新型コロナ対策でも露呈「霞が関DX」を阻むITゼネコン「ベンダーロックイン」
「ベンダーロックイン」という言葉をご存知だろうか。
特定ベンダー、つまりIT(情報通信)会社にシステム開発を依頼した場合、その会社の独自仕様に依存した設計になってしまい、他ベンダーのシステムへの乗り換えが困難になることを言う。デジタル庁の創設など霞が関のDX(デジタル・トランスフォーメーション)化に取り組もうとしている日本政府が直面しているのが、このベンダーロックイン問題だ。
国の多くのITシステムは入札によって業者選定が行われるが、その大半がNTTデータやNEC、日立製作所、富士通など、「ITゼネコン」と呼ばれる企業に落札される。こう呼ばれるのは、公共工事を受注する建設会社のゼネコンと同様、自社で受注した物を自社で完成させるのではなく、傘下の「下請け」や「孫請け」などに「投げて」工事を完成させるところが、そっくりだからだ。システム開発も基幹設計をITゼネコンがやっていればまだしも、それすら下請けなどにやらせている事例も少なくない。建設業で言うところの「丸投げ」である。
本当の狙いは「保守管理費」
入札の結果、同じ仕様で価格の安いベンダーに発注することになるが、ここで「ベンダーロックイン」が大きな意味を持つ。最初の納入価格は、落札しなければ話にならないので、ライバルに負けない低価格を提示する。いったん落札してしまえば、保守管理費が毎年入ってくるので、そこで取り戻せばよい。それがITシステム開発の世界の一種の「慣行」として定着している。
霞が関だけでなく、日本全国の地方自治体も状況は同じだ。
首都圏のある中核自治体の場合、大手ITゼネコンに年間数十億円の保守管理費を支払っている。「役所の幹部にITの専門家がいないので、業者の言うがままになっています。自治体によっては外部からIT人材を中途採用していますが、なかなか機能していないようです」とその自治体の幹部は話す。
つまり、ITシステムを構築する力を持つようなIT専門家がいないので、すっかり業者任せになっているわけだ。数年に一度、システム更新が必要だと業者に言われ、多額の追加投資を余儀なくされることも珍しくない。高いから他の業者に相見積もりを取ろうにも、「ベンダーロックイン」でシステム更新を他の業者がやることが事実上できなくなっている。
もちろん、発注側にシステムに通じた人材がいれば、「ソースコード」と呼ばれるプログラム言語で書かれたコンピュータープログラムを見てシステムの内容を把握もできる。だが、そのソースコードを合わせて納品させる契約からして、結んでいない例も少なくない。
NEC・野村総研の「ワクチン接種用システム」に大問題
今、政府は、河野太郎ワクチン担当相の下で、ワクチン接種の「ナショナル・データ・ベース」システムの構築を急いでいる。ワクチンがらみのシステムとしては、厚生労働省が2020年夏から「ワクチン接種円滑化システム(略称「V-SYS」=ヴイシス)」の開発に乗り出し、昨年7月の入札の結果、NECが落札。システム作成に向けての調査や設計は野村総合研究所(NRI)が担当した。
ところが、このV-SYS、調達したワクチンを自治体の医療機関や接種会場に公平に配分するためのシステムで、いつ、誰に接種したかを記録することがまったく想定されていないことが年末になって判明する。厚労省は従来の予防接種と同じく、ワクチンを分配するところまでが国の仕事で、あとは自治体が接種を担当し、自治体が持つ「予防接種台帳」に記録すれば、接種情報は把握できると考えていたのだ。
ところが、この予防接種台帳にも落とし穴があることが判明した。予防接種台帳自体は、ほとんどの自治体でここ5年ほどの間にデジタル化されたが、医療機関が接種した情報を自治体に報告するのはいまだに紙で行われている。多くは月に1回その紙を回収し、自治体が業者に委託して入力している。予防接種台帳に接種記録が更新されるのに2~3カ月はかかることが判明した。今後、国境を越えてビジネスマンなどが移動する場合、「ワクチン接種証明」の携帯が義務付けられる可能性があるが、その発行に3カ月もかかっていたのでは、お話にならないわけだ。
「デジタル庁vs厚労省」の綱引き
