シャドーITのススメ
「シャドーITは悪である」
多くの企業の情報システム部門は、そう教える。
しかし私は、製造業の現場にいる人間として、逆のことを言いたい。
むしろ、現代日本企業においては、シャドーITこそが現場を支えている。
現場は“勝手に”Excelを使っているのではない
製造業では、品質保証と法令遵守が絶対条件である。
原料規格
処方情報
配合比率
変更履歴
トレーサビリティ
本来なら、これらは統合されたシステムで厳密に管理されるべきだ。
ところが実際には、多くの企業でまともな基幹システムが存在しない。
入力が不便。
検索できない。
変更履歴が追えない。
マスタ管理が破綻している。
その結果、各部署がExcelを作る。
品質保証部が独自台帳を作る。
開発部が独自マスタを作る。
工場が独自チェックシートを作る。
これは「統制違反」ではない。
業務を成立させるための自己防衛である。
情シスは「禁止」しか言わない
AIについても同じだ。
現場は議事録を書きたい。
仕様書を整理したい。
コードを書きたい。
検索したい。
しかし返ってくるのは、
「セキュリティが」
「ルールが」
「利用申請が」
「正式導入が」
という言葉ばかりである。
もちろん、情報漏洩対策は必要だ。
しかし問題は、その間にも業務は止まらないということだ。
人手不足。
属人化。
長時間労働。
法令対応。
現場は、今日も処理しなければならない。
その結果、社員は個人スマホでAIを使い始める。
個人メールにデータを送る。
勝手にSaaSを契約する。
つまり、禁止によって統制が強化されるのではない。
禁止によって地下化するのである。
本末転倒
情シス部門は、「社内ルール違反」を恐れる。
しかし現場から見れば、もっと恐ろしいものがある。
法令違反
品質事故
表示ミス
監査不備
回収事故
入力ミスを誘発するシステム
検索不能なマスタ
二重管理されたExcel
こうした状態を放置しながら、「AI利用禁止」を叫ぶのは、本末転倒ではないか。
統制とは、現場を止めることではない。
品質と法令遵守を、現実的に成立させることである。
DXを進めるのは誰か
日本はかつて、幕府体制の停滞を打破し、明治維新によって近代国家へ転換した。
外圧に適応できなかった旧体制に対し、変革を主導したのは現場側の人間だった。
企業のDXも同じである。
変化を起こすのは旧体制に染まったIT専門部署ではない。
現場だ。
実際に困っている人間。
実際に入力している人間。
実際に事故リスクを背負っている人間。
その人たちが、自分たちで改善を始める。
そこからしか、本物のDXは始まらない。
シャドーITは「悪」なのか
もちろん、無秩序なシステム乱立は危険である。
野良マクロ
属人化したAccess
退職者しか分からないGAS
それらは企業リスクになり得る。
しかし、だからといって、
何も作らせない、
何も試させない、
AIも禁止する、
現場改善も止める。
その結果として残るのは、「安全な停滞」ではない。
緩やかな腐敗である。
本当に必要なのは、シャドーITを根絶することではない。
現場主導の改善を、企業が正式に支援できる体制へ進化することだ。
本来の使命を忘れていないか
誤解してほしくないのだが、私は無秩序な野良システムを礼賛したいのではない。
法令を無視しろと言いたいわけでもない。
セキュリティを軽視しろと言いたいわけでもない。
むしろ逆だ。
品質を守るために。
法令を守るために。
現場を壊さないために。
既存システムや組織構造が機能不全を起こしているなら、現場が自ら改善を始めるしかない、と言っているのである。
本来、情シス部門は「統制」の番人である前に、「業務改善」の支援部門であるべきだ。
現場を知らず、
業務を知らず、
品質リスクを知らず、
ただ「禁止」を繰り返すだけなら、それは統制ではない。
自分が責任を取らないための保身である。
そして現代では、その抵抗コストを最終的に負担するのは現場であり、お客様だ。
入力ミスに苦しむのも現場。
二重管理に苦しむのも現場。
監査対応に追われるのも現場。
属人化の尻拭いをするのも現場。
品質不具合による被害を受けるのはお客様。
非効率な作業によるコスト増を受けるのもお客様。
情シス部門は、自分たちの仕事の価値を決めているのは誰かを改めて考えるべきだ
シャドーITで会社を変えよう
日本企業のDXが進まない理由は、技術不足ではない。
現場に課題が見えていても、
改善案が存在していても、
AIや自動化ツールが手の届く場所にあっても、
それでも変わらない。
なぜか。
品質リスクや法令違反リスクよりも、「社内規則を守っていること」が優先されるからだ。
入力ミスを誘発する運用でも、
検索不能なマスタでも、
属人化したExcelでも、
「昔からこうやっている」
「正式システムではないから変更できない」
「リソースがない」
