コンプライアンスとかいう 難しいたけな話を 楽しいたけな話にできるはうつー/Developers Summit 2022 Summer

Transcript

1. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   コンプライアンスとかいう
   難しい
   たけ
   な話を
   楽しい
   たけ
   にできるはうつー
   大嶋 俊祐
   2022/07/21
   

   View Slide

2. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   自己紹介
   株式会社 Works Human Intelligence
   Product Div. SRE Dept. Compliance Grp.
   おおしま しゅんすけ
   大嶋 俊祐
   新卒で入社し、社内教育に3年携わった後
   現在までSREで運用コンプライアンスを担当。
   主務とは別に社内コード改善タスクや、
   社内プライベートクラウド構築タスク
   社内託児施設の立ち上げタスク等にも参加。
   2児の父。趣味は日曜プログラミングとTRPG。
   2
   

   View Slide

3. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   株式会社Works Human Intelligence
   代表取締役最高経営責任者（CEO） 安斎 富太郎
   株式会社WHI Holdings
   大手企業向け統合人事システム「COMPANYⓇ」の開発・販売・サポート、HR関連サービスの提供
   100百万円
   〒107-6021 東京都港区赤坂1-12-32 アーク森ビル21階
   東京（本社）、大阪、名古屋、福岡、広島
   2019年8月1日
   1,730名（連結） ※2021年12月末時点
   03-5575-5277
   株式会社ワークスビジネスサービス
   株式会社セキスイビジネスアソシエイツ
   https://www.works-hi.co.jp
   会社概要
   商号
   代表者
   親会社
   事業内容
   資本金
   本社
   事業所
   事業開始
   従業員数
   電話番号
   子会社
   Webサイト
   ：
   ：
   ：
   ：
   ：
   ：
   ：
   ：
   ：
   ：
   ：
   ：
   大手企業・法人向け統合人事システムを開発・販売・サポートしています
   

   View Slide

4. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   業種・業態を問わず、数千名～数万名規模の大手法人にご利用いただいています
   実績
   ERP市場人事・給与業務分野
   シェアNo.1※
   ※2020年度 ERP市場 - 人事・給与業務分野：ベンダー別売上金額シェア
   出典：ITR「ITR Market View：ERP市場2022」
   国内大手法人※
   の（※従業員数3,000人以上）
   3社に1社が
   WHIのHR製品を利用（当社調べ）
   年間継続契約率 98％※
   ※2020年度 金額ベース
   約600法人グループが
   10年以上継続利用中
   日本の大手約1,200法人
   グループが導入
   保有する人事データ数は
   450万人 ※
   ※2020 年 12 月末時点の契約法人における
   COMPANY 人事の契約ライセンス数合計
   

   View Slide

5. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   ●自己紹介
   ●コンプライアンス運用
   ●統制ルールの紹介
   ●事例1：環境の起動・停止の設定変更
   ●事例2：在宅勤務
   ●ただし……
   ●まとめ
   アジェンダ
   5
   

   View Slide

6. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   🍠コンプライアンスのイメージ🥔
   コンプライアンスないし統制に対する社会一般のイメージ
   （n = 10 / 社外のコミュニティで話して出たコメント）
   ● 邪魔
   ● 実運用を理解してない
   ● 面倒なルールばかり増やして開発・運用負荷上げてくる
   ● 怖い・憲兵
   ● その割に実運用の役に立ってない
   ● 総じてイモくさい（お芋はおいしいやろがい）
   6
   

   View Slide

7. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   弊社における統制と運用・開発のイメージ
   7
   運用
   

   View Slide

8. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   「統制担当者は実際の運用も同時に担当するべき」
   運用統制チームの発足当時からの思想
   運用をエンジニアリングする
   運用担当者が統制担当者も兼任
   8
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   統
   制
   

   View Slide

9. © 2022 Works Human Intelligence Co., Ltd.
   Strictly Confidential
   「統制担当者は実際の運用も同時に担当するべき」
   運用統制チームの発足当時からの思想
   運用をエンジニアリングするだけでなく
   統制もエンジニアリングする
   運用担当者が統制担当者も兼任
   9
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   運
   用
   統
   制
   

