Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンプライアンスとかいう 難しいたけな話を 楽しいたけな話にできるはうつー/Developers Summit 2022 Summer

WHIsaiyo
August 16, 2022

コンプライアンスとかいう 難しいたけな話を 楽しいたけな話にできるはうつー/Developers Summit 2022 Summer

コンプライアンスとか統制とか聞くと何を連想するでしょうか。「コンプラの人って現場のことわかってない」「運用を難解にするだけ」「関わると怖い目にしかあわない」「コンプラってだっせーよな! 帰って開発しようぜ!」といったものではないでしょうか?
弊社製品の運用統制担当者は幸いにしてそういった難しく悲しいコメントを頂戴することは稀になりました。コンプライアンスを楽しくするために弊社統制チームが何をしてきたのか。その施策をまとめて共有し、津々浦々の統制をナウいそれに楽しく変えるのが本セッションの目的となります。楽しいですよ、コンプラ!

大嶋 俊祐[Works Human Intelligence]

株式会社Works Human Intelligence
Product Div.SRE Dept.Compliance Grp. Grp.Mgr

ヘブライ文字・アラビア文字といった文字の表示アルゴリズムについて大学で研究した後、2013年に入社。教育チームや託児施設立ち上げタスク、製品ソースコード改善タスクや社内プライベートクラウド構築・運用タスクなどに参加した後、製品の運用チームに運用の担当者 兼 運用コンプライアンスの担当者として参画。プライベートでは二児の父、TRPGと日曜プログラミングが趣味。好きなものは家族と同僚と髭剃り。苦手なものはSQLと虫と掃除。クリアデスクが苦手で同僚に怒られがち。いつもすみません。座右の銘は「喜ぶ人と共に喜び、泣く人と共に泣きなさい」。

WHIsaiyo

August 16, 2022
Tweet

More Decks by WHIsaiyo

Other Decks in Business

Transcript

  1. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    コンプライアンスとかいう
    難しい
    たけ
    な話を
    楽しい
    たけ
    にできるはうつー
    大嶋 俊祐
    2022/07/21

    View Slide

  2. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    自己紹介
    株式会社 Works Human Intelligence
    Product Div. SRE Dept. Compliance Grp.
    おおしま しゅんすけ
    大嶋 俊祐
    新卒で入社し、社内教育に3年携わった後
    現在までSREで運用コンプライアンスを担当。
    主務とは別に社内コード改善タスクや、
    社内プライベートクラウド構築タスク
    社内託児施設の立ち上げタスク等にも参加。
    2児の父。趣味は日曜プログラミングとTRPG。
    2

    View Slide

  3. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    株式会社Works Human Intelligence
    代表取締役最高経営責任者(CEO) 安斎 富太郎
    株式会社WHI Holdings
    大手企業向け統合人事システム「COMPANYⓇ」の開発・販売・サポート、HR関連サービスの提供
    100百万円
    〒107-6021 東京都港区赤坂1-12-32 アーク森ビル21階
    東京(本社)、大阪、名古屋、福岡、広島
    2019年8月1日
    1,730名(連結) ※2021年12月末時点
    03-5575-5277
    株式会社ワークスビジネスサービス
    株式会社セキスイビジネスアソシエイツ
    https://www.works-hi.co.jp
    会社概要
    商号
    代表者
    親会社
    事業内容
    資本金
    本社
    事業所
    事業開始
    従業員数
    電話番号
    子会社
    Webサイト












    大手企業・法人向け統合人事システムを開発・販売・サポートしています

    View Slide

  4. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    業種・業態を問わず、数千名~数万名規模の大手法人にご利用いただいています
    実績
    ERP市場人事・給与業務分野
    シェアNo.1※
    ※2020年度 ERP市場 - 人事・給与業務分野:ベンダー別売上金額シェア
    出典:ITR「ITR Market View:ERP市場2022」
    国内大手法人※
    の(※従業員数3,000人以上)
    3社に1社が
    WHIのHR製品を利用(当社調べ)
    年間継続契約率 98%※
    ※2020年度 金額ベース
    約600法人グループが
    10年以上継続利用中
    日本の大手約1,200法人
    グループが導入
    保有する人事データ数は
    450万人 ※
    ※2020 年 12 月末時点の契約法人における
    COMPANY 人事の契約ライセンス数合計

