筆者は金融機関の考査において、長くシステム監査的な仕事に従事してきた。金融機関にとって勘定系システムは、人間の身体に喩えれば心臓に当たる。その心臓がどんどん外部のITベンダーに移植される「心臓アウトソーシング」には、一抹の疑問を感じてきた。そんな思いは兎も角として、筆者の主戦場はターゲットである心臓を追い、金融機関からITベンダーや共同センターへと移っていった。

　そして、「何でもクラウド」の時代である。今のところ、金融機関の心臓は、情報セキュリティ上の問題等から、まだクラウド対象外と捉えられているが、ITベンダーも今に「クラウドで提供します」と言ってくるだろう。金融機関がクラウドを利用する場合の留意点は何なのだろう、と考えていくと…、ここで時空がワープする。

　今を去る40年前、大阪万博の頃、信用金庫業界は共同センターを作ってシステムをアウトソーシングした。実はこの共同システムの利用実態は、極めてクラウドに近く、「元祖クラウドは金融界にあった！」と言える。もちろんサーバーや仮想化が使われているわけではなく、技術的な意味でのクラウドではない。しかし、仕組みとしては「ITベンダーの提供するシステムを各信金が利用する」ものだ。リスク管理面において、信金業界でこの40年間に起きたことは、共同システムを管理しようとする主体的な意識が乏しくなり、任せ切りになる現象である。加盟先50の共同システムで「50分の1意識」が50個集まっても1にはならない。

　正論を言えば、こうした場合にも明確な管理意識をもって委託先をグリップしてほしい。クラウドでもSLAに基づく管理が必要なことは変わらず、「雲の向こう側にもしっかり目を光らせよ」ということになる。しかし、現実問題として、ITベンダーと利用企業の「大きな1対小さな多の関係性」において、教科書的な委託先管理の理屈はどこまで有効なのだろうか。信金業界にも「システムはITベンダーのものであり、われわれは単にサービスを利用しているだけだ」と言われてしまえば、実態通りで問題がなくなるような気もする。

　「それが許されるか否か？」。この問いに答えることと、クラウド時代のリスク管理を論じることは、同じことだと筆者には思える。極論すれば、「クラウドの利便を得るために管理を割り切る」か「管理できないものは利用しない」か。その分水嶺にわれわれは立っている。