本ユニシス）が、市の住民情報を管理するシステムを開発し、３０年以上関連業務を受託していたことがわかった。特定業者によるＩＴ業務の囲い込みは「ベンダー・ロックイン」と呼ばれ、発注側のチェックの甘さにつながると指摘されており、市の第三者委員会が経緯を検証する。」

直感的には、担当者が知らないとはにわかには信じがたい。
　癒着を疑われても仕方ない。

今回は、単に無くしたという程度の問題ではあるが、こうした市長が知らないと言うことは大きな危険性をはらんでいる。下請け構造を放置すると言うことは、下手をすると国防上の問題に発展する恐れもある。

下記の記事を喉元過ぎればと言うことで忘れてもらっても困る。

○LINE、個人データ管理不備で謝罪　中国委託先で閲覧可能
2021年3月17日

https://www.nikkei.com/article/DGXZQODZ1709O0X10C21A3000000/

＜閑話休題＞

-----------------------　参考にした記事と抜粋

○尼崎ＵＳＢ紛失問題　市に無許可で業務を再委託　なくした社員の所属は別会社
2022/6/27 神戸新聞NEXT

市などによると、ビ社は本年度の新型コロナウイルス臨時特別給付金支給の事務を受託した。契約では業務を別業者に委託する場合は市の許可が必要だが、無断でＩＴ関連の「アイフロント」に委託した。さらにア社は、紛失した社員が所属する別会社に委託していた。

https://www.kobe-np.co.jp/news/sougou/202206/0015421350.shtml

○尼崎市のUSB紛失したのは「再々委託業者」　「コスト高」の指摘あるのに、なぜこんなことが起こるのか
2022年07月03日

個人情報を扱う再委託については、総務省が出している「地方公共団体における情報セキュリティポリシーに関するガイドライン」22年3月版によると、「原則禁止」になっている。それは、「一般的に、再委託した場合、再委託事業者のセキュリティレベルは下がることが懸念されるため」だ。そして、「例外的に再委託を認める場合には、再委託事業者における情報セキュリティ対策が、他の委託事業者と同等の水準であることを確認し、委託事業者に担保させた上で許可しなければならない」と定められている。

「まず再委託したとは報告を受けておらず、BIPROGYの社員と聞いていましたので疑いを持ちませんでした。ずさんではなかったと考えていますが、業務全体の最終責任は市にあると思っています」

https://www.j-cast.com/2022/07/03440513.html

○ＵＳＢメモリー紛失業者、「他社では困難」と３０年以上の「ベンダー・ロックイン」
2022/07/0

個人情報を持ち出したのは、同市のコールセンターで住民の問い合わせ対応に使うためで、尼崎市は持ち出し自体は許可していた。しかし、日時や方法、持ち出す情報の中身を確認せず、ビプロジーが業務を再委託や再々委託していたことも把握していなかった。

同社は、３０年以上前から、市の住民の個人情報を管理するシステムの中核部分を開発し、更新や運用も随意契約で受注。このほか、関連する業務も請け負っていた。市は約５年前から同社への業務集中を解消するため、他社への切り替えを進めてきたが、住民情報などを扱う基盤システムに関する業務は「他社では困難」として、同社が担い続けているという。

https://www.yomiuri.co.jp/national/20220703-OYT1T50073/

○ＵＳＢメモリー紛失業者、「他社では困難」と３０年以上の「ベンダー・ロックイン」
2022/07/0

https://www.yomiuri.co.jp/national/20220703-OYT1T50073/

○LINE、個人データ管理不備で謝罪　中国委託先で閲覧可能
2021年3月17日

LINEは17日、業務委託先の中国の関連会社の従業員が国内の個人情報データにアクセス可能な状態だったと発表した。「業務上適切なもので、不正アクセスや情報漏洩はない」と強調する一方、「ユーザーへの説明が十分ではなかった」として謝罪した。

https://www.nikkei.com/article/DGXZQODZ1709O0X10C21A3000000/

＜以上＞

この記事が気に入ったらサポートをしてみませんか？