    View Slide

  5. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    ●自己紹介
    ●コンプライアンス運用
    ●統制ルールの紹介
    ●事例1:環境の起動・停止の設定変更
    ●事例2:在宅勤務
    ●ただし……
    ●まとめ
    アジェンダ
    5

    View Slide

  6. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    🍠コンプライアンスのイメージ🥔
    コンプライアンスないし統制に対する社会一般のイメージ
    (n = 10 / 社外のコミュニティで話して出たコメント)
    ● 邪魔
    ● 実運用を理解してない
    ● 面倒なルールばかり増やして開発・運用負荷上げてくる
    ● 怖い・憲兵
    ● その割に実運用の役に立ってない
    ● 総じてイモくさい(お芋はおいしいやろがい)
    6

    View Slide

  7. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社における統制と運用・開発のイメージ
    7
    運用

    View Slide

  8. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「統制担当者は実際の運用も同時に担当するべき」
    運用統制チームの発足当時からの思想
    運用をエンジニアリングする
    運用担当者が統制担当者も兼任
    8






















    View Slide

  9. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「統制担当者は実際の運用も同時に担当するべき」
    運用統制チームの発足当時からの思想
    運用をエンジニアリングするだけでなく
    統制もエンジニアリングする
    運用担当者が統制担当者も兼任
    9






















    View Slide

  10. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者にとってのメリット
    運用における統制的弱点がわかる
    →効率的に防御を固められる
    10
    この運用だとこういうことがあった場合に
    お客様に説明がつかないからこう変えよう
    この運用だと証跡が残せないから
    ここでログをちゃんと残すようにしたい

    View Slide

  11. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    運用担当者にとってのメリット
    統制における運用的弱点がわかる
    →運用の足を引っ張らない手法を模索し易い
    11
    これを守りたいけど、こういう統制だと
    運用負荷が高すぎるからこっちの手段で
    ここでログを吐き出させれば
    運用を変えずにお客様の必要に応えられる

    View Slide

  12. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社の基本的な統制ルールの紹介
    12

    View Slide

  13. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「作業やっていいよ証明書」
    をもらってから作業しましょう
    弊社の基本的な統制ルールの紹介
    13

    View Slide

  14. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「作業できるよ部屋」からじゃないと作業不能
    「作業やっていいよ証明書」がないと「作業できるよ部屋」には入室不能
    「作業やっていいよ証明書」の発行には以下の制約が存在
    ● 作業者のリクエストに基づいて責任者が発行
    ● 本人が発行することは不可能
    ● 作業が終わるまたは時間経過で入室の権利は失効
    作業できるよ部屋
    弊社の基本的なルール(詳細)
    14
    顧客
    環境 執務室
    作業できるよ部屋




    オレオレ印籠は
    作れません
    また、印籠に
    寿命があります

    View Slide

  15. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    ● 『作業やっていいよ証明書』が存在することを担保
    ● アクセスを限るべき情報へのアクセスを制限
    作業できるよ部屋の利点
    15
    作業できるよ部屋




    View Slide

  16. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社は従量課金のクラウドサービスを利用
    =利用している時間について課金されるので
    利用していない時間はリソースを停止させたい
    →本番稼働していない環境については起動・停止の時間を設定
    環境の起動・停止設定変更
    16

    View Slide

  17. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある
    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくない
    でも、たまにはさ
    17

    View Slide

  18. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある
    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくないが
    しかし、作業やっていいよ証明書なしに設定変更されては困る
    よって「『作業できるよ部屋』からやってください」
    でも、たまにはさ
    18
    作業できるよ部屋


    View Slide

  19. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある
    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくないが
    しかし、作業やっていいよ証明書なしに設定変更されては困る
    よって「『作業できるよ部屋』からやってください」
    でも、たまにはさ
    19
    作業できるよ部屋


    やってられません

    View Slide

  20. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきである
    とはいえやっていいよ証明書は要ります
    20
    運用者の負担を軽減するべきである
    相反?

