経済安全保障・地政学リスクを考慮したオフショア拠点の見直し 第1回:オフショア拠点を存続させる場合のデータ管理のあり方

2022-03-23

近年、海外でシステム開発、コールセンター業務、事務代行などを行うオフショア拠点のあり方を見直す動きが見られるようになってきました。見直すと言っても、拠点を完全に撤退するケースに限らず、リスクを見直しながら、引き続きオフショア業務を継続するケースも散見されます。オフショア拠点のあり方を見直すにあたってのポイントを解説する連載の第1回は、オフショア拠点を存続させる場合のデータ管理のあり方について取り上げます。

2022年内の成立が見込まれる経済安全保障推進法には、「サプライチェーンの強靭化」「基幹インフラの安全性・信頼性確保」「官民技術協力」「特許出願の非公開化」という4つの柱があります。この中で基幹インフラ産業には、エネルギー、水道、情報通信、金融、運輸、郵便などの業種が想定されており、これらの事業者が保有する施設・設備・システムの管理には細心の注意が求められています。同法の施行後には、経済安全保障上の問題を未然に防ぐため、基幹インフラ関連の施設・設備・システムを導入する前に、政府による審査が義務付けられることになります。例えば、金融機関の基幹システム開発を海外のオフショア拠点に業務委託する場合や、電力会社の重要施設情報をクラウドで管理する場合などは厳しくチェックされることが予想され、企業への影響は決して小さくありません。

元々、企業がオフショア拠点を利用するようになった背景には、海外市場に安価な労働力を求めたことがあります。英語圏の企業向けにはインドやフィリピン、日本企業向けには中国がその受け皿として発展してきました。例えば中国の大連では2000年代初頭から、産業パークの設置や日本語教育の強化などが進められるなど、中国政府が積極的にオフショア拠点を誘致してきました。当初、大連の人件費は日本のおよそ5分の1程度と言われており、大きなコスト削減効果がありました。しかし、近年経済発展著しい中国での人件費は日本国内とほとんど差がない水準にまで高騰し、オフショア拠点を活用することによるコスト面のメリットは年々薄れてきています。さらに、新型コロナウイルス感染症(COVID-19)の蔓延後の今となっては、中国政府のゼロコロナ政策により、従業員に対する移動制限が突然課される可能性も否定できず、業務継続のリスクも高まっています。

こういった厳しい局面にあることに加えて、企業には「経済安全保障」という新たな課題が突き付けられた格好となります。頭を抱える企業も多いことでしょう。コスト削減の効果が小さくなり、地政学的なリスクまで考慮しなければならないのであれば、むしろオフショア拠点の活用を辞めてしまおうかと考える企業が出てくるのも無理もありません。実際、アウトソーシング事業者の中には、日本国内のニアショア拠点を充実させ、国内回帰を図る動きも見られます。しかし、ことはそれほど単純でありません。以前から言われているように、日本国内のデジタル人材不足は深刻です。さらに、日本政府が続けるCOVID-19の水際対策によって外国人技術者の入国が大幅に制限されるなど、優秀な労働力の確保は大きな課題となっています。

このような状況下において、今後もオフショア拠点を活用する場合には注意すべきポイントが以下のとおり4点挙げられます。

①データの格納方法と格納場所

最初に明確にすべきなのは、オフショア拠点におけるデータ管理のあり方です。「データやサーバを物理的にどこに設置し、どこの誰がアクセスできるのか」を明確にする必要があります。経済安全保障の観点では、日本企業が保有する顧客データや事業上のノウハウが含まれるソースコードなどを、特定の国家に握られてしまう事態を避けなければいけません。バックドアを仕掛けられる懸念のあるIT機器の利用も極力控えたいところです。

また、一般的にはクラウドサービスの利用が当たり前になりましたが、一部の国ではインターネット上のアクセス制限や検閲によって、利用できないサービスや公式にはサポートされていないサービスもあるため、プラットフォーム選定には注意を要します。基幹インフラ産業のサービスが現地政府の意向によって停止するような可能性は排除しなければいけません。

