Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンプライアンスとかいう 難しいたけな話を 楽しいたけな話にできるはうつー/Developer...

WHIsaiyo
August 16, 2022

コンプライアンスとかいう 難しいたけな話を 楽しいたけな話にできるはうつー/Developers Summit 2022 Summer

コンプライアンスとか統制とか聞くと何を連想するでしょうか。「コンプラの人って現場のことわかってない」「運用を難解にするだけ」「関わると怖い目にしかあわない」「コンプラってだっせーよな! 帰って開発しようぜ!」といったものではないでしょうか?
弊社製品の運用統制担当者は幸いにしてそういった難しく悲しいコメントを頂戴することは稀になりました。コンプライアンスを楽しくするために弊社統制チームが何をしてきたのか。その施策をまとめて共有し、津々浦々の統制をナウいそれに楽しく変えるのが本セッションの目的となります。楽しいですよ、コンプラ!

大嶋 俊祐[Works Human Intelligence]

株式会社Works Human Intelligence
Product Div.SRE Dept.Compliance Grp. Grp.Mgr

ヘブライ文字・アラビア文字といった文字の表示アルゴリズムについて大学で研究した後、2013年に入社。教育チームや託児施設立ち上げタスク、製品ソースコード改善タスクや社内プライベートクラウド構築・運用タスクなどに参加した後、製品の運用チームに運用の担当者 兼 運用コンプライアンスの担当者として参画。プライベートでは二児の父、TRPGと日曜プログラミングが趣味。好きなものは家族と同僚と髭剃り。苦手なものはSQLと虫と掃除。クリアデスクが苦手で同僚に怒られがち。いつもすみません。座右の銘は「喜ぶ人と共に喜び、泣く人と共に泣きなさい」。

WHIsaiyo

August 16, 2022
Tweet

More Decks by WHIsaiyo

Other Decks in Business

Transcript

  1. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential コンプライアンスとかいう

    難しい たけ な話を 楽しい たけ にできるはうつー 大嶋 俊祐 2022/07/21
  2. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 自己紹介

    株式会社 Works Human Intelligence Product Div. SRE Dept. Compliance Grp. おおしま しゅんすけ 大嶋 俊祐 新卒で入社し、社内教育に3年携わった後 現在までSREで運用コンプライアンスを担当。 主務とは別に社内コード改善タスクや、 社内プライベートクラウド構築タスク 社内託児施設の立ち上げタスク等にも参加。 2児の父。趣味は日曜プログラミングとTRPG。 2
  3. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 株式会社Works

    Human Intelligence 代表取締役最高経営責任者(CEO) 安斎 富太郎 株式会社WHI Holdings 大手企業向け統合人事システム「COMPANYⓇ」の開発・販売・サポート、HR関連サービスの提供 100百万円 〒107-6021 東京都港区赤坂1-12-32 アーク森ビル21階 東京(本社)、大阪、名古屋、福岡、広島 2019年8月1日 1,730名(連結) ※2021年12月末時点 03-5575-5277 株式会社ワークスビジネスサービス 株式会社セキスイビジネスアソシエイツ https://www.works-hi.co.jp 会社概要 商号 代表者 親会社 事業内容 資本金 本社 事業所 事業開始 従業員数 電話番号 子会社 Webサイト : : : : : : : : : : : : 大手企業・法人向け統合人事システムを開発・販売・サポートしています
  4. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 業種・業態を問わず、数千名~数万名規模の大手法人にご利用いただいています

    実績 ERP市場人事・給与業務分野 シェアNo.1※ ※2020年度 ERP市場 - 人事・給与業務分野:ベンダー別売上金額シェア 出典:ITR「ITR Market View:ERP市場2022」 国内大手法人※ の(※従業員数3,000人以上) 3社に1社が WHIのHR製品を利用(当社調べ) 年間継続契約率 98%※ ※2020年度 金額ベース 約600法人グループが 10年以上継続利用中 日本の大手約1,200法人 グループが導入 保有する人事データ数は 450万人 ※ ※2020 年 12 月末時点の契約法人における COMPANY 人事の契約ライセンス数合計
  5. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential •自己紹介