その一言で止まる。
そして多くの場合、判断基準は「会社にとって何が最善か」ではない。
「今、自分が責任を取らなくて済むか」である。
新しいことをやれば、失敗時に責任が発生する。
しかし何もしなければ、
たとえ非効率でも、
たとえ現場が疲弊していても、
たとえ潜在的な品質リスクを抱えていても、
“事故が起きるまで"、問題は放置され、取り組みは先送りされる。
そして事故が起きたとしても、多くの場合責任は生産部や品管品証部門にあるとされ、IT推進を怠った情シス部が追及されることは少ない。
あげく、チェックシートが増殖し現場はさらに疲弊する。
だからこそ、現場の人間は動かなければならない。
Excelでもいい。
Pythonでもいい。
AIでもいい。
まずは今、現場の感度で自分たちの業務を改善する。
もちろん、作ったものは将来的に標準化されるべきだ。
監査性も必要だ。
権限管理も必要だ。
だが、最初の一歩まで止めてはいけない。
今日も業務を回しているのは現場の人間だ。
だから私は、あえてこう言いたい。
シャドーITで会社を動かそう。
Discussion
激しく同意
記事的にシャドーITてなんやねんも言及してくれたら良いかなと思いました
情シと格闘している現場非ITの同胞です。
如何に見つからないようにシャドーITするかを考えて過ごしています。どこの情シも禁止禁止言うのが仕事なんですね。
安全性も大事なのはわかるんですが、業務効率性も彼らにとっての得点となるような世界になってほしいですね。
IT部門の人間です。
いくら役員やIT部門の人間が禁止と言っても、このご時世シャドーITもシャドーAIも管理は出来ずとも存在を知っているはず。
知っている時点で、禁止と言っているだけでは責任逃れは出来ない。
ただ現場のセキュリティ意識の低さも頭の悩ませどころ。
リスクも分からないやつが気軽に業務で使うなが本音。
理想としては、現場の人間もセキュリティマネージメントの試験を取ってほしい。
どっちも歩み寄りが必要ですね。
色々偉そうにすみません。
社内システムのSEやっています。
記事めっちゃ参考になります。
情シスはどうしてもコスト部門になるので、コスト削減と戦うために「禁止」と言いがちだと思います。
うちでは条件付きでシャドーITはOKとしています。
同じデータでも使う部署や見る人が変われば、必要なレポートが違うと思います。
全部ITで巻き取って開発ができれば良いのですが、コスト等を天秤にかけるとやっぱりシャドーITに頼ることもあります。
なので禁止にはせず属人化せずに複数人で管理できる体制であればOKとしています。
AIは個人情報を入れてしまう社員もいるので、会社指定のAIだけOKとしています。
シャドーITとITが上手く折り合いをつけれる環境になれるのが一番だと思います!!
熱い。心より応援します
シャドーITによるアクシデントの責任を問われるのが現場だけならいいんですけどね
正直、好意的に内容を受け取れなかったなぁ...。
前提、私の職場がどんどんシャドーITなくそうという方向性でいるから、ポジショントークではありますが。
結局、必要悪なんだろうと思います。
こういった問題は、現場から変えにくいと思いますね。
大体経営層からトップダウンじゃないと変えにくい。
私からすると、「結局いち現場の人間に状況なんて変えられないので、シャドーITするしかない」に見えた。
理想論だけでいうと、そこら辺を会社の意思決定として話して利用すべきと思うので。
情シスはセキュリティに関しては社内規則と照らし合わせて「いまこの社内規則ならこれやっちゃいけんな」ということを助言する職能だし、またたとえば助言の上社内規則を変えるみたいなしんどい仕事をする金ももらってないわけですから、どちらかというと不満がある側が情シスと役員を抱き込んで、現場の人間はどれだけ不満があってどうすれば解決しそうなのか懇々と説明して社内規則変えてもらうのが筋なんじゃないですか
結局社内規則が変わんなかったら「情シスはダメって言ったんですけど、あちらさんが勝手にやりました」とするしかないわけですし
たくさんコメントありがとうございます!
私史上、一番いいね をもらいまして嬉しいです。
先日のエンジニア交流会で、私と似たような境遇の方がLT登壇されていたのを聞いて、常日頃から思っていることを記事にしました。
趣旨としては、「だからIT部門はダメなんだ」と世の中のIT部の方々全員を敵に回したいわけではなく、今いる会社のIT部門がどうしようもなく諦めかけている人に、諦めず奮起してもらえれば幸いです。
また、私は大阪でエンジニアコミュニティの運営メンバーやっているので、今度これをテーマにしても良さそうかと思いました
もちろんIT部門と非IT部門の対立を煽るようなものではなく、どうやったらお互いが理解しあって真のDXを達成できるようになるかを話したいです