執筆原稿
2006年10月04日
第1回 えっ? アイデンティティ管理って私たちを楽にしてくれるモノだったんだ
最近、「日本版SOX法対応ソフト」とか「内部統制」という言葉を急に耳にするようになってきた。
私たちの会社も、SOX法への対応が必要とのこと。
そのためにアイディンティティ管理システムというものを導入するらしい。
そうじゃなくても、どんどんセキュリティが厳しくなって、大変なのに・・・。
 | この頃、急に「日本版SOX法」という法律を耳にするようになったけど、知ってる? |
 | 聞いたことはあるけど、中身はよくわからないんだ。新しい法律だってことぐらいしか。 |
| そういえば、「内部統制」って言葉も、コンピュータ雑誌なんかでよく見るようになったわ。管理だの統制だの、ちょっと息苦しくない? |
| 確かにそれは言えてるね。でも、個人情報漏えいとかで、新聞沙汰になるのも困るよ。そう言えば、うちの会社も日本版SOX法に対応しなくっちゃ、いけないらしいけど。 |
 | そうだよ。上場企業に対して、2008年4月1日以降の事業年度から適用されるんだ。 |
| ということは、その準備にあと1年半ほどしかないわけだ。だから、会社としては慌てているってことか! |
 | 君の言うとおり。 |
| 「日本版SOX法」とは通称で、「金融商品取引法」が本当の名前なんだよ。この中では、企業が正しい財務報告をするよう、正しい過程を経て作られているか、そのための体制がきちんと機能しているかを評価した「内部統制報告書」の提出を義務づけているのじゃ。 | |
| 「内部統制」の意味が今ひとつ、わかるような、わからないような・・・。 |
| 簡単に言えば、組織の中で不正が起きないよう、自分たちで相互チェックする機能を、きちんと働かせるようにする仕組みのことだよ。ほら、最近、企業の不正が相次いで、社会問題となっているだろう? |
| うん、いろんな事件が報道されているよ。不正経理、利益操作、闇金作りなんかの組織ぐるみの不正や、不届き者による個人情報や機密の漏えいなんかだね。 |
| 組織ぐるみの不正は論外としても、個人の仕業による情報漏えいは、もう少し気をつければ、もっと防げると思うの。例えば、パスワードをしっかり管理するとか、アクセス制限をきちんとかけるとか。 |
| いい点に気づいたね。まさしくその通り。企業側がきちんと管理していれば、犯罪は防げるはずなんだ。万が一、不正や事件が起こっても、その異変を早めに察知できるので、最小限の被害で食い止められる。 |
| 同じ部署で3ヶ月ほど前に転職してきた人がいるのだけど、その人が「以前いた会社の私のメールアカウント、まだ使えるんだよ。」と。ええ、そんなにずさんな管理をしている会社があるの?って、すっごく驚いたのだけど。 |
| どうして、そんなことが起こるのか、考えてみよう。 |
| 忙しいから、かな? 情報システム部の人から聞いたけど、「システムの『おもり』だけでも大変なのに、パスワード忘れたから教えてほしいとか、間違ってデータ消しちゃったので復元してほしいとか、ユーザの『おもり』でヘトヘト。カンベンしてよ。」って。 |
| 人事部とシステム部の連絡がきちんと取れていないのも大きな原因じゃないかな? 新しく来た人にシステムの使い方を教えようとすると、その人のIDがまだ作られていなかったり、反対に退職した人の場合では、その人の社内システムに入るIDは消えていても、メールアドレスやメーリングリストがそのままだったり、とか。 |
| 実際に、そういう作業は大変だよ。例えば、総スタッフ2,000人の会社で、1年間に25%の人に異動や入退社があるとし、そのためのシステム更新に1人あたり30分かかるとすれば、年間で250時間。さらに各個人が1年に1回、パスワード忘れなどで情報システム部のお世話になると、何と年間1,000時間。実際には、システム部だけでなく、人事部や管理者、そしてお世話になった本人も時間を費やしているので、相当膨大なものになるはずだね。 |
| それだけではないぞ。さっきの話に出て来たように、社内システム用アカウント、電子メール用アカウントなど、1人の人間が、いくつものアカウントを持っておるはずじゃ。 |
| そうなんだ、これが大変。パスワードなんて、すぐに忘れてしまうから、実はこっそりメモしているんだ。でも他人に見られては困るから、ちょっとわかりにくい場所にね。時々、そのメモを見失って、探し出すのに、5分も10分もかけているなあ。あっ、このことは全部、会社に内緒だよ。 |
| 実は私も苦労しているわ。でも、もし自分が退職する時を考えたら、会社では、そんな複数アカウントやメーリングリストをきれいさっぱり整理しなくてはいけないので、個人以上に大変なはず。ということは、だれがどんなアカウントを持っているのか、どこに属しているのかなど、記録を取って管理していなければ、きちんとできるわけないよね。 |
| そう、これがなかなか難しいんだ。ある情報は人事部、ある情報はシステム部、そして、所属部署、タスクフォースなどなど、1人の人間に関する情報がバラバラに管理されているのが実態で、どの組織も頭を悩ましている。 |
| 「アイディンティティ管理」という言葉を知っておるかい? |
| ユーザ管理とか、アカウント管理という意味かな? |
| 間違いではない。ただし、バラバラに管理するのではなく、一元化して管理しようというものじゃ。例えば、君が別の部署に異動になったとしよう。それと同時に君が必要とするシステムへのアクセス権限などが、自動連動して変更されれば、君はすぐに仕事を始めらる。また、システム部もそのために人手を使うことがなくなる、という具合じゃ。 |
| すごく便利そう。自動連動してくれれば、今まで経験してきたストレスが、ずいぶん少なくなりそうだわ。 |
| 僕もそう思う。アイディンティティ管理を早く我が社でも取り入れてくれないかな。 |
| 安心して。すでに社内ではアイディンティティ管理を導入する方向だよ。 |
| ストレス軽減だけでなく、セキュリティ的にも良さそうね。アカウントやアクセス権限の管理が自動的にできるってことは、「削除のし忘れ」や「変更のし忘れ」もなくなるのね。 |
| そうじゃ。セキュリティ面でもアイディンティティ管理は注目されておるぞ。つまりは、内部統制の仕組み作りに有効なのじゃ。 |
| 自動化できるということは、規則や規定があって、それに従ってシステムが稼働しているということ。だから、アイディンティティ管理システムが導入できるということは、規則や規定が守られてますよ、という証拠になるんだ。 |
| それで社内には導入の動きがあるってことか。アイディンティティ管理をすることは、日本版SOX法への対応準備でもあるってことだね。 |
| 今まで、日本版SOX法とか内部統制は、自分とはあまり関係ないものと思っていたし、それに、また、管理が厳しくなるのでは、という懸念もあったけど、そういうわけじゃないみたい。認識を改めないと、いけないね。 |
| 僕も興味が湧いてきた。もっと知りたいね。 |
| 2人とも、いいね。その調子、その調子。じゃあ、また今度、時間をとろうか? |
| それまでに勉強して、疑問点をピックアップしておくのじゃ。宿題じゃぞ。 |
EDIT
トラックバック(0)
このブログ記事を参照しているブログ一覧: 第1回 えっ? アイデンティティ管理って私たちを楽にしてくれるモノだったんだ
このブログ記事に対するトラックバックURL: http://www.eyedo.jp/cgi-bin/mt/mt-tb.cgi/3680
コメントする