    •コンプライアンス運用 •統制ルールの紹介 •事例1:環境の起動・停止の設定変更 •事例2:在宅勤務 •ただし…… •まとめ アジェンダ 5
  6. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 🍠コンプライアンスのイメージ🥔

    コンプライアンスないし統制に対する社会一般のイメージ (n = 10 / 社外のコミュニティで話して出たコメント) • 邪魔 • 実運用を理解してない • 面倒なルールばかり増やして開発・運用負荷上げてくる • 怖い・憲兵 • その割に実運用の役に立ってない • 総じてイモくさい(お芋はおいしいやろがい) 6
  7. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「統制担当者は実際の運用も同時に担当するべき」

    運用統制チームの発足当時からの思想 運用をエンジニアリングする 運用担当者が統制担当者も兼任 8 運 用 運 用 運 用 運 用 運 用 運 用 運 用 運 用 運 用 運 用 統 制
  8. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「統制担当者は実際の運用も同時に担当するべき」

    運用統制チームの発足当時からの思想 運用をエンジニアリングするだけでなく 統制もエンジニアリングする 運用担当者が統制担当者も兼任 9 運 用 運 用 運 用 運 用 運 用 運 用 運 用 運 用 運 用 運 用 統 制
  9. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者にとってのメリット

    運用における統制的弱点がわかる →効率的に防御を固められる 10 この運用だとこういうことがあった場合に お客様に説明がつかないからこう変えよう この運用だと証跡が残せないから ここでログをちゃんと残すようにしたい
  10. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 運用担当者にとってのメリット

    統制における運用的弱点がわかる →運用の足を引っ張らない手法を模索し易い 11 これを守りたいけど、こういう統制だと 運用負荷が高すぎるからこっちの手段で ここでログを吐き出させれば 運用を変えずにお客様の必要に応えられる
  11. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「作業やっていいよ証明書」

    をもらってから作業しましょう 弊社の基本的な統制ルールの紹介 13
  12. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「作業できるよ部屋」からじゃないと作業不能

    「作業やっていいよ証明書」がないと「作業できるよ部屋」には入室不能 「作業やっていいよ証明書」の発行には以下の制約が存在 • 作業者のリクエストに基づいて責任者が発行 • 本人が発行することは不可能 • 作業が終わるまたは時間経過で入室の権利は失効 作業できるよ部屋 弊社の基本的なルール(詳細) 14 顧客 環境 執務室 作業できるよ部屋 運 用 運 用 オレオレ印籠は 作れません また、印籠に 寿命があります
  13. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential •

    『作業やっていいよ証明書』が存在することを担保 • アクセスを限るべき情報へのアクセスを制限 作業できるよ部屋の利点 15 作業できるよ部屋 運 用 運 用
  14. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 弊社は従量課金のクラウドサービスを利用

    =利用している時間について課金されるので 利用していない時間はリソースを停止させたい →本番稼働していない環境については起動・停止の時間を設定 環境の起動・停止設定変更 16
  15. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある

    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくない でも、たまにはさ 17
  16. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある

    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくないが しかし、作業やっていいよ証明書なしに設定変更されては困る よって「『作業できるよ部屋』からやってください」 でも、たまにはさ 18 作業できるよ部屋 運 用
  17. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 夜間に動くバッチプログラム等の検証をするために夜間まで動かしたいこともある

    起動停止時間の設定を行うたびに作業できるよ部屋にはいきたくないが しかし、作業やっていいよ証明書なしに設定変更されては困る よって「『作業できるよ部屋』からやってください」 でも、たまにはさ 19 作業できるよ部屋 運 用 やってられません
  18. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「『やっていいよ証明書』が無いと入れない部屋」で

