野良アプリに情報漏えい、リスク山積のノーコード／ローコード開発の安全な進め方

現場主導でスピーディーな課題解決が可能になるとして注目される「ノーコード／ローコード開発」。安全な開発を進めるには、機密データの扱い方などリスクを最小限にするルール策定が肝となる。

[土肥正弘，ドキュメント工房]

　ノーコード／ローコード開発ツールはIT部門主導のシステム開発の弱点を補い業務部門で作業の効率化を進める選択肢として、またDX（デジタルトランスフォーメーション）推進エンジンの一つとして認知が広がった。現場主導のシステム開発によってスピーディーな業務改善が可能になる一方で、機密データや情報の取り扱いといったガバナンスが新たな課題となる。サイボウズの山田 明日香氏（事業戦略室兼営業戦略部）が、2022年7月に同社が公開した「kintoneガバナンスガイドライン」について詳細を語った。

ノーコード／ローコード開発の裏にあるリスクと課題

　国産のノーコード／ローコード開発ツールの代表格である「kintone」は2万5000社（2022年6月時点）に導入され、東証プライム上場企業の3社に1社が利用しているという。

　日清食品グループでは紙ベースの申請・承認業務や回覧業務のデジタル化にkintoneを役立て、スポーツ用品小売り大手のアルペンではPOSシステムやECと基盤系システムとの連携に、自動車部品メーカーのジヤトコでは現場主体の業務改善基盤としてkintoneを活用する。こうしてノーコード／ローコード開発ツールの活用が進む一方で、次のような課題が生まれた。

• どの部署でどんなアプリが開発、運用されているのかが見えにくくなりやすい
• 機密データの取り扱いをユーザー部門に任せていいかどうかの判断が必要
• セキュリティ規制を逸脱した運用が懸念される
• 運用の属人化リスクや情報管理面の問題
• 組織の管理下にない「野良アプリ」が生まれる恐れがある

　こうした「守りの視点」は必要だが、それによって現場で主体的に課題解決に取り組もうとする「攻めの視点」が損なわれてはならない。そこで、リスクを把握しながらITツールを効果的に活用するフレームワークとして、適切なガバナンスの構築が求められる。

現場主導のアプリ内製化のリスク、星野リゾートはこう対処した

　2022年7月にサイボウズはkintone導入企業に向けて「kintoneガバナンスガイドライン」を公開した。外部のアドバイザーによる汎用（はんよう）的なガバナンスモデルを基に、kintoneの導入企業から寄せられた課題やガバナンスへの取り組みを参考にして作成されたものだ。ガイドライン作成のきっかけは、星野リゾートなど約20社が参加したkintoneの大企業向けユーザー会で上がった声からだった。

　星野リゾートでは全従業員のIT人材化を掲げて組織全体でkintoneを活用するが、利用が拡大するにつれて「誰が設定を変更したのかが分からない」「同じようなアプリが乱立する」「カスタマイズ担当者が退職してアプリが動かなくなる」などの問題が表面化した。自由度を損なわず、大きく道を踏み外さないための“ガードレール”的なガバナンスがちょうどいいとした。

　自動車部品メーカーのジヤトコでは市民開発を推進しており、kintoneの利用開始前に運用ルールを策定していた。だが、利用が始まると当初のルールだけでは統制を取れず、ユーザー教育や開発状況の把握、アプリの棚卸ルールの強化が必要になった。

　これらの声を参考に作成されたkintoneガバナンスガイドラインのポイントは以下の図の通りだ。

図1　ガバナンス検討の流れ（出典：イベントでの投影資料）

　ガバナンスの検討の流れはツールの理解に始まり、利用戦略の検討やガバナンス方針の策定、ルールの形成、さらにルールの運用やモニタリング、改善といったフェーズを踏む。重要なのは、図1の青色矢印で示されているようにツールや方針を継続的にブラッシュアップすることだ。ガバナンスルールは一度作成して終わりではなく、利用環境や規模の拡大に伴ってアップデートする必要がある。

　ガバナンスの検討ポイントとして、「戦略」「組織」「人材」「プロセス」の4つ（図2）を組み合わせて、特定の領域と偏らないようにすることが重要だ。

図2 ガバナンスの検討ポイント（出典：イベントでの投影資料）

　現状を理解して、今後どのように利用を拡大するのかを検討する必要がある。これには、利用規模と利用領域（重要データと業務プロセスに適用するのか、限定的なデータ・業務プロセスに適用するのかなど）の2軸で考える「ガバナンスマップ」（図3）を描くと明確になる。全社利用に踏み切るのか、それとも少数精鋭で領域を限定した活用にするのかなど、今後の道筋を考えることが重要だ。

図3 ガバナンスマップで現状と今後の目指したいポジションを検討（出典：イベントでの投影資料）

　適用領域の拡大フェーズで考慮すべきは、データ漏えいや不正確な情報処理を防止するためのガイドラインだ。例えば、アプリ作成権限の付与やチェック体制、アプリ作成・変更時の第三者確認やデータガバナンスに関連する対策の整備などだ。

　また、展開フェーズでは“野良アプリ”の発生やスキル不足から発生するアプリの作成ミスなどの問題を考慮に入れるべきだ。全社的な管理体制の構築や段階的な教育制度、一覧表によるアプリ管理やモニタリングの強化などを検討する必要がある。

　星野リゾートの場合、顧客情報を利用するかしないかで開発環境を分離している。顧客情報を取り扱う場合はIT部門とDX推進組織だけがアプリを作成し、顧客情報を取り扱わない場合は業務部門を含めた幅広い利用者にアプリの作成を許可している。

　ジヤトコではトライアルアプリと本運用アプリを分け、トライアルアプリは誰でも自由に作成可能にし、本運用フェーズに移行する際に推進担当者がアプリの品質をチェックしている。現在、利用領域を拡大するために、アプリ構築後のリスク評価の仕組みやアプリ開発者を限定した開発体制の構築を検討しているところだ。

図4　星野リゾートの事例でのガバナンスマップ。環境を2つに分けて利用領域拡大を図る（出典：イベントでの投影資料）

開発人材の育成、教育のポイント

　アプリ作成に関する教育の他、ガバナンス教育も肝要だ。従業員全員に均一のガバナンス教育を実施するのは難しいため、段階的に考え、推進組織および各担当者の役割に関連した教育方針を考えることがポイントだ。求められるスキルレベルを定義し、一定の教育水準に達した人員のみがその役割を担うなどの教育方針が有効だ。ジヤトコでは、教育内容と目標人数を定めて計画的なガバナンス教育を実施している。

　開発スピードや柔軟性を維持しつつ、アプリの品質確保やリスク管理を進めることがkintoneガバナンスガイドラインのポイントの一つだ。また、ガバナンスルールは常にモニタリングして、利用状況や組織の変化に合わせて継続的にアップデートすることが重要だ。kintoneガバナンスガイドラインは、今後もユーザーの意見を取り入れて継続的に見直していく方針だという。

本稿は、オンラインセミナー「『変化し続けられるDX』を支える IT部門のためのガバナンスガイドライン 作成と活用のキーポイント　〜エンタープライズ企業のkintone活用事例から紐解くノーコード／ローコードツールの最新トレンド〜」（主催：サイボウズ）の講演内容を編集部で再構成したもの。