株式会社renue
AI導入・DXの悩みをプロに相談してみませんか?
AIやDXに関する悩みがありましたら、お気軽にrenueの無料相談をご利用ください。 renueのAI支援実績、コンサルティングの方針や進め方をご紹介します。
上場企業の情報システム・基幹系部門のAI実装|SAP 2027問題・レガシーモダナイゼーション・IT統制の責任設計【2026年5月版】
本稿は、上場企業の情報システム・基幹系部門(CIO配下:情報システム本部、IT企画部、基幹システム運用部、インフラ部、SAP/ERPコンピテンシーセンター等)における生成AI/AIエージェント実装の論点を、SAP ERP 6.0のメインストリームサポート終了(2027年末、いわゆる2027年問題)、経済産業省「レガシーシステムモダン化委員会総括レポート」(2025年5月公表、経済産業省 報道発表)、改正J-SOXのITGC(IT全般統制)強化、改正サイバーセキュリティ基本法の動向を踏まえて整理したものである。読者として想定するのは、CIO・情報システム本部長・IT企画責任者・基幹システム運用部長・SAP/ERPコンピテンシーセンター責任者、ならびにCFO/CRO/CISO配下でIT投資・IT統制・情報セキュリティを担うリーダーである。
情報システム・基幹系領域は他のすべての部門のAI実装の基盤を担うため、自部門のAI実装は「他部門への波及」「IT統制適合」「説明責任」「移行リスク管理」の4要件を同時に満たす必要がある。本稿は、業務マトリクス・5領域責任設計・3層ガバナンス観点・典型失敗パターンを順に提示する。
情報システム・基幹系領域を取り巻く2026年の制度・市場動向
情報システム・基幹系部門は2026年を境に、複数の制度・技術・市場圧力を同時に受けている。
第一に、SAP 2027年問題が現実的な対応期限を迎えている。SAP ERP 6.0のメインストリームサポートが2027年末に終了し、国内の多数のSAPユーザー企業は、(a) S/4HANAへの移行、(b) Public CloudまたはPrivate Cloudの選択、(c) サードパーティ保守への切替、(d) 国産ERPまたはマルチベンダー環境への乗り換え、の戦略選択を迫られている。グローバルではECC顧客の移行率が限定的で、多くの企業が2027年末以降もECC継続またはサードパーティ保守を視野に入れる動きが報告されている(Computer Weekly「S/4Hana in 2026: Three ways to move off SAP ECC」)。
第二に、経済産業省「レガシーシステムモダン化委員会総括レポート」(2025年5月公表)により、レガシーシステム残存率が依然として高い水準にあると指摘された。経産省はユーザー企業に対し「現行踏襲の見直し」「標準化対応」「上流人材の育成・確保」「ベンダー丸投げ体質からの脱却」「BTP(Business Technology Platform)等のローコード開発を社内で扱える内製化」を提言している(経済産業省「レガシーシステムモダン化委員会総括レポート」)。
第三に、改正J-SOX(2024年4月以後開始事業年度から適用)に伴うITGC(IT全般統制)の運用強化が進む。3線ディフェンスモデルの明示化により、情報システム部門は第1線(業務部門としての日常的モニタリング)と第2線(IT統制部門としての部門横断的管理)を兼務する責任が増し、AI関与プロセスへの統制設計も対象範囲に組み込まれている。
第四に、改正サイバーセキュリティ基本法・能動的サイバー防御・経済安全保障推進法の特定社会基盤役務制度等により、情報システム部門は脆弱性管理・SOC運用・サプライチェーンセキュリティの責任が大幅に拡大している。生成AIによるSOC・脆弱性管理の自動化が現実解として浮上する一方、AI出力をそのまま是正措置として執行する設計には人間判断レイヤーが必須となる。