    やっていいよ証明書の存在を担保して統制を確保するべきである とはいえやっていいよ証明書は要ります 20 運用者の負担を軽減するべきである 相反?
  19. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「『やっていいよ証明書』が無いと入れない部屋」で

    やっていいよ証明書の存在を担保して統制を確保するべきである とはいえやっていいよ証明書は要ります 21 運用者の負担を軽減するべきである 相反? 相反させず 両立させる!
  20. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「『やっていいよ証明書』が無いと入れない部屋」で

    やっていいよ証明書の存在を担保して統制を確保するべきであるのではなく もう少し楽な別の手段で やっていいよ証明書の存在を担保することで とはいえやっていいよ証明書は要ります 22 運用者の負担を軽減する
  21. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 「『やっていいよ証明書』が無いと入れない部屋」で

    やっていいよ証明書の存在を担保して統制を確保するべきであるのではなく 「『やっていいよ証明書』が無いと設定できない設定変更ツール」で やっていいよ証明書の存在を担保することで運用者の負担を軽減 ※起動停止の時間情報は『アクセスを限るべき情報』ではないので 作業できるよ部屋で守る必要がない とはいえやっていいよ証明書は要ります 23 やっていいよ証明書の ID を入力してください! 154649 保存
  22. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 内部的には

    24 やっていいよ証明書の ID を入力してください! 154649 保存 やっていいよ証明書管理ツール スケジュールツール 運 用 パブリッククラウドの 起動停止カレンダー ①変更後のスケジュールとやっていいよ証明書IDを送信 ②やっていいよ証明書が有効なものなのか検証依頼 ③やっていいよ証明書の状態を返却 ④設定を反映
  23. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 環境の起動・停止設定変更

    25 やっていいよ証明書の ID を入力してください! 154649 保存 自身が運用者なので 証明書を用いた アプリを容易に準備 自身が統制者なので 必要以上に運用を 拘束せずに済む
  24. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 環境の起動・停止設定変更

    26 やっていいよ証明書の ID を入力してください! 154649 保存 統制がすいすい可能 よろこばしいたけ 自身が運用者なので 証明書を用いた アプリを容易に準備 運用もすいすい可能 よろこばしいたけ 自身が統制者なので 必要以上に運用を 拘束せずに済む
  25. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential COVID-19

    の流行を契機に弊社もテレワークを本格的に開始 テレワークについて 27
  26. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential COVID-19

    の流行を契機に弊社もテレワークを本格的に開始 業務内容によってはできない:お客様環境にアクセスする場合どうするの テレワークについて 28
  27. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 従来のアクセス

    29 顧客環境A 作業できるよ部屋 執務室 顧客環境B 顧客Aの 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 社外
  28. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 環境アクセスの諸問題

    30 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 ネットワークの分離と部屋アクセスの制限 覗見 アクセス中のデバイスを覗き見される 部屋アクセスの制限 無申告 証明書で指定していない顧客環境にアクセス アクセス経路の制限 環境アクセスに際して考慮する問題表(一部抜粋)
  29. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 従来のアクセス

    31 顧客環境A 作業できるよ部屋 執務室 顧客環境B 顧客Aの 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 社外 覗見対策 無申告の 作業対策 データ漏洩対策
  30. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential テレワークでも対策できればOKでは

    32 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 覗見 アクセス中のデバイスを覗き見される 無申告 証明書で指定していない顧客環境にアクセス 環境アクセスに際して考慮する問題表(一部抜粋)
  31. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 弊社のテレワークでの対応状況

    33 顧客環境B 執務室 顧客環境A 社外 中継環境 運 用 悪 党 在宅で 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 在宅で 作業やって いいよ証明書
  32. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential テレワークでも対策できればOKでは

    34 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 覗見 アクセス中のデバイスを覗き見される 無申告 証明書で指定していない顧客環境にアクセス 環境アクセスに際して考慮する問題表(一部抜粋) 顧客環境B 執務室 顧客環境A 社外 中継環境 在宅で 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 在宅で 作業やって いいよ証明書 運 用 悪 党
  33. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential テレワークでも対策できればOKでは