    View Slide

  21. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきである
    とはいえやっていいよ証明書は要ります
    21
    運用者の負担を軽減するべきである
    相反?
    相反させず
    両立させる!

    View Slide

  22. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきであるのではなく
    もう少し楽な別の手段で
    やっていいよ証明書の存在を担保することで
    とはいえやっていいよ証明書は要ります
    22
    運用者の負担を軽減する

    View Slide

  23. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきであるのではなく
    「『やっていいよ証明書』が無いと設定できない設定変更ツール」で
    やっていいよ証明書の存在を担保することで運用者の負担を軽減
    ※起動停止の時間情報は『アクセスを限るべき情報』ではないので
    作業できるよ部屋で守る必要がない
    とはいえやっていいよ証明書は要ります
    23
    やっていいよ証明書の ID を入力してください!
    154649
    保存

    View Slide

  24. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    内部的には
    24
    やっていいよ証明書の ID を入力してください!
    154649
    保存
    やっていいよ証明書管理ツール
    スケジュールツール


    パブリッククラウドの
    起動停止カレンダー
    ①変更後のスケジュールとやっていいよ証明書IDを送信
    ②やっていいよ証明書が有効なものなのか検証依頼
    ③やっていいよ証明書の状態を返却
    ④設定を反映

    View Slide

  25. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    環境の起動・停止設定変更
    25
    やっていいよ証明書の ID を入力してください!
    154649
    保存
    自身が運用者なので
    証明書を用いた
    アプリを容易に準備
    自身が統制者なので
    必要以上に運用を
    拘束せずに済む

    View Slide

  26. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    環境の起動・停止設定変更
    26
    やっていいよ証明書の ID を入力してください!
    154649
    保存
    統制がすいすい可能
    よろこばしいたけ
    自身が運用者なので
    証明書を用いた
    アプリを容易に準備
    運用もすいすい可能
    よろこばしいたけ
    自身が統制者なので
    必要以上に運用を
    拘束せずに済む

    View Slide

  27. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    テレワークについて
    27

    View Slide

  28. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない:お客様環境にアクセスする場合どうするの
    テレワークについて
    28

    View Slide

  29. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    従来のアクセス
    29
    顧客環境A
    作業できるよ部屋
    執務室 顧客環境B
    顧客Aの
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    社外

    View Slide

  30. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    環境アクセスの諸問題
    30
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 ネットワークの分離と部屋アクセスの制限
    覗見 アクセス中のデバイスを覗き見される 部屋アクセスの制限
    無申告 証明書で指定していない顧客環境にアクセス アクセス経路の制限
    環境アクセスに際して考慮する問題表(一部抜粋)

    View Slide

  31. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    従来のアクセス
    31
    顧客環境A
    作業できるよ部屋
    執務室 顧客環境B
    顧客Aの
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    社外
    覗見対策
    無申告の
    作業対策
    データ漏洩対策

    View Slide

  32. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    32
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続
    覗見 アクセス中のデバイスを覗き見される
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表(一部抜粋)

    View Slide

  33. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社のテレワークでの対応状況
    33
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境




    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書

    View Slide

  34. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    34
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続
    覗見 アクセス中のデバイスを覗き見される
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表(一部抜粋)
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書




    View Slide

  35. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    35
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには承認と認証が必要
    覗見 アクセス中のデバイスを覗き見される
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表(一部抜粋)
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書




    View Slide

  36. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    36
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要
    覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表(一部抜粋)
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書




    証明書発行時には
    どこで作業しているのか確認

    View Slide

  37. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    37
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要
    覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行
    無申告 証明書で指定していない顧客環境にアクセス 従来と同じ運用なため特に考慮は必要なし
    環境アクセスに際して考慮する問題表(一部抜粋)
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書




    View Slide

  38. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    38
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要
    覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行
    無申告 証明書で指定していない顧客環境にアクセス 従来と同じ運用なため特に考慮は必要なし
    環境アクセスに際して考慮する問題表(一部抜粋)
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書