第五に、市場動向として、ERPベンダーが「AI Native ERP」の方向性を明確化している。SAP S/4HANAのAI機能(Joule等)、Oracle Fusion Cloud ERPのAIアシスタント、Microsoft Dynamics 365のCopilot統合などが標準搭載化されつつあり、CIOは「ERPアップグレード」と「AI機能統合」を一体で計画する必要がある。中国市場では国産ERP(鼎捷数智、用友、金蝶等)が信創(信息技術応用創新)政策の追い風で大きく伸長し、AI大模型と業務アプリの融合が急速に進んでいる(鼎捷数智「2026年ERP国産化替代推奨ランキング」)。日本企業の中国子会社IT基盤は、現地国産ERP採用と本社グローバル統一基盤のバランス設計が求められる。
情報システム・基幹系部門の業務マトリクスと生成AI適用余地
当部門の業務を「定型度」「IT統制影響度」の2軸で類型化すると、AI適用優先順位が明確になる。IT統制影響度とは、AI関与によってJ-SOX上のITGC・アクセス制御・変更管理・運用管理に与える影響の大きさを指す。
| 業務 | 定型度 | IT統制影響度 | AI適用度 | 責任レベル |
|---|---|---|---|---|
| 運用監視・アラート分析 | 高 | 中 | ◎ Auto可 | L2 |
| インシデントトリアージ・初動 | 中 | 高 | ○ Recommend | L3 |
| 変更管理・本番リリース承認 | 低 | 極高 | △ Co-pilot限定 | L4 |
| アクセス権限棚卸・分離違反検知 | 中 | 極高 | ○ Recommend | L4 |
| SAP/ERP移行影響分析・テスト計画 | 中 | 高 | ○ Recommend | L3 |
| ABAPコード解析・リファクタ提案 | 中 | 中 | ◎ Co-pilot | L2 |
| 運用ドキュメント・手順書生成 | 高 | 低 | ◎ Co-pilot | L2 |
| ベンダー評価・RFP作成 | 中 | 中 | ◎ Co-pilot | L2 |
| IT予算試算・ROI分析 | 低 | 高 | ○ Recommend | L3 |
| レガシー脱却ロードマップ策定 | 低 | 極高 | △ Co-pilot限定 | L4 |
責任レベルL1(Auto)は人間レビュー任意、L2(Co-pilot)は人間が下書きを使って実務、L3(Recommend)は人間が候補から選択、L4(人間最終決裁)はAI出力を参考にするのみで意思決定の説明責任を人間が完全に保持する。変更管理・本番リリース承認・アクセス権限棚卸・レガシー脱却ロードマップ策定はL4厳守で、AI判定をそのまま執行記録に残してはならない。
5領域責任設計フレーム(リスクベース)
renueでは、上場企業の情報システム・基幹系部門のAI実装を「①基幹システム運用・SLA責任」「②変更管理・IT統制(ITGC)責任」「③SAP/ERP移行・モダナイゼーション責任」「④情報セキュリティ・サプライチェーン責任」「⑤IT予算・ベンダー戦略責任」の5領域に分割し、各領域でAI関与レベルと意思決定責任者を明示する設計を推奨する。
領域①基幹システム運用・SLA責任
運用監視・アラート分析・初動はAIで効率化できる代表領域である。AI Co-pilotによるログ要約・予兆検知・自動チケット起票で運用負荷は大幅に下がる。しかし、SLA違反時の経営層エスカレーション、停止判断、復旧優先順位の決定は情報システム本部長の責任である。AIが提示した「自動復旧手順」をそのまま実行すると、稀なケースでデータ整合性破壊・重大障害拡大のリスクがある。
領域②変更管理・IT統制(ITGC)責任
改正J-SOXのITGC強化により、変更管理(CR:Change Request)・本番リリース承認・パッチ適用承認は厳格な統制対象となる。AI Co-pilotによる影響分析・テストケース生成・差分検知は有効だが、「本番リリース承認」「重大変更時の経営層報告」は人間決裁が必須。AI出力をそのまま統制証跡として残すと外部監査で証拠能力が問われる。
領域③SAP/ERP移行・モダナイゼーション責任
