運用担当者と統制担当者を兼任するメンバーを入れるメリット
Works Human Intelligenceが提供する「COMPANY(カンパニー)」は、業種・業態を問わず大手企業を中心に導入され、約600法人グループが10年以上に渡って継続利用するという信頼性の高い人事システムだ。約450万人もの人事データを管理しており、必然的にコンプライアンスや統制が重視される。
しかし、コンプライアンスや統制といったとき、大嶋氏が身近な人に聞いたところ、「邪魔」「実運用を理解してない」「面倒なルールばかり増やして開発・運用負荷を上げてくる」「怖い・憲兵」「その割に実運用の役に立たず、効率を下げてくる」「総じてイモくさい」など、ネガティブなコメントが返ってきて落ち込んだそうだ。
そんな大嶋氏がコンプライアンスマネージャーを務める同社では、運用・開発・統制が三つ巴となって業務に取り組んでおり、運用と統制を兼任する担当者もいる。それは運用統制チームが発足した時から、「統制担当者が運用も担うべき」という考え方に基づいているからだ。つまり「運用をエンジニアリングするだけでなく、統制もエンジニアリングしていく」わけだ。
そのメリットとしては、例えば、統制担当者にとって運用の統制的な弱点がわかるため、顧客への説明時を考えて変更を行ったり、証跡が残せていないものはログを残せるようにしたり、効率的に統制を行っていくことができる。一方、運用担当者も統制における運用的弱点がわかるため、守りたいものがあった時に運用負荷のかからない統制手段をとったり、運用を変えずに顧客の要望に応えられるログ出しのタイミングを計ったりすることができる。つまり、運用の負担を変えない方法を模索しやすくなるわけだ。
「作業やっていいよ証明書」と「作業できるよ部屋」の組み合わせ
それではWorks Human Intelligenceでは、どのような統制ルールで業務を遂行しているのか。様々なルールがある中で、膨大な数の個人情報が保管されている顧客環境への変更・アクセスを中心にここでは扱っていく。まず基本的なルールとして、作業者は作業実施申請の承認(=「作業やっていいよ証明書」)を得てから作業するようになっている。さらに執務室からは顧客環境に入れず、その奥にある顧客環境接続部屋(=「作業できるよ部屋」)からでなければ接続ができない。そして、そこには「作業やっていいよ証明書」がなければ入れない仕組みになっている。
なお「作業やっていいよ証明書」の発行にはかなり厳しい制約があり、①作業者のリクエストに基づいて責任者が発行し、②たとえ本人が責任者であっても自分で発行することはできず、③作業終了レポートを出す、または一定時間の経過で入室の権利は失効することになっている。こうしたことから「作業やっていいよ証明書」での不正は行いにくくなっている。また、「作業やっていいよ部屋」に入れる人は社員であっても限定されている。
大嶋氏は、「こうした厳密な統制ルールを用いているのは、やはりWorks Human Intelligenceが顧客企業の従業員の個人データを取り扱っているからにほかならない。執務室内での閲覧ができると、覗き見などのリスクを負うことになるので、物理的な隔離を行っている」と説明した。
事例1:クラウドサービスの起動・停止作業の効率化を"当事者"として調整
こうしたルール運用の事例として、従量課金制のクラウドサービスを使用する際の「起動停止時間の設定」のオペレーションの調整について紹介した。起動や停止のために「やっていいよ証明書」は必要だが、「作業できるよ部屋」に移動しなければならないのは非効率。そこで、「やっていいよ証明書」がないと入れない"部屋"以外の方法で「やっていいよ証明書」の存在を担保する。部屋の代わりに「やっていいよ証明書」がないと設定できない "設定変更ツール" を用いることで運用者の負担を軽減するものとした。なお起動停止の時間情報は、個人情報など「アクセスを限るべき情報」ではないので「作業できるよ部屋」で守る必要がないという前提だ。
具体的には、運用者が変更後のスケジュールと「やっていいよ証明書」のIDをスケジュールツールに送信すると、有効かどうかが検証される。OKとなったら「やっていいよ証明書」の存在が認められたとして起動・停止を実行。作業が終わったら再び「やっていいよ証明書」をスケジュールツールに返却する。大嶋氏は「自分が運用者であることで、証明書を用いたアプリを容易に準備できた。また自分が統制者なので、自分以上に運用を拘束する必要がなくなる。運用者が統制者でもあることで、運用も統制も両立させることが容易にできた」と評した。
事例2:コロナ禍を機に、統制を保持したままテレワーク環境を構築
続いて2つ目の事例として、コロナ禍を機に開始されたテレワークについて紹介された。もともと顧客環境にアクセスする必要があるなど、業務内容によってはリモートワークは難しい。社外から顧客環境に入ろうとしても跳ね返されるようになっており、社外から顧客Aの環境にアクセスしたい場合は、一度執務室に入って、顧客Aの「作業やっていいよ証明書」を申請し、それをもって「作業できるよ部屋」に入ってから顧客Aの「作業やっていいよ証明書」によって顧客Aの環境にアクセスする流れにしていた。それぞれのリスクについて、「データ漏洩」はネットワークの分離と部屋アクセスの制限、「覗き見」は部屋アクセスの制限、「無申告」はアクセス経路の制限によって対策されている。
