運用担当者と統制担当者を兼任するメンバーを入れるメリット
Works Human Intelligenceが提供する「COMPANY(カンパニー)」は、業種・業態を問わず大手企業を中心に導入され、約600法人グループが10年以上に渡って継続利用するという信頼性の高い人事システムだ。約450万人もの人事データを管理しており、必然的にコンプライアンスや統制が重視される。
しかし、コンプライアンスや統制といったとき、大嶋氏が身近な人に聞いたところ、「邪魔」「実運用を理解してない」「面倒なルールばかり増やして開発・運用負荷を上げてくる」「怖い・憲兵」「その割に実運用の役に立たず、効率を下げてくる」「総じてイモくさい」など、ネガティブなコメントが返ってきて落ち込んだそうだ。
そんな大嶋氏がコンプライアンスマネージャーを務める同社では、運用・開発・統制が三つ巴となって業務に取り組んでおり、運用と統制を兼任する担当者もいる。それは運用統制チームが発足した時から、「統制担当者が運用も担うべき」という考え方に基づいているからだ。つまり「運用をエンジニアリングするだけでなく、統制もエンジニアリングしていく」わけだ。
そのメリットとしては、例えば、統制担当者にとって運用の統制的な弱点がわかるため、顧客への説明時を考えて変更を行ったり、証跡が残せていないものはログを残せるようにしたり、効率的に統制を行っていくことができる。一方、運用担当者も統制における運用的弱点がわかるため、守りたいものがあった時に運用負荷のかからない統制手段をとったり、運用を変えずに顧客の要望に応えられるログ出しのタイミングを計ったりすることができる。つまり、運用の負担を変えない方法を模索しやすくなるわけだ。
「作業やっていいよ証明書」と「作業できるよ部屋」の組み合わせ
それではWorks Human Intelligenceでは、どのような統制ルールで業務を遂行しているのか。様々なルールがある中で、膨大な数の個人情報が保管されている顧客環境への変更・アクセスを中心にここでは扱っていく。まず基本的なルールとして、作業者は作業実施申請の承認(=「作業やっていいよ証明書」)を得てから作業するようになっている。さらに執務室からは顧客環境に入れず、その奥にある顧客環境接続部屋(=「作業できるよ部屋」)からでなければ接続ができない。そして、そこには「作業やっていいよ証明書」がなければ入れない仕組みになっている。
なお「作業やっていいよ証明書」の発行にはかなり厳しい制約があり、①作業者のリクエストに基づいて責任者が発行し、②たとえ本人が責任者であっても自分で発行することはできず、③作業終了レポートを出す、または一定時間の経過で入室の権利は失効することになっている。こうしたことから「作業やっていいよ証明書」での不正は行いにくくなっている。また、「作業やっていいよ部屋」に入れる人は社員であっても限定されている。
大嶋氏は、「こうした厳密な統制ルールを用いているのは、やはりWorks Human Intelligenceが顧客企業の従業員の個人データを取り扱っているからにほかならない。執務室内での閲覧ができると、覗き見などのリスクを負うことになるので、物理的な隔離を行っている」と説明した。
事例1:クラウドサービスの起動・停止作業の効率化を"当事者"として調整
こうしたルール運用の事例として、従量課金制のクラウドサービスを使用する際の「起動停止時間の設定」のオペレーションの調整について紹介した。起動や停止のために「やっていいよ証明書」は必要だが、「作業できるよ部屋」に移動しなければならないのは非効率。そこで、「やっていいよ証明書」がないと入れない"部屋"以外の方法で「やっていいよ証明書」の存在を担保する。部屋の代わりに「やっていいよ証明書」がないと設定できない "設定変更ツール" を用いることで運用者の負担を軽減するものとした。なお起動停止の時間情報は、個人情報など「アクセスを限るべき情報」ではないので「作業できるよ部屋」で守る必要がないという前提だ。
具体的には、運用者が変更後のスケジュールと「やっていいよ証明書」のIDをスケジュールツールに送信すると、有効かどうかが検証される。OKとなったら「やっていいよ証明書」の存在が認められたとして起動・停止を実行。作業が終わったら再び「やっていいよ証明書」をスケジュールツールに返却する。大嶋氏は「自分が運用者であることで、証明書を用いたアプリを容易に準備できた。また自分が統制者なので、自分以上に運用を拘束する必要がなくなる。運用者が統制者でもあることで、運用も統制も両立させることが容易にできた」と評した。
事例2:コロナ禍を機に、統制を保持したままテレワーク環境を構築
続いて2つ目の事例として、コロナ禍を機に開始されたテレワークについて紹介された。もともと顧客環境にアクセスする必要があるなど、業務内容によってはリモートワークは難しい。社外から顧客環境に入ろうとしても跳ね返されるようになっており、社外から顧客Aの環境にアクセスしたい場合は、一度執務室に入って、顧客Aの「作業やっていいよ証明書」を申請し、それをもって「作業できるよ部屋」に入ってから顧客Aの「作業やっていいよ証明書」によって顧客Aの環境にアクセスする流れにしていた。それぞれのリスクについて、「データ漏洩」はネットワークの分離と部屋アクセスの制限、「覗き見」は部屋アクセスの制限、「無申告」はアクセス経路の制限によって対策されている。
これと同じ環境アクセスをリモートで実現させるために、まずは執務室に入って「在宅で作業やってもいいよ証明」を取ってから中継環境を経て、顧客Aの「作業やっていいよ証明書」をもって顧客環境Aにアクセスできるルートにした。直接中継環境にアクセスできず、かつ顧客A以外の顧客にはアクセスできないという形だ。そして、それぞれのリスクについても従来と同様に検証し、「データ漏洩」は中継接続への証明書の発行によって、「覗き見」は作業場所がカフェなどではないと事前に確認された上で証明書を発行することで、そして「無申告」は従来と同じ運用で担保という形で対処した。
大嶋氏は「ここでも自身が運用者なので実態がわかり、関係者に説明が容易であること。さらに自身が統制者なので運用改善に対するインセンティブが存在している。両者にとって喜ばしいリモート環境を実現することができた」と語った。
