自社にて運用していたシステムを外部アウトソーシングジ事業者に運用・管理を委託するには、運用手順を明確にする必要があります。これにより、今まで曖昧であった業務プロセスが明確になり、不正防止に繋がり、内部統制としても効果的です。
自社にてシステム開発を行い、システム運用・管理を外部アウトソーシング会社に委託します。これにより、開発と運用の職務分離が実現できます。さらに、自社と第三者である外部アウトソーシング会社が相互牽制し合う状況が生まれ、より統制が効いた体制を構築することが可能になります。
システム運用・管理をアウトソーシング会社に委託する時には、SLAを締結し、決められた通りのルールに基づいて運用を委託します。これにより自社内で行った場合に曖昧になりがちなシステム運用が、SLAに基づいた運用を行うため適正に行われるようになり、不正防止に役立ちます。さらに、証跡ログ採取や、特権IDの利用状況等をモニタリングすることにより適正な運用が行われているかどうかを、証明することもできるようになります。
高セキュリティ機能を持ち堅牢なデータセンターを所有するアウトソーシング会社にシステムの運用・管理を委託することにより、重要な情報が格納されているサーバへのアクセスが物理的に困難になります。これにより、データの適正が保証されます。また、セキュリティ問題や、災害対策などに対応することができるようになります。
社員教育の外部委託によって、継続的な教育を実施することができます。またeラーニングには、受講履歴、未受講者リスト等が容易に入手できる利点もあります。
A社では、ワープロソフトの使用ライセンスは、部門毎に管理しており、どのパソコンに何のソフトウェアが導入されているかを把握できていない状況でした。D社では個々のパソコンに導入されているソフトウェアを調査する専門要員を採用する余裕もなく、各部門に現状の業務を遂行しつつ調査する業務を依頼するわけにもいかなかったため、IT資産を管理するサービスを導入し、運用管理までアウトソーシング会社に委託しました。これにより、どのコンピュータで何のソフトウェアが使用されているのかの管理が可能になり、コンプライアンス強化が実現されました。
A社では、情報システム部の甲さんがシステム管理者権限を持つ特権IDを使い自由にシステムへアクセスしており、誰もその利用状況を把握できていない状態でした。この点につき監査人から、「特権IDに関して、適切な権限付与がされており、不正使用が無かったことの証明」を要求されていました。
A社は自社内にて特権IDの振り出しおよび、特権ID利用状況をモニタリングする体制を整備できなかったため、システム運用・管理を外部アウトソーシング会社に委託しました。これにより特権IDのアクセスログ採取等のモニタリング可能となり、「不正使用がなかった」ことを証明できました。
B社では情報システム部の乙さんがシステム開発と運用の両方に携わっていました。この業務形態を監査人から「職務分掌ができていない」と指摘されました。
B社では社員を採用することも、育成することも直ぐにはできませでしたが、運用部分をアウトソーシングすることにより「開発と運用の職務分掌」が可能になりました。また、甲さんの業務負荷が軽減され、情報システムを経営に役立てるという効果的な業務に注力することが可能になりました。
D社では、サーバを事務フロアに設置しており誰でもアクセスできる環境にありました。この状態を監査人から「セキュリティ面で不備がある」と指摘されました。サーバを設置する専用マシン室の準備もできず、仮に準備できたとしても入退室のログを管理したりする要員まで確保できませんでした。このため、サーバを堅牢で高セキュリティなデータセンターに設置し、運用・管理を委託することにより、セキュリティ面の不備を解消することができました。
E社では、プライバシーマークを取得し企業価値向上に役立てていました。しかしながら、これを更新・維持するには、全社員への教育実施および実施したことの受講履歴が必要となります。プライバシーマーク取得当初は自社にて構築したeラーニングシステムを情報システム部門の要員が運用していました。社員が自由な時間に受講できるように深夜までシステムが稼動する体制を取ったため、情報システム部門の要員に、予想以上に業務負荷がかかり、システム運用を自社内で継続するのが困難な状況でした。
そこで、E社はシステム運用を外部に委託することにより、未受講者リストの報告や、システム稼動状況報告を定期的に受けられるようになりました。さらに、E社ではパソコンを必要としない部署もあったため、そうような社員向けには専門の講師を派遣してもらい教育を行い、社員の環境に合わせた柔軟な教育を実施し、効果的な社員教育の実施が可能になりました。