これと同じ環境アクセスをリモートで実現させるために、まずは執務室に入って「在宅で作業やってもいいよ証明」を取ってから中継環境を経て、顧客Aの「作業やっていいよ証明書」をもって顧客環境Aにアクセスできるルートにした。直接中継環境にアクセスできず、かつ顧客A以外の顧客にはアクセスできないという形だ。そして、それぞれのリスクについても従来と同様に検証し、「データ漏洩」は中継接続への証明書の発行によって、「覗き見」は作業場所がカフェなどではないと事前に確認された上で証明書を発行することで、そして「無申告」は従来と同じ運用で担保という形で対処した。
大嶋氏は「ここでも自身が運用者なので実態がわかり、関係者に説明が容易であること。さらに自身が統制者なので運用改善に対するインセンティブが存在している。両者にとって喜ばしいリモート環境を実現することができた」と語った。
運用者であり統制者が施策を手掛けることによる課題の解決
ただし、このやり方についてはいくつか課題も残されている。まず1つ目として、職務分掌が難しいということがある。通常、職務分掌は部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化することで、責任範囲を明確化し、不正に対する牽制となる。しかし、運用と統制が一人格であることでそうした方法が使えない。そこで、不正検知の機能を利用するようにしているという。
例えば、パブリッククラウドのログ記録機能によって、操作が記録されるようになっている。そこには操作記録用のパブリッククラウドアカウントが用意され、その保存領域はアカウント管理者であっても一定期間削除・編集できない設定となっている。そして、操作記録は定期的に自動チェックされ、不審な動きがある場合はアラートされる。
また、パブリッククラウドの操作記録については、統制チームのリーダーが記録アカウントの管理権限を保持している。運用チームの各リーダーは顧客環境のあるパブリッククラウドアカウントの管理権限は保持しているが、統制チームのリーダーは管理権限を持たず、一般運用者の権利のみを保持している。これにより、記録について運用チームが不正な変更を加えることを困難にし、運用について統制チームによる不正を困難にしている。
そして2つ目の問題は、製品が増加した場合に対応が難しくなることだ。統制担当者は担当製品の運用も実施するが、運用する製品が増えていけば負担が増大する。そこで、製品ごとに統制担当者を出し、定期的に集まって相談会や勉強会を実施している。
また、こうした横への広がりについてもさることながら、統制・運用・開発は日々改善され内容は高度化していくことになる。その際に、定型業務をこなすだけなら可能でも、トラブル対応や改善への参加は困難になっていくのが3つ目の課題だ。そこで、運用チームから運用に関するスキルを共有するために運用チームが持っていたタスクについて各チームから当番を出して、運用チーム1人、統制チーム1人の2人で対応するようにしている。なお人数を控えめにしているのは、運用チームが複数いると、そこだけで問題を完結してしまい、技術的な伝承がなされにくくなるからだ。
そして、もう一つ、コンプライアンスや統制についての怖さ、わからなさといったところから、運用者は「何かあっても隠したい」傾向にある。しかしながら、統制担当者としては隠されてしまえば対処のしようがない。そこでその対立をなくすために、統制担当者も運用担当者として運用業務に携わるようにしているのに加え、統制目的をすべての運用者に伝えるべく、統制チームが新人研修で"統制精神"を注入している。
これまでを振り返り、大嶋氏は「運用や開発は楽しいかと思うが、同様に統制も、運用や開発に関わりながら行うとずっと楽しいものになる。ぜひ、試してみていただきたい」と語り、セッションのまとめとした。
Ask the Speaker
――統制担当者と運用担当者が近い、または同じ場合、手心を加えてしまうことはないのでしょうか。
「職務分掌面でも、かなり大きなリスクだと思います。そこで社内の他の統制関係者の第三者の目を入れて、この体制・仕組みでいいのかをチェックするようにしています。または社外のISO認証など監査の目を入れるようにしています」
――参加者に一番伝えたいポイントは?
「運用担当者自身が統制を担うことで、統制の効果を活かしながら、運用や開発ができます。それはとても『楽しいたけ!』だと伝えたいです」
――作業担当者が画面ショットを取るなどのリスクに対しては、どのような対策をとっているのでしょうか。
「基本的に作業ショットを撮られて困るものはできるだけ閲覧できないようにしています。また、『作業できるよ部屋』にはモバイルの持ち込みは不可となっています」
――統制が「楽しいたけ!」と思った瞬間は?
「統制と運用を両立させて施策に取り組み、成果が出たときですね!」