   View Slide

10. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者にとってのメリット
    運用における統制的弱点がわかる
    →効率的に防御を固められる
    10
    この運用だとこういうことがあった場合に
    お客様に説明がつかないからこう変えよう
    この運用だと証跡が残せないから
    ここでログをちゃんと残すようにしたい
    

    View Slide

11. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    運用担当者にとってのメリット
    統制における運用的弱点がわかる
    →運用の足を引っ張らない手法を模索し易い
    11
    これを守りたいけど、こういう統制だと
    運用負荷が高すぎるからこっちの手段で
    ここでログを吐き出させれば
    運用を変えずにお客様の必要に応えられる
    

    View Slide

12. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社の基本的な統制ルールの紹介
    12
    

    View Slide

13. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「作業やっていいよ証明書」
    をもらってから作業しましょう
    弊社の基本的な統制ルールの紹介
    13
    

    View Slide

14. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「作業できるよ部屋」からじゃないと作業不能
    「作業やっていいよ証明書」がないと「作業できるよ部屋」には入室不能
    「作業やっていいよ証明書」の発行には以下の制約が存在
    ● 作業者のリクエストに基づいて責任者が発行
    ● 本人が発行することは不可能
    ● 作業が終わるまたは時間経過で入室の権利は失効
    作業できるよ部屋
    弊社の基本的なルール（詳細）
    14
    顧客
    環境 執務室
    作業できるよ部屋
    運
    用
    運
    用
    オレオレ印籠は
    作れません
    また、印籠に
    寿命があります
    

    View Slide

15. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    ● 『作業やっていいよ証明書』が存在することを担保
    ● アクセスを限るべき情報へのアクセスを制限
    作業できるよ部屋の利点
    15
    作業できるよ部屋
    運
    用
    運
    用
    

    View Slide

16. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社は従量課金のクラウドサービスを利用
    ＝利用している時間について課金されるので
    利用していない時間はリソースを停止させたい
    →本番稼働していない環境については起動・停止の時間を設定
    環境の起動・停止設定変更
    16
    

    View Slide

17. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある
    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくない
    でも、たまにはさ
    17
    

    View Slide

18. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある
    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくないが
    しかし、作業やっていいよ証明書なしに設定変更されては困る
    よって「『作業できるよ部屋』からやってください」
    でも、たまにはさ
    18
    作業できるよ部屋
    運
    用
    

    View Slide

19. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある
    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくないが
    しかし、作業やっていいよ証明書なしに設定変更されては困る
    よって「『作業できるよ部屋』からやってください」
    でも、たまにはさ
    19
    作業できるよ部屋
    運
    用
    やってられません
    

    View Slide

20. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきである
    とはいえやっていいよ証明書は要ります
    20
    運用者の負担を軽減するべきである
    相反？
    

    View Slide

21. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきである
    とはいえやっていいよ証明書は要ります
    21
    運用者の負担を軽減するべきである
    相反？
    相反させず
    両立させる！
    

    View Slide

22. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきであるのではなく
    もう少し楽な別の手段で
    やっていいよ証明書の存在を担保することで
    とはいえやっていいよ証明書は要ります
    22
    運用者の負担を軽減する
    

    View Slide

23. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    「『やっていいよ証明書』が無いと入れない部屋」で
    やっていいよ証明書の存在を担保して統制を確保するべきであるのではなく
    「『やっていいよ証明書』が無いと設定できない設定変更ツール」で
    やっていいよ証明書の存在を担保することで運用者の負担を軽減
    ※起動停止の時間情報は『アクセスを限るべき情報』ではないので
    作業できるよ部屋で守る必要がない
    とはいえやっていいよ証明書は要ります
    23
    やっていいよ証明書の ID を入力してください！
    154649
    保存
    

    View Slide

24. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    内部的には
    24
    やっていいよ証明書の ID を入力してください！
    154649
    保存
    やっていいよ証明書管理ツール
    スケジュールツール
    運
    用
    パブリッククラウドの
    起動停止カレンダー
    ①変更後のスケジュールとやっていいよ証明書IDを送信
    ②やっていいよ証明書が有効なものなのか検証依頼
    ③やっていいよ証明書の状態を返却
    ④設定を反映
    

