ステップ5：再発防止策を検討し蓄積・活用する

上述で真因となる事象が発見されれば、各社が今まで蓄積されている対応策を使用することともでき、また、新たな事象であれば、筆者が想定した対応策を参考にしていただきたい。筆者が考える対応策は次の5点。

①人材確保

電子決済アプリケーションであることから、サービス業界のセキュリティーレベルだけでなく、金融業界のセキュリティーレベルを理解した人材を確保し、アプリケーションに必要なセキュリティー水準を確保する。「かんたん」「便利」なサービスレベルの開発を行うに当たってのリスクコンティンジェンシープランを作成し、経営者は第三者による評価を確認しながら、定点チェックをおこない最大限のリスク低減を図る。

②セキュリティー教育

開発メンバーだけでなく、システムに関わる全てのメンバーがセキュリティーの重要性について定期的に教育を受け、セキュリティー意識を高める。今回のケースはシステムコード（プログラム）が漏れた可能性が予見された時点で、運用開始はできない予測のもと経営者と問題点を協議のうえ、システムコード（プログラム）を再設計する。

③情報開示

システムコード（プログラム）が流出した可能性がある場合、悪意者がどのような行動をとるか想像する。対処例として、漏れた事象を公開し対応策（処置）を行うことを発信することで、悪意者がシステムコード（プログラム）を入手しても利用できないと思い込ませる。また、万一の不正に備え、プログラム言語を変更するなどアクションプランを作り最悪の事態を想定した対応を行う。

④情報発信

強制リセット行為は「伝家の宝刀」を抜いたと考えられるが、リセットを行うことでどこまで影響を及ぼすか想像する。対処例として、コールセンターに問い合わせが殺到することを考慮して大幅に人員を増やすだけでなく、時間を最大限に延長し丁寧に対応する。

また、既存店舗の影響が避けられないため、店舗入り口で特設コーナーを設置し対応している姿をメディアに公開し、お客様を大切に思っている姿を明確に宣伝することで、失った信頼を再構築する。

まとめ

今回、本件の報告書で発表されたものと「ITプロジェクト版失敗原因マンダラ図」から考える真因への対応は違っていることが分かる。報告内容は、該当プロジェクトの事象だけに沿ったものである。失敗全体が記載されている「ITプロジェクト版失敗原因マンダラ図」を使うことで、本来見えなければならない事が関係者の知識に関係なく見えてくる点が違うことをお伝えしておきたい。

佐伯 徹

特定非営利活動法人失敗学会

理事

《最新のDX動向・人気記事・セミナー情報をお届け！》
≫≫≫DXナビ　メルマガ登録はこちら