「予防」と「発見」の両面からコンプライアンスに取り組む
事例に学ぶ、上場企業におけるツールの選定理由と運用状況多くの企業が全社レベルでコンプライアンスに取り組む今日、IT/IS部門が解決すべき課題も多岐にわたる。コンプライアンスに必要なツールを選定し、適切に運用していくという活動も、そうした課題の1つであろう。本稿では、東芝テックの情報システム部におけるデータベース監査ソフトの導入事例から、その選定に至った背景や運用の状況などについて紹介する。
大川 泰
Computerworld編集部
上場企業として全社的にコンプライアンスを推進
| USER PROFILE | |
|
東芝テック(TOSHIBA TEC) http://www.toshibatec.co.jp/ |
|
| 所在地: | 東京都品川区 |
| 設立: | 1950年2月21日 |
| 資本金: | 399億円 |
| 代表者: | 前田義廣(取締役社長) |
| 業務: | 店舗用POSシステム、レジスター、OAシステムなどの製造販売、デジタル複合機の製造 |
「TEC」というロゴが記されたPOSレジスターをコンビニエンス・ストアやスーパー・マーケットなどで目にした経験がある読者は多いことだろう。このPOSレジスターで国内首位の東芝テックは、流通情報システム関連の製品と、東芝ブランドのデジタル複合機の製造という2つの事業を軸に、グローバル展開する電気機器メーカーである。
企業に対して、コンプライアンスの確立という社会的な要請が高まるとともに、金融商品取引法(通称:日本版SOX法)など新たな法制度への対応が求められる今日、東京証券取引所第1部に上場する東芝テックも、同社グループ企業を含め、そのための取り組みを一丸となって進めている。
例えば、グループ企業各社において、CRO(Chief Risk-Compliance Management Officer:リスク・コンプライアンス統括責任者)を任命し、コンプライアンスおよびリスク・マネジメントにかかわる施策の立案・推進、緊急事態への対応などを行っており、また、東芝テック本体では、このCROを委員長とするリスク・コンプライアンス委員会を設置し、グループ全体の体制整備などを推進している。
予防保守と発見という両面の対応が必要
以上のような取り組みに加え、東芝テックが力を注いでいるのが、社員一人ひとりにおけるコンプライアンス意識の向上である。
そのために同社は、eラーニングの啓蒙コンテンツを用意し、社員全員が定期的に受講するようにしている。海外のグループ企業においては、それぞれの地域の特徴まで考慮した内容も含めてコンプライアンス教育を行っているという。こうした啓蒙・教育活動は、コンプライアンス上の問題発生を未然に防ぐための、いわば予防保守のための取り組みだと言える。
だが、どのような予防策を実施したとしても、「問題が発生する可能性を完全に排除できるわけではないのです。100点満点の予防策はありません」と、同社生産本部 情報システム部 応用システム開発担当 グループ長の戸城篤人氏(写真1)はくぎを刺す。
そこで、いざ問題が起きたときにそれを迅速に発見することができる仕組みが必要になると戸城氏は語る。そうした発見の仕組みの存在が認知されれば、それが抑止力となり、新たな予防保守にもなる。つまり、コンプライアンスを推進するためには、予防保守と発見という両面から取り組まなければならないというわけだ。
情報漏洩/改竄対策にはすべてのログ取得が必須
東芝テックが全社を挙げてコンプライアンスに取り組むなか、同社情報システム部のリーダーの1人である戸城氏は、「やはり、情報漏洩やデータ改竄への対策が、われわれの部門に課せられた大きなテーマだと認識しています」と言う。また、日本版SOX法への対応という観点からも、「ITを使った財務諸表にかかわるリスクを軽減するのが、われわれの使命です。財務諸表が簡単に改竄され、その改竄を発見できないようなシステムは許されません」と語る。
それでは、情報漏洩やデータ改竄を阻止するためには、何が必要となるのだろうか――この問いに対して同氏は、次のように答える。
「いたって簡単なことです。情報漏洩/データ改竄を防止する手段として私が最も重視しているのは、すべてのアクセス・ログ/操作ログを取得しておくということなのです」
もちろん、重要な情報が格納されているのはデータベースであり、同氏が言うアクセス・ログ/操作ログとは、データベースに関するものだ。
「例えば、お客様の情報が格納された取引先マスタから何万件ものデータを一度にダウンロードするという操作は、通常の業務では発生しません。そうした操作を漏らさずに発見し、その犯人を特定できるようにするためには、データベース・ログをすべて取得しておくことが必須条件になります」(同氏)
アドミン権限を持つ人々への周知を徹底
データベース・ログをすべて取得する仕組みの1つの目的は、万が一、社外から不正侵入があったときの対策に役立てるということである。
それと同時に、社内においてその仕組みの存在をアナウンスすることで、コンプライアンス違反への抑止力、つまり予防保守の効果も期待できると戸城氏は語る。ただし、現実的な視点から見れば、一般の社員がアクセス制限などの厳重なセキュリティ対策をかいくぐり、データベース・サーバから重要な情報を盗み出せるとは考えにくい。ここで主に対象としているのは、アドミニストレーター権限を持つ情報システム部自身、およびその権限を知る可能性があるSIerやソフトウェア・ベンダーといった開発委託先のパートナーである。
東芝テックの情報システム部には、工場勤務の社員も合わせて60名程度が在籍しており、開発委託先のパートナーは時期により人数が変動する。前述のように日ごろからコンプライアンスに積極的に取り組む同社において戸城氏は、そうした人々のモラルに信頼を寄せている。それでも、IT全般統制の観点からは、特別な権限を持つ人々がいる以上、それに見合ったセキュリティ確保の仕組みを用意し、その周知を徹底させることは不可欠であろう。
- 1
- 2