1月中旬に河野行革担当相がワクチン担当相に任命されたのも、そのシステム問題が大きかったとみられる。河野大臣は就任早々、V-SYSとは別にクラウドを活用した情報システム開発に乗り出した。
結局、自治体は、V-SYSと予防接種台帳、そして国の情報システムの3つに対応する必要が生じている。河野大臣は繰り返し「自治体の手間は極力省く。QRコードやバーコードを読み込んでもらうだけで済むシステムにする」と述べているが、自治体の疑心暗鬼は小さくない。
国の情報システムではマイナンバーなどの個人情報と接種記録をつなげる必要がある。地方自治体が個人情報の名簿を用意するのだが、そこでもこんな問い合わせが自治体から寄せられていると言う。「マイナンバー付きの名簿データを吐き出させるには、システム改築が必要で、多額の費用がかかるとベンダーに言われたのだが、その費用は国が持つのか」――。
考えれば、データを抽出できないデータベースシステムなどはありえない話だから、ベンダーは当然できるのだが、追加の手数料を払えと言っているわけだ。これも「ベンダーロックイン」のなせる業だろう。
すべての自治体をつないで共通のデータベースを持つ取り組みは事実上初めてだ。河野大臣や平井卓也・デジタル改革担当相らは、今、構築を急いでいる「ナショナル・データ・ベース」システムを、デジタル庁の実質的な基盤にしていこうと考えているという。つまり、今回のワクチン接種のための情報システム構築は、デジタル庁の成否を占うことにもつながる。
厚労省はそれまでやってきた紙をベースにした予防接種の仕組みを、そのままデジタル化することに腐心してV-SYSの開発に取り組んだ。つまり、V-SYSは今までの業務の流れをそのままデジタルに置き換えただけなのだ。だが、本当のDXは、システム導入と共に、これまでの仕事のやり方を見直すことが必要不可欠になる。
「COCOA」トラブルの背景にも……
政府にはIT総合戦略室という組織があり、民間人の政府CIO(内閣情報通信政策監)をトップに、民間のIT技術専門家を「政府CIO補佐官」として大量に任命している。「政府CIOポータル」に掲載されているだけで57人にのぼる。IT業界では名のしれた人物が顔を揃えている。この組織がそのままデジタル庁に移行するとみられている。
デジタル庁を司令塔に各省庁のシステム担当者が置かれるが、その体制も見えている。各省庁にはすでに「府省CIO(情報化総括責任者)」が置かれ、その下に「CIO補佐官」がいる。
ところが、厚労省のCIOは厚労官僚として上り詰めた幹部で、ITの専門知識はほとんどない。V-SYSの開発についても、現場の担当に任せきりで、厚労省CIOはほとんど情報を把握していなかったとみられる。ましてや政府のIT室には一切情報を提供しなかったとされる。専門家が集まっているIT室にもっと早い段階で相談が行っていれば、こんなドタバタにならなかったとみられているが、そこは役所の「縦割り」が大きな壁になっている事は想像に難くない。
厚労省では、新型コロナウイルス接触確認アプリ「COCOA」を開発したものの、そのAndroid版が事実上機能していなかったことが判明して大問題になっている。昨年6月にスタートしたこのアプリ、ダウンロードした場合、自分の1m以内に15分以上いた人が新型コロナウイルスに感染していることが判明した際に、濃厚接触者の可能性があることがアプリに通知される。ところが、厚労省の発表によれば、9月28日のバージョンアップの結果、接触が通知されない不具合がAndroid版で発生していたという。
結局、このアプリの開発も業者任せで、厚労省にそれをチェックできるIT専門家が皆無であることが問題の根元にあると指摘されている。
2020年7月に閣議決定した「骨太の方針2020」には、デジタル庁創設などで今後、政府が目指す「デジタル・ガバメント」のあり方についてこう書かれている。
「民間の人材・技術・知恵を取り入れ、徹底した見直しを行い、ベンダーロックインを避け、オープンアーキテクチャを活用し、個人情報の保護を徹底し国民の理解を得つつ、利用者目線に立ちデジタル化・オンライン化を前提とする政策システムへの転換を進める」
デジタル庁は、従来の霞が関が行ってきた業者任せのITシステム開発を根本から突き崩すことができるのだろうか。