2027年問題対応のSAP S/4HANA移行、レガシーシステムのモダナイゼーション、クラウド移行はAI Co-pilotで影響分析・テスト計画・ABAPコード解析の効率化が大きい。一方、移行戦略選定(Brownfield/Greenfield/Bluefield/サードパーティ保守継続)はCIO・CFO・経営会議の合議による経営判断とする。経産省提言の「現行踏襲の見直し」「標準化対応」「内製化」を経営マターとして位置付けることが必要。
領域④情報セキュリティ・サプライチェーン責任
SOC運用・脆弱性管理・パッチ適用・サプライチェーンセキュリティはAIによる自動化効果が大きい領域だが、改正サイバーセキュリティ基本法・能動的サイバー防御・経済安全保障推進法対応の判断はCISO・CIO・現地法務の合議とする。第三者AIサービスの利用時のデータ取扱い・学習利用拒否・モデル変更通知の3点セット規程化が必須。
領域⑤IT予算・ベンダー戦略責任
IT予算試算・ROI分析・ベンダー評価はAI Co-pilotで効率化できる。一方、戦略的アライアンス・サービス継続判断・契約更新条件交渉はCIO・CFO・調達責任者の合議とする。「ベンダー丸投げ体質」からの脱却、内製化推進、上流人材の育成は経営マターとして取締役会承認の対象とする設計が望ましい。
3層設計観点(上場企業特有の情報システム・基幹系ガバナンス)
上場企業の情報システム・基幹系AI実装は「①取締役会・経営会議レベル」「②CIO・情報システム本部・SAP/ERP CoEレベル」「③現場運用担当者・ベンダー連携担当者レベル」の3層で設計しないと、IT統制・移行リスク・セキュリティの連鎖リスクが顕在化する。
第1層:取締役会・経営会議
(a) IT中期戦略・モダナイゼーション方針の承認、(b) SAP 2027年問題対応戦略決定、(c) 重大インシデント発生時のエスカレーション、(d) 内製化・上流人材育成の方針、(e) IT予算と経営貢献KPI、を年次および随時で決議する。経産省「レガシーシステムモダン化委員会」総括レポートの提言は、上場企業の取締役会レベルでも意思決定材料として用いられている。
第2層:CIO・情報システム本部・SAP/ERP CoE
(a) 5領域別RACI設計、(b) AI出力の証跡保全標準(プロンプト・モデル・出力・人間レビュー記録)、(c) ITGCにおけるAI関与の評価フレーム、(d) SAP/ERP移行ロードマップとAI支援ツール選定、(e) 情報システム部門員のAIスキル要件、を規程化する。CIOの役割は「ITサービス提供責任者」から「AIネイティブ業務基盤の構築責任者」へとシフトしており、IT統制とAI活用の両立設計が中核業務となっている。
第3層:現場運用担当者・ベンダー連携担当者
(a) AI出力をそのまま運用記録としない(必ず人間サマリ層を挟む)、(b) 重大変更時の人間承認徹底、(c) ベンダー対応時の機密情報のAI入力制限、(d) インシデント記録のAI関与明示、を運用標準として定める。ベンダー丸投げ体質を脱却し、AI Co-pilotを活用した社内技術判断力の強化が継続テーマとなる。
情報システム・基幹系AI実装の落とし穴(典型失敗パターン)
renueがコンサルティングで観察した典型的な失敗パターンを共有する。いずれも、IT統制・移行リスク・セキュリティの3要件を軽視した事例である。
失敗パターン①:AI自動復旧スクリプトが本番障害を拡大。運用AIが「自動復旧手順」を実行した結果、稀なケースでデータ整合性破壊・障害拡大に発展。「Auto可」と「人間決裁必須」の境界設計、サンドボックステスト、ロールバック手順の整備が必要だった。
失敗パターン②:AI生成のITGC統制証跡が外部監査で証拠能力を否定。J-SOX対応の変更管理・アクセス権限棚卸の証跡をAI生成のまま提出した結果、外部監査人から「人間レビュー記録なし」「AI判断根拠不明」として証拠能力を否定。AI出力+人間サマリ層+承認フローの3点セットが必須だった。