    View Slide

25. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    環境の起動・停止設定変更
    25
    やっていいよ証明書の ID を入力してください！
    154649
    保存
    自身が運用者なので
    証明書を用いた
    アプリを容易に準備
    自身が統制者なので
    必要以上に運用を
    拘束せずに済む
    

    View Slide

26. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    環境の起動・停止設定変更
    26
    やっていいよ証明書の ID を入力してください！
    154649
    保存
    統制がすいすい可能
    よろこばしいたけ
    自身が運用者なので
    証明書を用いた
    アプリを容易に準備
    運用もすいすい可能
    よろこばしいたけ
    自身が統制者なので
    必要以上に運用を
    拘束せずに済む
    

    View Slide

27. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    テレワークについて
    27
    

    View Slide

28. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない：お客様環境にアクセスする場合どうするの
    テレワークについて
    28
    

    View Slide

29. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    従来のアクセス
    29
    顧客環境A
    作業できるよ部屋
    執務室 顧客環境B
    顧客Aの
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    社外
    

    View Slide

30. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    環境アクセスの諸問題
    30
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 ネットワークの分離と部屋アクセスの制限
    覗見 アクセス中のデバイスを覗き見される 部屋アクセスの制限
    無申告 証明書で指定していない顧客環境にアクセス アクセス経路の制限
    環境アクセスに際して考慮する問題表（一部抜粋）
    

    View Slide

31. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    従来のアクセス
    31
    顧客環境A
    作業できるよ部屋
    執務室 顧客環境B
    顧客Aの
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    社外
    覗見対策
    無申告の
    作業対策
    データ漏洩対策
    

    View Slide

32. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    32
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続
    覗見 アクセス中のデバイスを覗き見される
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表（一部抜粋）
    

    View Slide

33. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    弊社のテレワークでの対応状況
    33
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    運
    用
    悪
    党
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書
    

    View Slide

34. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    34
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続
    覗見 アクセス中のデバイスを覗き見される
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表（一部抜粋）
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書
    運
    用
    悪
    党
    

    View Slide

35. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    35
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには承認と認証が必要
    覗見 アクセス中のデバイスを覗き見される
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表（一部抜粋）
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書
    運
    用
    悪
    党
    

    View Slide

36. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    36
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要
    覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行
    無申告 証明書で指定していない顧客環境にアクセス
    環境アクセスに際して考慮する問題表（一部抜粋）
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書
    運
    用
    悪
    党
    証明書発行時には
    どこで作業しているのか確認
    

    View Slide

37. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    37
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要
    覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行
    無申告 証明書で指定していない顧客環境にアクセス 従来と同じ運用なため特に考慮は必要なし
    環境アクセスに際して考慮する問題表（一部抜粋）
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書
    運
    用
    悪
    党
    

    View Slide

38. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    テレワークでも対策できればOKでは
    38
    問題 内容 対策
    データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要
    覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行
    無申告 証明書で指定していない顧客環境にアクセス 従来と同じ運用なため特に考慮は必要なし
    環境アクセスに際して考慮する問題表（一部抜粋）
    顧客環境B
    執務室 顧客環境A
    社外
    中継環境
    在宅で
    作業やって
    いいよ証明書
    顧客Aの
    作業やって
    いいよ証明書
    在宅で
    作業やって
    いいよ証明書
    運
    用
    悪
    党
    

    View Slide

39. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない：お客様環境にアクセスする場合どうするの
    お客様環境にアクセスする人もテレワークできるように整えた
    （とはいえ実装においては様々な人の助けを得ています）
    テレワークについて
    39
    

    View Slide

40. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない：お客様環境にアクセスする場合どうするの
    お客様環境にアクセスする人もテレワークできるように整えた
    （とはいえ実装においては様々な人の助けを得ています）
    テレワークについて
    40
    自身が運用者なので
    実態がわかっていて
    関係者に説明が容易
    自身が統制者なので
    インセンティブが
    改善に対して存在
    

    View Slide

41. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    COVID-19 の流行を契機に弊社もテレワークを本格的に開始
    業務内容によってはできない：お客様環境にアクセスする場合どうするの
    お客様環境にアクセスする人もテレワークできるように整えた
    （とはいえ実装においては様々な人の助けを得ています）
    テレワークについて
    41
    在宅でも統制維持で
    よろこばしいたけ
    在宅で作業できて
    よろこばしいたけ
    自身が運用者なので
    実態がわかっていて
    関係者に説明が容易
    自身が統制者なので
    インセンティブが
    改善に対して存在
    

