オフショア開発から考えてみたいこと：萩原栄幸が斬る！ IT時事刻々

コストメリットが注目されるオフショア開発――セキュリティの観点でとらえてみると、セキュリティ以外にもさまざまなものが見えてくる。

[萩原栄幸，ITmedia]

　今回はオフショア開発における情報漏えいやセキュリティを考察してみたい。このテーマについて、ぜひ議論のきっかけにしていただきたい。

オフショア開発とは？

　IT用語辞典「e-Words」によれば、「システムインテグレータが、システム開発・運用管理などを海外の事業者や海外子会社に委託すること。オフショア開発の主な受注先としてはインドや中国の企業が挙げられるが、近年ではロシア、カナダ等にもオフショア開発を請け負う企業が設立されている。また、日本や欧米の企業が現地に進出して本国の案件を受託する場合もある」とある。

　筆者の記憶では、オフショア開発の歴史はまだ20〜30年程度しかない。10年ほど前に筆者は、金融機関におけるオフショア開発の可能性を検討し、その結果を上司に報告したことがあった。中国やインドの会社と接触し、さまざまな観点からシステム開発の可能性について検討したものである。その結果、筆者が在席していた金融機関では直接オフショア開発について検討するには障壁が高すぎるとの判断から、関係子会社にその内容を引き継ぎ、子会社の視点で再度検討することになった。

オフショア開発をめぐる事件

　検討当初から問題となっていたものに、「セキュリティ」があった。特に現地で開発したソフトウェアと、その周辺のハードウェアやソフトウェア、さらには管理を含めての情報漏えいが懸念された。ここ数年の状況でみても、中国現地での情報漏えいと、中国人による日本国内での情報漏えいという2つの局面からの事件が散見される。

　マスコミで騒がれることはあまりないが、中小企業では会社の死活問題となっている事案も多いと聞いている。そうした事件の中でも有名なものが、「デンソー中国人産業スパイ事件」である。gooのニュースアーカイブに、その内容をみることができる。

　その他にも、Microsoftからソースコードが盗用された事件や、フランスの自動車大手Renaultでの機密情報の漏えい事件、米議会諮問機関の米中経済・安全保障再考委員会が「米国での中国の産業スパイ件数は毎年20〜30％のペースで増えていると推定」といった報告をするなど幾つもある。

　昨今では中小企業がオフショア開発を行うことも珍しくなくなった。オフショア開発での情報漏えいが、その会社に深刻な被害をもたらしているケースが少なくないとある関係者が話している。日本企業の被害実態は、日高東亜国際特許事務所所長の日高賢治氏のコラム「中国知財最前線」でも次のように紹介されている。

現地での典型的事例

　中国に進出した生産工場の現地化の一環として、有能な中国人社員を製造部門の責任者として配置。日本国内と同レベルの製造ノウハウを教え、現地生産管理を任せていたが，突然退職。後に、中国企業が同日本企業製品とほぼ同じ製品を製造販売。調べたところ，退職した中国人社員が図面、データ、サンプル等を無断で持ち出し、当該中国企業に渡していたことが発覚。

日本での特殊事例

　中国固有植物に由来する健康食品開発を決定した日本企業A社は、某大学の著名な教授の推薦を受け、中国人研究者X氏を3年間嘱託研究員として採用。一応の成果が得られた段階で基礎研究を終了し、中国人研究者X氏も退職。実際の商品化までにまだ時間を要したことから、特許出願も留保。それから2年後、商品化開発着手前に特許調査を実施したところ、何と同社研究成果の内容そのものの出願5件が中国の某大学名でなされていることを発見。発明者欄にはX氏の名前があった。

何のためのオフショア開発か？

　オフショア開発がまだまだ少なかった時代に、一時期だけ流行ったのが中国人やインド人を日本に招き、日本で開発してもらうというものであった。しかし、このビジネスモデルはあっという間に無くなっていった。日本に来た時点で労働単価が高く（日本で生活するのだから物価は日本の物価となり、人件費を抑えられるといっても限界がある）なり、しかも日本語ができないとコミュニケーションが成立しないからだった。

　現在でも交換留学や民間レベルでの技術者交流としては続いているが、商売としては成り立ちにくいという側面がある。多くの場合、日本人と同様に面接や試験を行い、日本人と同じ給与で、会社としては日本人と同じ条件と見なして採用している。

　その後、ソフトウェアという成果物ならメールでやり取りができるし、労働単価は現地の条件なので、委託側には多くのメリットがあるとしてオフショア開発が急増した。米IBMのように世界に拠点を構えて、24時間のうちどこかの地域でソフトウェア開発が進めるという状況も可能になった。生産性を飛躍的に伸ばして成功した会社が数多く出てきた。

　しかし、オフショア開発の成果物がソースコードである以上は、簡単に持ち運べるという点が逆に課題になった。中国本土における「著作権意識」が近年まで全くといって希薄であったといった理由などから、日本では一部ながらもこれが大きな問題となりつつある。労働単価も昔と違い、今では相当に賃金が上昇している。このため、中国からインドにシフトしている傾向も見られる。既に日本の「製造業」がその舵取りを変えつつある。中国で生産し、それを日本や欧米に輸出するという図式が崩れ始めており、既に日系企業は中国で生産し、中国で消費するというビジネスモデルを描き始めている。

　筆者の友人には中国人もいるし、友人の奥さんが中国人で年に1、2回は中国に出向いて、こまめに挨拶をしている人もいる。個人的には、戦後の日本人にように昭和40年代ごろの意識が強く、本当に真面目で勤勉かつ優秀な中国人が多いと感じる。それでもオフショア開発について論理的に考えるなら、「リスク」をきちんと捉えて、それがだめになった場合に、すぐほかの対策を講じる経営ができるような柔軟な舵取りが必要ではないだろうか。

　中国には何百もの「オフショア開発センター」が存在していると思うが、このようなセンターにおける情報管理体制は日本の比ではない。極めて厳重だ。それでも漏えいすることがあるという。こうした状況にもかかわらず、目先のマンパワーによるコストパフォーマンスだけに注目してオフショア開発を行うということは、非常にリスクの高いことと言えよう。

　オフショア開発のビジネスモデルが古いと言っているのではない。製造業のように、自社の周囲の変化に合わせてビジネスモデルを変革しなければいけない。中国やインドに限らず、どの国にもカントリーリスクが存在し、その国民性や所得格差、国の方針などによって、取るべき行動は変わる。同じスタンスで大丈夫ということはあり得ない。

　新幹線の安全性問題やソフト著作権の侵害、商標権に対する感性の違い、人命について考え方の違い、大陸型文化と島国型文化の違い、徹底した個人主義、「謙虚さ」を「弱さ」と捉える文化など、諸外国と日本との違いに目を向けるたびに、「日本人は何と脇が甘いのか」と思わざるを得ない。もう少し慎重に行動し、万が一の場合にも対策ができる――日本人はこのような考えをオフショア開発だけでなく、全ての行動に取り込んでいかなければならないと感じている。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。