    View Slide

  39. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない:お客様環境にアクセスする場合どうするの
    お客様環境にアクセスする人もテレワークできるように整えた
    (とはいえ実装においては様々な人の助けを得ています)
    テレワークについて
    39

    View Slide

  40. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない:お客様環境にアクセスする場合どうするの
    お客様環境にアクセスする人もテレワークできるように整えた
    (とはいえ実装においては様々な人の助けを得ています)
    テレワークについて
    40
    自身が運用者なので
    実態がわかっていて
    関係者に説明が容易
    自身が統制者なので
    インセンティブが
    改善に対して存在

    View Slide

  41. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない:お客様環境にアクセスする場合どうするの
    お客様環境にアクセスする人もテレワークできるように整えた
    (とはいえ実装においては様々な人の助けを得ています)
    テレワークについて
    41
    在宅でも統制維持で
    よろこばしいたけ
    在宅で作業できて
    よろこばしいたけ
    自身が運用者なので
    実態がわかっていて
    関係者に説明が容易
    自身が統制者なので
    インセンティブが
    改善に対して存在

    View Slide

  42. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ただし……
    42

    View Slide

  43. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ● 職務分掌が困難
    ● 製品が増加した場合に対応不能
    ● 製品が高度化した場合に対応不能
    ただし……
    43

    View Slide

  44. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化
    →責任範囲を明確化
    不正に対する牽制
    職務分掌
    44

    View Slide

  45. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化
    →責任範囲を明確化
    不正に対する牽制
    ……あれ……?
    職務分掌
    45

    View Slide

  46. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化
    →責任範囲を明確化
    不正に対する牽制
    ……あれ……?
    職務分掌
    46
    私……存在しては
    いけないやつでは?

    View Slide

  47. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    不正検知の機能を利用
    例:パブリッククラウドのログ記録機能
    職務分掌の問題への対応
    47
    パブリック
    クラウドを
    操作
    パブリック
    クラウドの
    操作記録

    View Slide

  48. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    不正検知の機能を利用
    例:パブリッククラウドのログ記録機能
    職務分掌の問題への対応
    48
    パブリック
    クラウドを
    操作
    パブリック
    クラウドの
    操作記録
    この操作記録の管理

    View Slide

  49. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    不正検知の機能を利用
    例:パブリッククラウドのログ記録機能
    職務分掌の問題への対応
    49
    パブリック
    クラウドを
    操作
    パブリック
    クラウドの
    操作記録
    この操作記録の管理
    操作記録は定期的に自動チェックされ
    不審な動きがある場合はアラート発報
    操作記録保存用の保存領域は
    アカウント管理者であっても
    一定期間削除・編集できない設定
    (ただただ追加されていくのみ)
    操作記録保存専用の
    パブリッククラウドアカウントを用意

    View Slide

  50. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    いち利用者の立場に留める
    例:パブリッククラウドの権限管理
    職務分掌の問題への対応
    50
    パブリック
    クラウドの
    操作記録
    統制チームのリーダーは
    記録アカウントの管理権限を保持

    View Slide

  51. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    いち利用者の立場に留める
    例:パブリッククラウドの権限管理
    職務分掌の問題への対応
    51
    パブリック
    クラウドの
    操作記録
    L


    L


    L


    パブリック
    クラウド
    アカウント
    運用チームの
    各リーダーは
    管理権限を保持

    View Slide

  52. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    いち利用者の立場に留める
    例:パブリッククラウドの権限管理
    職務分掌の問題への対応
    52
    パブリック
    クラウドの
    操作記録
    L


    L


    L


    パブリック
    クラウド
    アカウント
    運用チームの
    各リーダーは
    管理権限を保持
    統制チームの
    リーダーは
    管理権限がない
    (一般運用者の
    権限のみ保持)

    View Slide

  53. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    製品が増加した場合に対応不能
    53
    製品A






    View Slide

  54. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    製品が増加した場合に対応不能
    54
    製品A






    製品B






    View Slide

  55. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    あれ……?
    製品が増加した場合に対応不能
    55
    製品A