    View Slide

42. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ただし……
    42
    

    View Slide

43. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ● 職務分掌が困難
    ● 製品が増加した場合に対応不能
    ● 製品が高度化した場合に対応不能
    ただし……
    43
    

    View Slide

44. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化
    →責任範囲を明確化
    不正に対する牽制
    職務分掌
    44
    

    View Slide

45. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化
    →責任範囲を明確化
    不正に対する牽制
    ……あれ……？
    職務分掌
    45
    

    View Slide

46. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化
    →責任範囲を明確化
    不正に対する牽制
    ……あれ……？
    職務分掌
    46
    私……存在しては
    いけないやつでは？
    

    View Slide

47. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    不正検知の機能を利用
    例：パブリッククラウドのログ記録機能
    職務分掌の問題への対応
    47
    パブリック
    クラウドを
    操作
    パブリック
    クラウドの
    操作記録
    

    View Slide

48. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    不正検知の機能を利用
    例：パブリッククラウドのログ記録機能
    職務分掌の問題への対応
    48
    パブリック
    クラウドを
    操作
    パブリック
    クラウドの
    操作記録
    この操作記録の管理
    

    View Slide

49. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    不正検知の機能を利用
    例：パブリッククラウドのログ記録機能
    職務分掌の問題への対応
    49
    パブリック
    クラウドを
    操作
    パブリック
    クラウドの
    操作記録
    この操作記録の管理
    操作記録は定期的に自動チェックされ
    不審な動きがある場合はアラート発報
    操作記録保存用の保存領域は
    アカウント管理者であっても
    一定期間削除・編集できない設定
    （ただただ追加されていくのみ）
    操作記録保存専用の
    パブリッククラウドアカウントを用意
    

    View Slide

50. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    いち利用者の立場に留める
    例：パブリッククラウドの権限管理
    職務分掌の問題への対応
    50
    パブリック
    クラウドの
    操作記録
    統制チームのリーダーは
    記録アカウントの管理権限を保持
    

    View Slide

51. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    いち利用者の立場に留める
    例：パブリッククラウドの権限管理
    職務分掌の問題への対応
    51
    パブリック
    クラウドの
    操作記録
    L
    運
    用
    L
    運
    用
    L
    運
    用
    パブリック
    クラウド
    アカウント
    運用チームの
    各リーダーは
    管理権限を保持
    

    View Slide

52. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    いち利用者の立場に留める
    例：パブリッククラウドの権限管理
    職務分掌の問題への対応
    52
    パブリック
    クラウドの
    操作記録
    L
    運
    用
    L
    運
    用
    L
    運
    用
    パブリック
    クラウド
    アカウント
    運用チームの
    各リーダーは
    管理権限を保持
    統制チームの
    リーダーは
    管理権限がない
    （一般運用者の
    権限のみ保持）
    

    View Slide

53. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    製品が増加した場合に対応不能
    53
    製品A
    運
    用
    運
    用
    運
    用
    

    View Slide

54. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    製品が増加した場合に対応不能
    54
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    運
    用
    

    View Slide

55. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    あれ……？
    製品が増加した場合に対応不能
    55
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    運
    用
    製品C
    運
    用
    運
    用
    運
    用
    

    View Slide

56. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    あれ……？
    無理では……？
    製品が増加した場合に対応不能
    56
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    運
    用
    製品C
    運
    用
    運
    用
    運
    用
    製品D
    運
    用
    運
    用
    運
    用
    

    View Slide

57. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    57
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    運
    用
    製品C
    運
    用
    運
    用
    運
    用
    製品D
    運
    用
    運
    用
    運
    用
    

    View Slide

58. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    58
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    運
    用
    製品C
    運
    用
    運
    用
    運
    用
    製品D
    運
    用
    運
    用
    運
    用
    定期的に集まって相談会を実施
    

    View Slide

59. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    59
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    製品C
    運
    用
    運
    用
    製品D
    運
    用
    運
    用
    定期的に集まって相談会を実施
    ノウハウの共有
    

