» シャドーITのデータマネジメント上のリスク

株式会社データ総研 データ総研のオンサイト教育
製品案内 DMBOK ITコンサルティングサービス ITコンサルティング事例 紹介セミナー 教育コース 技術情報 DRIブログ 会社概要
シャドーITのデータマネジメント上のリスク

シャドーITあるいはステルスITとは、その企業における本来的なIT導入の手続きを経ずに構築された情報システムを指します。一般に、情報システム部は感知することなく、ユーザ部門が勝手につくってしまった情報システムです。また、外部のシステムから提供される機能(メール・ファイル共有など)を勝手に仕事で使うことも、シャドーITに含まれます。

この種のシステムは大きな範囲の業務をカバーすることは少なく、1つの部門内に閉じた業務をサポートします。普通に運用されていれば問題視されることはありませんが、場合によっては大きな経営リスクとして認識されることもあります。以下、いくつかのリスクをご紹介します。

1 データセキュリティリスク

企業が持っている認証システムを経由しないので、誰でもデータにアクセスすることが可能です。個人情報が盗まれたり、機密情報がオープンになったりするリスクがあります。 「外部システムの掲示板機能やファイル共有機能を使っていたため、重要なデータや顧客のデータがオープンになってしまった」という例もあります。そうなるとコンプライアンス問題に発展することになるので、充分な注意が必要です。

2 データクオリティリスク

適切な入力チェックのルールが設計されず、ゴミデータが混じりやすい情報システムになりがちです。また、データクオリティを改善するためのガバナンスもきかないので、データクオリティは悪くなる一方です。誤ったデータを使い業務上のトラブルが発生し始めた段階で、何らかの改善策を打つ必要があります。

3 データオペレーションリスク

ディスクがクラッシュしたり、コピーの上書きを間違えるなどによって使っていたデータが無くなった場合、これを復旧する手段が用意されていません。きちんと設計された情報システムであれば、定期的にバックアップがとられ、リカバリーの方法も用意されていますが、シャドーITではこういった配慮がない場合もあるのです。大切な訪問先リストや新商品のレシピなどが飛んでしまい、数カ月前に出力した紙からデータを復元することになることもしばしば。

4 データ統合リスク

当初はある業務に閉じていると思っていたが、やはり周辺の業務と関わりがあり、「シャドーITのデータと周辺システムのデータを統合したい」ということが発生します。そのときに困るのは、全社共通コードなどにシャドーITのデータが準拠していないため、データが統合できないこと。今は、1つの業務を可視化できるだけでなく、複数の業務とつながることがデータに求められる要件であることを、シャドーITの導入者は知らないのです。

さて、今回はシャドーITのデータマネジメント上のリスクを見てきました。

利用部門の立場では、新しいことをITで実施したいけれど、環境が古いとか予算がないなどの理由で実施できない。しかし、それでも何らかのシステム化が必要なとき、シャドーITの導入にチャレンジしてみたくなるのでしょう。

情報システム部にとっての最大のリスクは、「利用部門側で面倒見きれなくなったシャドーITの運用・保守を全部情報システムに任せたいと突然言われること」でしょうね。早めの感知、早めのガバナンスが望まれます。

データ総研 コンサルタント