検索
ステップ4:真の失敗原因を特定する
ステップ3で討議した内容から具体的に事象がどこで発生したものかを並べ、連関図を作成していく。線で結ぶ際は、記載された事象から関係性を表していくと関係性の深いものは線が多く交わっていくことがよく分かる。
「推測」をできるだけ排除した「事実」だけを集め、失敗を判断する
失敗学会※では「三現主義」を唱えている。三現主義とは「現地に出向き、現物にさわり、現人(人間)に会う」ことである。専門職なら誰でも頭の中に持っている「暗黙知」を分かりやすく表出し、皆と共有するためである。
※失敗学会:筆者が理事を務める特定非営利活動法人「失敗学会」は、広く社会一般に対して失敗原因の解明および防止に関する事業を行い、社会一般に寄与することを目的とする。
そのため、ステップ1で選定しなかったもの、少数の意見を拾うことが重要と考えている。今回は筆者一人で原因を考えているため、「三現主義」を実施できないが、外国を含む遠方で起こった事故なども「三現主義」の実施は難しい。
そこで、筆者を含む失敗学会としては「事実」を1つのメディアから取り入れるのではなく、多くのメディアや新聞情報などから「推測」をできるだけ排除した「事実」だけを集め判断することに用いている。今回もできるだけ多くのメディアや新聞情報などから、「事実」を集め、当事者の気持ちで考えるのではなく、客観的に俯瞰してみた結果を伝えることとする。
筆者が考える今回の問題点
それでは、セブン&アイが考える7payの問題点と筆者が考えた問題点を比べてみよう。セブン&アイが考える3点は以下のものである。
①7payに関わるシステム上の認証レベル
「複数端末からのログインに対する対策」や「二要素認証などの追加認証の検討」が十分でなく、結果『リスト型アカウントハッキング』に対する防御力を弱めることとなった。
②7payの開発体制
7payのシステムの開発には、グループ各社が参加していたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の可能性がある。
③7payにおけるシステムリスク管理体制
7payにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していなかった可能性がある。
そして、筆者が問題としたのは、下記の3点である。
①「かんたん」「便利」のコンセプトを重視するあまり、結果的にセキュリティーレベルをさげてしまうことへの危機感がなかった。
②アプリケーションのシステムコード(プログラム)が全世界に流出した可能性が予見された時点で、セキュリティーに問題が発生していることへの想像力を働かせることができなかった。
③生産・販売の業界と金融業界の常識は違っていて当たり前という前提にたち、不足している知識、経験を外部に依存するだけでなく、自分たちで調査することで外部委託会社を牽制するためのプロジェクト体制が構築できなかった。
上記を読者の方が読まれて両方を読まれた感想はいかがだろうか。大抵の報告書は結果を導きだす導線が描かれることはないため、なぜ、そのような結論となったのか、読者も首をかしげることもあるのではないか、今回、筆者が「ITプロジェクト版失敗原因マンダラ図」を使って、結論を導き出す導線を可視化したことで、セブン&アイと同じ答えとなっている部分も理由が腑に落ちるのではないだろうか。
《最新のDX動向・人気記事・セミナー情報をお届け!》
≫≫≫DXナビ メルマガ登録はこちら