    View Slide

60. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    製品が増加した場合への対応
    60
    製品A
    運
    用
    運
    用
    運
    用
    製品B
    運
    用
    運
    用
    製品C
    運
    用
    運
    用
    ノウハウの共有
    製品D
    運
    用
    運
    用
    定期的に集まって相談会を実施
    ノウハウの共有
    

    View Slide

61. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    製品が高度化した場合に対応不能
    61
    運用チーム
    運
    用
    運
    用
    運
    用
    開発チーム
    統制チーム
    

    View Slide

62. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    無論、統制・運用・開発は日々改善され内容は高度化していく
    製品が高度化した場合に対応不能
    62
    運用チーム
    運
    用
    開発チーム
    統制チーム
    運
    用
    運
    用
    

    View Slide

63. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制担当者は担当製品の運用も実施する
    無論、統制・運用・開発は日々改善され内容は高度化していく
    定型業務をこなすだけなら可能でも、トラブル対応や改善への参加は困難
    製品が高度化した場合に対応不能
    63
    運用チーム
    運
    用
    開発チーム
    統制チーム
    運
    用
    運
    用
    運
    用
    

    View Slide

64. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    運用チームから運用を大きく外だしするために
    運用チームが持っていたタスクについて各チームから当番を出して対応
    人数は控えめ！
    運用チームが2人いたりすると結局運用チームの人だけで解決してしまう
    製品が高度化した場合への対応
    64
    担当者1 担当者2
    月曜 運用チームのAさん 開発チームのBさん
    火曜 運用チームのCさん 統制チームのDさん
    水曜 運用チームのEさん 開発チームのFさん
    木曜 運用チームのGさん 統制チームのHさん
    金曜 運用チームのAさん 開発チームのIさん
    対応お当番表
    

    View Slide

65. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ● 職務分掌が困難
    ● 製品が増加した場合に対応不能
    ● 製品が高度化した場合に対応不能
    ● コンプラってよくわかんないじゃん
    ただし……
    65
    

    View Slide

66. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    このやり方にはいくつか問題が存在
    ● 職務分掌が困難
    ● 製品が増加した場合に対応不能
    ● 製品が高度化した場合に対応不能
    ● コンプラってよくわかんないじゃん
    ただし……
    66
    

    View Slide

67. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    コンプラってよくわかんないじゃん
    67
    

    View Slide

68. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者
    コンプラってよくわかんないじゃん
    68
    

    View Slide

69. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者にならないために
    統制担当者も運用担当者として運用業務に携わる
    コンプラってよくわかんないじゃん
    69
    

    View Slide

70. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者にならないために
    統制担当者も運用担当者として運用業務に携わる
    +
    統制目的を全ての運用者に伝える
    ● ルールの説明などに際してはルールの意図を共有
    ● 新人研修に際してサービス・統制の全体像を共有
    コンプラってよくわかんないじゃん
    70
    

    View Slide

71. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    統制はよく分からないし、トチると始末書ものかもしれない
    ⇒何かあっても隠したい運用者
    VS
    隠されたら何もかもが上手くいかなくなる統制担当者にならないために
    統制担当者も運用担当者として運用業務に携わる
    +
    統制目的を全ての運用者に伝える
    ● ルールの説明などに際してはルールの意図を共有
    ● 新人研修に際してサービス・統制の全体像を共有
    コンプラってよくわかんないじゃん
    71
    新人教育で統制精神を注入
    

    View Slide

72. © 2022 Works Human Intelligence Co., Ltd.
    Strictly Confidential
    ● 運用担当者が統制担当者を兼任するメリット
    ○ 互いにコミュニケーションを取りやすくする
    ○ 運用しにくいルールを変に増やさずに統制を改善
    ○ 統制上の穴を作ることなく運用を改善
    ● 「ただし……」への対応
    ○ 統制担当者はちょっと権限を弱めにして、職務分掌
    ○ 運用が広く・深くなっても対応するために横断での会議体・当番
    ● 運用担当者の教育で統制精神を注入
    ○ 統制に対する「よくわからない」の除去
    ○ 統制を意識して運用・開発ができる
    ● 運用や開発は楽しいたけ
    同様に統制も楽しいたけ
    まとめ
    72
    

    View Slide