今どこの業界でも、どの企業規模のレベルであろうと業務系でシステムを利用していない企業はない。また最近では、よく業務統制ということが言われるが、今ではこれは業務システムによる統制という意味にもなり、IT統制という言われ方もしている。
背景には、SOX法(ソックス法、エンロン事件などの企業会計不正の続出に対して、2002年7月に米国で成立した企業改革法、日本版SOX法は2008年3月決算期から施行予定)の施行もあるが、企業経営として、コンプライアンス(法令順守)やCSR(企業の社会的責任)という概念が重要視されることがある。
もともと情報システムそのものは、企業活動を支援していくための道具である。そのため企業が置かれている環境が変化すれば、当然情報システムに要求されることも変わってくる。個人情報保護法が施行され、情報漏えいのようなトラブル防止以外に、企業の不正行為が行われないような監視を行うなど、社会状況的にはコンプライアンスということが重要な位置付けになってきている。
これは言い換えると、今情報システム構築を検討する上では、セキュリティが重要なポイントということでもある。
JDF対応にもセキュリティ対策は重要
印刷企業の間でも、JDFの出現などで印刷業務管理のシステムについては見直しを考えているところが多い。しかし、JDF対応の前にまずセキュリティ対策が必要なはずである。
従来の業務システムのような、ごく一部の人が取り扱うシステムであったものから、パソコンやネットワークの普及で、すべての人が情報を扱う環境になってきていることがある。
本欄の記事でも、IT活用の目指すところは、「ち密、迅速な経営・業務判断支援」であり、「経験・熟練業務の削減」「情報共有によるコミュニケーション改善」であると述べている。これは、情報の扱い方として共有、リアルタイム、コミュニケーションの仕組みが重要な3つの要求機能項目だということである。
印刷業向けのシステムでは、顧客との間で受発注情報やコンテンツ、業務進行情報などの共有があるが、生産管理の部分では、JDFの出現のように、制作のための人や装置間での情報共有による、人の介在を減らす自動化の動きなどもある。
この共有やコミュニケーションとは、目的により多くの人が情報をアクセスすることになり、情報をだれに許可するのかなど、改ざんされないというセキュリティが必須になってくる。
セキュリティ、トレーサビリティ、モニタリング
情報共有を行うこととセキュリティ対応とは、相反する部分でもある。最近のセキュリティへの対応では、個人情報保護対策としてのプライバシーマークを取得することもあるが、情報システムのセキュリティでは、個人情報以外に企業情報が入ってくる。受発注の情報や顧客の情報などこれらは企業情報であるが、しかし、業務を進める上では共有する情報である。
セキュリティを考える上では、情報を見られる人、情報を更新できる人以外に、業務を進める上での業務プロセス、業務フローまでを含めてルール化が必要で、これはIT統制と呼ばれる範囲に入ってくる。さらに情報が正しいのか、だれがアクセスしてだれが更新したのかなどが分かるような仕掛けも必要になり、これはトレーサビリティの範囲に入ってくる。さらに、情報の漏えいや改ざんがされていないか、規定の業務が実施されているかなど、情報の更新状況などを監視するようなモニタリングという考え方も必要となるため、セキュリティ、トレーサビリティ、モニタリングという機能がセットになる環境が必要になってくる。
このように、情報を共有することは、正しい情報か、関係者以外が見ていないかまでを機能として実現しながら、最適な業務プロセスからイリーガルなプロセスにも合うようにする必要がある。結果として、経験の必要性や人為的なミスを減らすことにもつながる。
2006/05/07 00:00:00