②データ関連の法規制

日本の個人情報保護法では、個人情報の越境移転に際し、従来から本人の同意取得を求めていましたが、2022年4月に施行される改正法では、それに加えて、移転先の国の個人情報保護制度に関する情報提供や、移転先の第三者における相当措置の実施状況の把握が求められます。例えば、日本企業が国内で入手した顧客データを中国・大連のオフショア拠点で処理する場合には、中国データ三法(サイバーセキュリティ法、データセキュリティ法、個人情報保護法)や、オフショア拠点におけるプライバシー対策などを顧客に対して説明できるようにしておく必要があります。

ASEAN加盟10カ国の他、日本や中国も署名し、2022年1月に発効したRCEP(Regional Comprehensive Economic Partnership:東アジア地域包括的経済連携)の規定には、「締約国は情報の電子的手段による国境を越える移転が対象者の事業の実施のために行われる場合には当該移転を妨げてはならないとする」とあります。これは、締約国間での自由で開かれたデータ流通を促すものですが、同時に「締約国は各締約国が情報の電子的手段による移転に関する自国の規制上の要件を課することができる」というただし書きもあり、当面は各国の法規制が優先される前提で対応しておいた方が良いでしょう。

③現地の労働慣行・商習慣

オフショア拠点のヒトに関しては、人件費の高騰以外にも、「人材の定着率が低い」ことがよく問題になります。そのため、現地のシステムエンジニア(SE)のマインドセットを正しく理解することが肝要です。以下のグラフはいずれも独立行政法人情報処理推進機構(IPA)が発表した「IT人材に関する国際比較調査」の結果です。これを見ると、オフショア事業が盛んなインド、中国、ベトナムのSEは日本のSEに比べて、総じて自己研鑽に励み、より良いポジションがあれば積極的に転職する傾向にあることが分かります。

国際比較調査 日頃の勉強の程度
国際比較調査 週あたりの平均勉強時間
国際比較調査 現在の企業での勤務希望年数

人材の定着率が低ければ、採用コスト・教育コストが余計にかかり、安定した品質を維持することが難しくなります。さらには、情報管理の面でも一層の注意が必要になります。知的財産権に対する意識が低いSEがいたとしたら、自分で書いたソースコードは自分のモノだと思い込み、転職先に持ち込んでしまうかもしれません。

④対外的な説明責任

日本企業のオフショア拠点でインシデントが発生すれば、日本のメディアはそれを大きく、しかも継続的に取り扱う可能性があります。個人のプライバシーに関する情報を取り扱う企業であれば、たとえ法律に違反していなかったとしても、過敏に反応する消費者もいるはずです。そのため、企業は「もしも」の場合に備えて、顧客・規制当局・株主・メディアなどの利害関係者に対して適切かつ迅速に情報発信ができる体制を整えておくことが重要になります。オフショア拠点とは、普段目の届きにくい場所であり、何か問題があっても実態の把握が難しいのが実情です。これまでは、委託先がどのように情報管理を行っているのかを確認するために、チェックシートを配布して自己点検してもらう程度の対策しか講じてこなかったかもしれません。しかし、対外的な説明責任を果たすためには、アクセスログや操作ログを適切に残し、過去に遡った調査が瞬時にできるようにしたり、定期的にオフショア拠点に対する外部委託先監査を実施したりするなど、これまで以上に踏み込んだ対策の検討も必要です。

米国とソ連の冷戦終結後、産業界ではグローバリゼーションが進みましたが、近年はその歪んだ進展の反動なのか、世界各国が自国第一主義を唱えるようになりました。また、COVID-19の蔓延によってサプライチェーンが途絶するという現実を突き付けられ、国内での重要物資の確保に奔走する動きもあります。世界情勢は常に流動的であり、今後も国際紛争や政治家の発言、偶発的な出来事などによって、国民感情が一気に変化することがあり得ます。グローバルで事業を営む多国籍企業には、このような潮流を読み違えることなく、自社にとって何が本当のリスクなのかを都度見極めながら、意思決定を進めていくことが求められます。

執筆者

山本 直樹

パートナー, PwCコンサルティング合同会社

Email


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}