不動産管理業務を手掛けるコスモスライフは4月2日、社内システムのユーザーIDを一元管理するシステムを導入した。非上場会社であるものの将来の事業拡大に備え、日本版SOX法が求める要件を参考にした。アクセス管理を徹底し、社内外からの不正利用を防ぐ。
「業務システムのアクセス管理を徹底しなければ、システムの不正利用にかかわるリスクを軽減できない」―。コスモスライフの大西雄三システムセンター長は、アイデンティティ(ID)管理システムの導入理由をこう語る。
同社が管理するIDは、顧客管理や契約管理、会計やグループウエアなど約20の社内システムを利用する約800人分。日本IBMのID管理ソフト「Tivoli Identity Manager」を使い、日本版SOX法の実施基準や各種参考文献に沿う形で、ユーザーIDやパスワード、アクセス権限を一元管理できるようにした。
 |
| 統制の対象とポイント |
コスモスライフは現時点では、日本版SOX法の対象外である。非上場であるし、親会社のコスモスイニシアの連結売上高に占める割合も約1割と小さい。それでも今回、日本版SOX法に沿ったのは、「コンプライアンス(法令順守)の強化はもとより、近い将来の事業規模拡大に備え、上場企業レベルの内部統制が必要だと考えた」(大西センター長)ため。2005年4月から業務処理統制やIT全般統制を整備している。
IT全般統制においては、ID管理を重視した。その背景には、同社の雇用形態が多様化していることがある。正社員のほか、長期契約社員、短期の派遣社員やアルバイトなどが増えている。正社員であっても、営業や販売のように社内で働く一般社員と、マンションの管理人として勤務時間や職務が限定される社員に分かれる。
これまでIDは、雇用形態によらず、利用部門からの依頼に基づいて、システム部員が手作業での発行・削除していた。そのため、申告漏れにより退職者のIDが放置されていたり、システム部員の作業ミスで一部システムのアクセス権を変更し忘れたりといった不備が発生していた。
今回導入したID管理システムは、正社員を管理する人事管理システムと連携させている。1日1回、人事情報とID情報の整合性を取ることで、人事異動と同時に、複数のシステムに対するアクセス権限を同時に変更する。システム部門への事前申請がなければ、異動前の部署のデータは扱えないようになる。
一方、派遣社員やアルバイトは、各部門の判断で雇用しているため、人事管理システムには登録されない。そこで、派遣社員らに付与するIDの有効期限を、最低契約期間の3カ月に設定。利用部門が、3カ月ごとに派遣社員ら用のID発行を申請することにした。実際には、1年以上の派遣契約を結ぶ例が多く、利用部門からは「手間がかかりすぎる」といった不満の声が上がったが、「従来のやり方では、ID放置の問題が解決できない」(大西センター長)と説得した。
ID管理の導入に先立ち、同社は昨年末に、基幹系システムを12年ぶりに刷新している。新システムでは、不動産管理の請求・入金や、清掃業務などの外部委託といった業務プロセスを、決められた手順以外では処理できなくした。この10月には、システム部員の業務履歴を管理するための仕組みを導入し、IT全般統制をさらに強化する計画だ。
