連載
» 2018年12月17日 10時00分 公開

エバンジェリストが教える、RPA成功の絶対条件:RPAがセキュリティリスクに? 企業が知らない盲点とは (1/3)

人の作業を代行するRPAが、コンプライアンス違反やセキュリティリスクの原因になり得ることはご存じでしょうか。RPAの活用が進むにつれて危険性は高まります。そうなる前に企業はどのような対策ができるのか、具体例とともに紹介します。

[志村裕司,Blue Prism]

著者紹介:志村裕司

Blue Prism ソリューションコンサルティング部長

野村総合研究所、セールスフォース・ドットコム、Box JapanといったIT企業で活躍後、Blue Prismに入社し、日本ビジネスの立ち上げメンバーとして尽力。プリセールス活動を中心に、導入プロジェクトへの参画やイベントでの講演も数多く務める。

 こんにちは、Blue Prismの志村です。前回はRPA選定時に必要な「拡張性」「耐障害性」の視点について紹介しました。今回は「コンプライアンス」「セキュリティ」に焦点を当ててご説明します。どちらもエンタープライズRPAの実現には不可欠なものです。

 まだRPAを部門単位で導入している企業が多いためか、コンプライアンスやセキュリティについてはあまり気にしないケースが大半だと思います。しかし、デジタルワーカーは人の作業を代行するわけですから、その作業内容は当然、内部統制の対象になります。本来は導入時から配慮しなければなりません。

RPAがコンプライアンス違反を起こすリスク

 コンプライアンス(法令順守)と一口にいっても、金融業界や医療業界など業界特有のもの、J-SOX(内部統制報告制度)や個人情報保護法といった全業界共通のものなど、対象はさまざまです。例えば、日本の上場企業は例外なくJ-SOXへの対応が必要で、財務業務における内部統制の評価結果を毎年、国に報告する義務があります。

 内部統制の評価を行うモニタリングでは、対象業務の担当者にヒアリングを行ったり、対象システムのログを確認したりします。人と違ってデジタルワーカーには直接ヒアリングできないため、ログが非常に重要な役割を担います。

 RPAのログが不十分な場合は、不正が行われたときに「いったい誰が行ったのか」「その人物がどうやってユーザーのアクセス権を取得したのか」「そのプロセスに何が起きたのか」などについて説明責任を果たせません。そもそもRPAにログが残っていなかったり、理論上、ログが改ざん可能であったりするようでは、内部統制の評価ができず、最悪の場合はコンプライアンス違反と判定されてしまいます。

 さらにセキュリティの観点では、「最小権限の原則」を実現し、不正を予防するために、きめ細かなアクセス制御機能が必要です。重要な顧客情報が入った基幹システムにロボットがアクセスできる場合の危険性を考えてみましょう。ロボットは企業名や取引額などの情報を一瞬にしてリスト化できるため、悪用があれば情報は簡単に流出します。

 従業員にRPAを悪用されて、個人情報漏えいなどのコンプライアンス違反が発生すれば一大事です。大々的に問題が報道されてしまえば、社会的な信用を大きく落とし、場合によっては顧客離れから売り上げが減少し、最悪の場合は倒産に追い込まれてしまうこともあるでしょう。

 倒産というのは少し大げさかもしれませんが、内部統制をしっかり確保し、リスクを回避するためにも、RPA製品にはしかるべきコンプライアンスとセキュリティの機能が必須だということはお分かりいただけるかと思います。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。