    製品B






    製品C






    View Slide

  56. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    あれ……?
    無理では……?
    製品が増加した場合に対応不能
    56
    製品A






    製品B






    製品C






    製品D






    View Slide

  57. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    57
    製品A






    製品B






    製品C






    製品D






    View Slide

  58. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    58
    製品A






    製品B






    製品C






    製品D






    定期的に集まって相談会を実施

    View Slide

  59. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    59
    製品A






    製品B




    製品C




    製品D




    定期的に集まって相談会を実施
    ノウハウの共有

    View Slide

  60. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    60
    製品A






    製品B




    製品C




    ノウハウの共有
    製品D




    定期的に集まって相談会を実施
    ノウハウの共有

    View Slide

  61. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    製品が高度化した場合に対応不能
    61
    運用チーム






    開発チーム
    統制チーム

    View Slide

  62. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    無論、統制・運用・開発は日々改善され内容は高度化していく
    製品が高度化した場合に対応不能
    62
    運用チーム


    開発チーム
    統制チーム




    View Slide

  63. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    無論、統制・運用・開発は日々改善され内容は高度化していく
    定型業務をこなすだけなら可能でも、トラブル対応や改善への参加は困難
    製品が高度化した場合に対応不能
    63
    運用チーム


    開発チーム
    統制チーム






    View Slide

  64. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    運用チームから運用を大きく外だしするために
    運用チームが持っていたタスクについて各チームから当番を出して対応
    人数は控えめ!
    運用チームが2人いたりすると結局運用チームの人だけで解決してしまう
    製品が高度化した場合への対応
    64
    担当者1 担当者2
    月曜 運用チームのAさん 開発チームのBさん
    火曜 運用チームのCさん 統制チームのDさん
    水曜 運用チームのEさん 開発チームのFさん
    木曜 運用チームのGさん 統制チームのHさん
    金曜 運用チームのAさん 開発チームのIさん
    対応お当番表

    View Slide

  65. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ● 職務分掌が困難
    ● 製品が増加した場合に対応不能
    ● 製品が高度化した場合に対応不能
    ● コンプラってよくわかんないじゃん
    ただし……
    65

    View Slide

  66. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ● 職務分掌が困難
    ● 製品が増加した場合に対応不能
    ● 製品が高度化した場合に対応不能
    ● コンプラってよくわかんないじゃん
    ただし……
    66

    View Slide

  67. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    コンプラってよくわかんないじゃん
    67

    View Slide

  68. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者
    コンプラってよくわかんないじゃん
    68

    View Slide

  69. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者にならないために
    統制担当者も運用担当者として運用業務に携わる
    コンプラってよくわかんないじゃん
    69

    View Slide

  70. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者にならないために
    統制担当者も運用担当者として運用業務に携わる
    +
    統制目的を全ての運用者に伝える
    ● ルールの説明などに際してはルールの意図を共有
    ● 新人研修に際してサービス・統制の全体像を共有
    コンプラってよくわかんないじゃん
    70

    View Slide

  71. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者にならないために
    統制担当者も運用担当者として運用業務に携わる
    +
    統制目的を全ての運用者に伝える
    ● ルールの説明などに際してはルールの意図を共有
    ● 新人研修に際してサービス・統制の全体像を共有
    コンプラってよくわかんないじゃん
    71
    新人教育で統制精神を注入

    View Slide

  72. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    ● 運用担当者が統制担当者を兼任するメリット
    ○ 互いにコミュニケーションを取りやすくする
    ○ 運用しにくいルールを変に増やさずに統制を改善
    ○ 統制上の穴を作ることなく運用を改善
    ● 「ただし……」への対応
    ○ 統制担当者はちょっと権限を弱めにして、職務分掌
    ○ 運用が広く・深くなっても対応するために横断での会議体・当番
    ● 運用担当者の教育で統制精神を注入
    ○ 統制に対する「よくわからない」の除去
    ○ 統制を意識して運用・開発ができる
    ● 運用や開発は楽しいたけ
    同様に統制も楽しいたけ
    まとめ
    72

    View Slide