失敗パターン③:SAP移行戦略をAI推奨のまま採用、業務適合性が破綻。AI推奨のBrownfield移行を採用したが、現行カスタマイズ範囲との適合性検証が不十分で、本番運用後に重大ギャップが顕在化。CIO・CFO・現業部門・SAP CoEの合議による移行戦略決定プロセスが必要だった。
失敗パターン④:ABAPコードのAIリファクタが業務ロジックを破壊。AIによるABAPコード自動リファクタを本番適用した結果、業務ロジックの一部が破壊され、月次決算で異常値が検出。AIリファクタはステージング環境での全件比較テスト、業務担当者立会い検証、段階的本番展開の3段階運用が必須だった。
失敗パターン⑤:第三者AIサービスにベンダー機密情報を送信、サプライチェーンセキュリティ違反。ベンダー対応時にRFP・契約書・運用設計書をChatGPT等の社外AIに入力した結果、ベンダー側からの機密保持違反指摘・取引関係毀損に発展。社内AIゲートウェイ+ベンダー機密のAI入力規程整備が必要だった。
AI化されにくい情報システム・基幹系領域(人間の判断が残る領域)
生成AIの能力が向上しても、以下の領域は人間(特にCIO・情報システム本部長・経験豊富なITアーキテクト)の判断が中核であり続ける。
- IT中期戦略・経営戦略統合:IT投資はCFO・CEOとの戦略合意が前提となる経営判断。
- SAP/ERP移行戦略の選定:Brownfield/Greenfield/Bluefield/サードパーティ保守の選択は経営マター。
- 重大インシデント時の経営層エスカレーション:法的責任・株価インパクト・社会的影響を総合考慮した即時判断。
- ベンダー戦略・契約交渉:長期的関係性・戦略的アライアンスは人間関係を含む高度な意思決定。
- IT組織変革・人材育成:内製化推進・上流人材育成は組織文化変革を伴う長期的取り組み。
まとめ:90日PoC設計のおすすめ
情報システム・基幹系部門のAI実装は、いきなりSAP移行AI自動化や運用全自動化から始めるべきではない。IT統制・移行リスク・セキュリティの3要件を毀損しない領域から段階的に進める設計が望ましい。renueは以下の90日PoCを推奨する。
- Day 0-30:5領域RACI設計と低リスク領域の選定。運用ドキュメント・手順書生成(L2)、運用監視・アラート分析(L2)、ベンダーRFP作成(L2)から開始。社内AIゲートウェイ整備、AI出力の証跡保全標準制定。
- Day 31-60:SAP/ERP移行影響分析・テスト計画のCo-pilot導入。ABAPコード解析、現行カスタマイズ調査、移行リスク可視化を支援。CIO・CFO・現業部門・SAP CoEの合議プロセス整備。
- Day 61-90:ITGC・SOC・脆弱性管理のCo-pilot限定導入とKPI測定。変更管理・アクセス権限棚卸の人間レビューレイヤー、SOC自動化と人間判断境界、KPI(MTTR・統制テスト網羅率・移行進捗)測定。
このアプローチにより、IT統制・移行リスク・セキュリティを毀損せず、本番運用への移行可否を90日で判断できる構造が作れる。
情報システム・基幹系部門の生成AI実装をrenueと設計しませんか
renueは、上場企業の情報システム・基幹系部門におけるAI実装の責任設計・90日PoC設計・本番運用移行の伴走を行っています。SAP 2027年問題・経産省レガシーシステムモダン化提言・改正J-SOX ITGC・改正サイバーセキュリティ基本法を踏まえた5領域責任設計を、御社のIT基盤・既存ベンダーポートフォリオに即して設計します。
関連記事
- 上場企業のDX推進室・AI推進室部門のAI実装|AI法・人工知能基本計画・AI事業者ガイドライン・内製SaaS判断の責任設計【2026年5月版】
- 上場企業のサイバーセキュリティCSIRT/SOC部門のAI実装|改正サイバーセキュリティ基本法・能動的サイバー防御・SOC自動化・サプライチェーンの責任設計【2026年5月版】
- 上場企業のCAE/内部監査部門のAI実装|IIA改訂基準・リスクベース監査計画・不正検知・監査委員会レポーティングの責任設計【2026年5月版】