導入事例

業種:生保・損保

導入製品:ESS REC

ニッセイ情報テクノロジー株式会社 様

システム管理・保守プロセスに操作内容の監査手順を

導入し妥当性を管理。内部統制のための新たなプロセスを構築

ニッセイ情報テクノロジー株式会社は、各種システムを構築した豊富な実績とノウハウにより生命保険はもちろん年金・医療および介護など様々なソリューションを提供しています。
同社には、個人情報保護法などの法令の遵守とシステム管理・保守業務の内部統制の強化を図るために、より詳細な操作証跡を確保し、作業計画と実施内容を突き合わせることにより、システム操作の不正や誤操作による事故が発生した際に原因の追跡ができる仕組みを構築する課題がありました。
ESS RECを採用しシステム管理者の操作記録を取得することで、システム管理・保守業務の妥当性を厳密に管理するとともに、万一の事故発生時の原因追跡を可能とする仕組みを実現しました。

課題

個人情報保護法に向けた検討

管理・保守業務端末にはOA端末とは異なるリスクが存在
操作制限と操作記録の両面での対策が重要
従来の業務プロセスを考慮した検討が重要
img_nissei_k.jpg
保険ソリューション
事業部
プロジェクトリーダー
北川 勝敏 氏

■要件の分析
2004年から個人情報保護法対策として、全社に共通の対策を実施する方向で検討を開始し、独自のリスク分析と外部アセスメントサービスの結果、各々の部門や業務の内容に応じて適用すべき対策が大きく異なるという結論に達しました。「特に、システム管理・保守を行う業務エリアにおいては、システムに対して管理権限を持つアカウントで直接管理作業を行う必要があるため、アクセス制限や操作制限だけに頼った対策を施すことは結果的に難しいと判断しました。」 (北川氏)
システムに対するアクセス制限や操作制限も含めてコントロールする立場にある情報システム部門では、組織としての透明性を確保する必要があるとともに、いつでも遡って操作内容を監査することができる体制を構築することによって相互牽制作用と内部統制効果を生み出すことが重要であると結論付けました。

■OA端末とは異なるリスク
システム管理・保守業務端末においては、一般のOA端末とは全く異なるリスクが存在します。コンピュータシステムの利用者が使用するOA端末では、必要なアクセスや操作以外はすべて禁止することによってセキュリティレベルを向上させることができます。
これに対してコンピュータシステムの管理端末では、状況に応じてコンピュータシステムに対して最高レベルの管理権限で操作を行う必要があります。したがって、システム管理・保守業務に対する不正操作や誤操作などのリスクが非常に高いと言えます。

選択

業務プロセスとの統合

システム管理・保守業務の一部始終を記録
申請内容に含まれない外部媒体の操作を遮断
操作内容を第三者によって監査する手順を確立

■製品選定の基準
ニッセイ情報テクノロジーでは、システム管理・保守業務のリスク低減を目的に、システム管理・保守業務における『システム作業申請書』による承認に基づき、業務が行われてきました。

img_nissei_ill.jpg

この業務プロセスを踏襲しつつ拡張・強化するための機能も併せて製品選定の基準としました。 システム管理・保守業務プロセスに沿って、操作端末へのログオンが許可され、作業時には操作内容が長期保存に耐え得る記録として保存し、作業申請書に記載された作業項目と、操作記録の内容が一致していることを確認できる機能の必要性を認識していました。

①システム管理・保守業務の操作内容の一部始終を記録し長期保存できること。
②申請内容に含まれない外部媒体の操作等に対して遮断・通知機能を有すること。さらに
③操作内容を第三者が容易に監査できる記録であることが選定の基準となりました。

img_nissei_s.jpg
保険ソリューション
事業部 重延 麗子 氏

「ESS RECによる記録は操作した内容をそのまま再現できるため、作業内容を点検・監査しやすい点が特徴として挙げられます。また、記録機能と制限機能のバランスが取れていることが選定の一番の理由です。」(北川氏)
「また、ESS RECの導入により、作業内容を遡って追跡(追跡可能性=トレーサビリティ)できるようになった結果、作業申請書の内容と作業内容を正確に照らし合わせ、監査することができるようになりました。」(重延氏)

効果

ESS RECの導入効果

構築に要した期間は2ヶ月
システム管理・保守業務プロセスの内部統制環境を構築
業務プロセスの遵守とセキュリティに対する意識の向上

■内部統制環境
ニッセイ情報テクノロジーでは、およそ2ヶ月間の構築期間で、保険システムのASP基盤のシステム管理・保守業務へのESS REC導入を実現しました。
システム管理・保守業務におけるすべての操作を記録・蓄積し、システムの操作内容が申請書に記載した内容と一致していることを確認する監査プロセスを運用しています。
この結果、①作業申請書から逸脱した行為が行われていないことを保証。②誤操作等に対する確認体制の強化。さらに③システム管理・保守業務の統制力が強化されました。「不測の事態に対する備え以外にも、日常の業務に対するセキュリティの意識が高まりました。」(重延氏)

■人と組織による統制がゴール
ニッセイ情報テクノロジーでは、セキュリティの強化や内部統制の実現には、個人レベルでの意識と統制された組織が不可欠だと考えています。
「ESS RECは人と組織による統制を実現するための補完機能を提供するものであり、業務プロセスが正しく実施されていることを検証するためのツールという認識を持っています。」(北川氏)

PROFILE:ニッセイ情報テクノロジー株式会社

○設立
1999年(平成11年)7月
○本社所在地
東京都大田区蒲田5丁目37番1号 ニッセイアロマスクエア
○URL
http://www.nissay-it.co.jp
○事業内容
保険・金融に関するシステムサービス、医療・介護に関するシステムサービス、ネットワークサービス、アウトソーシング 等
○導入製品
ESS REC

※本内容は、2007年7月時点のものです。

img_pdf.jpg

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時