個人情報の取り扱い、機密保持を取り決めておく
アリコジャパンのクレジットカード不正利用事件(2009年)では、システムテストに使ったカード情報漏洩が原因ではと言われています。検収や移行テストで使うテストデータは、本番データによく似たダミーデータを発注側が用意しなければなりませんが、テストデータの品質が悪いとバグが洗い出されません。テストデータ作成に時間も手間もかかるので、大手企業でさえ本番データから抽出してテストデータとし、使ってしまいがちです。個人情報や機密情報が社外に漏洩しないよう、ITベンダーがテストデータや移行作業等で本番データを扱う場合、発注側が用意した作業場で必ず作業を行なわせるようにします。事が起きた時は後から、ログなどでアクセスした人の特定ができるようにしておきます。
「見える化」する仕組みを発注段階から組み込む
システム開発は長丁場となり、様々な事態が発生します。契約時に想定できていなかった未確定事項が出た時にどうするか、取扱について決めておきます。またテスト段階などで、新システムを見た現場から仕様変更がしたいと言ってくるケースが多々あります。一つ一つに対応していたら、いつまでも完成しないシステムになってしまいます。事前に変更管理手続きを作り、納期や金額に与える影響をみながら今回のシステム開発に反映させるのか、次期開発にまわすのかなどを管理します。プロジェクトがどうなっているか、「見える化」する仕組みを発注段階から組み込んでおきます。