    35 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには承認と認証が必要 覗見 アクセス中のデバイスを覗き見される 無申告 証明書で指定していない顧客環境にアクセス 環境アクセスに際して考慮する問題表(一部抜粋) 顧客環境B 執務室 顧客環境A 社外 中継環境 在宅で 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 在宅で 作業やって いいよ証明書 運 用 悪 党
  34. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential テレワークでも対策できればOKでは

    36 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要 覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行 無申告 証明書で指定していない顧客環境にアクセス 環境アクセスに際して考慮する問題表(一部抜粋) 顧客環境B 執務室 顧客環境A 社外 中継環境 在宅で 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 在宅で 作業やって いいよ証明書 運 用 悪 党 証明書発行時には どこで作業しているのか確認
  35. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential テレワークでも対策できればOKでは

    37 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要 覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行 無申告 証明書で指定していない顧客環境にアクセス 従来と同じ運用なため特に考慮は必要なし 環境アクセスに際して考慮する問題表(一部抜粋) 顧客環境B 執務室 顧客環境A 社外 中継環境 在宅で 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 在宅で 作業やって いいよ証明書 運 用 悪 党
  36. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential テレワークでも対策できればOKでは

    38 問題 内容 対策 データ漏洩 データ漏えいを意図した攻撃者が顧客環境に接続 中継環境に接続するには証明書の発行等が必要 覗見 アクセス中のデバイスを覗き見される 作業場所は事前に確認された上で証明書発行 無申告 証明書で指定していない顧客環境にアクセス 従来と同じ運用なため特に考慮は必要なし 環境アクセスに際して考慮する問題表(一部抜粋) 顧客環境B 執務室 顧客環境A 社外 中継環境 在宅で 作業やって いいよ証明書 顧客Aの 作業やって いいよ証明書 在宅で 作業やって いいよ証明書 運 用 悪 党
  37. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential COVID-19

    の流行を契機に弊社もテレワークを本格的に開始 業務内容によってはできない:お客様環境にアクセスする場合どうするの お客様環境にアクセスする人もテレワークできるように整えた (とはいえ実装においては様々な人の助けを得ています) テレワークについて 39
  38. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential COVID-19

    の流行を契機に弊社もテレワークを本格的に開始 業務内容によってはできない:お客様環境にアクセスする場合どうするの お客様環境にアクセスする人もテレワークできるように整えた (とはいえ実装においては様々な人の助けを得ています) テレワークについて 40 自身が運用者なので 実態がわかっていて 関係者に説明が容易 自身が統制者なので インセンティブが 改善に対して存在
  39. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential COVID-19

    の流行を契機に弊社もテレワークを本格的に開始 業務内容によってはできない:お客様環境にアクセスする場合どうするの お客様環境にアクセスする人もテレワークできるように整えた (とはいえ実装においては様々な人の助けを得ています) テレワークについて 41 在宅でも統制維持で よろこばしいたけ 在宅で作業できて よろこばしいたけ 自身が運用者なので 実態がわかっていて 関係者に説明が容易 自身が統制者なので インセンティブが 改善に対して存在
  40. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential このやり方にはいくつか問題が存在

    • 職務分掌が困難 • 製品が増加した場合に対応不能 • 製品が高度化した場合に対応不能 ただし…… 43
  41. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 部署・役職・担当者の責務を配分して仕事の責任・範囲を明確化

    →責任範囲を明確化 不正に対する牽制 ……あれ……? 職務分掌 46 私……存在しては いけないやつでは?
  42. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 不正検知の機能を利用

    例:パブリッククラウドのログ記録機能 職務分掌の問題への対応 47 パブリック クラウドを 操作 パブリック クラウドの 操作記録
  43. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 不正検知の機能を利用

    例:パブリッククラウドのログ記録機能 職務分掌の問題への対応 48 パブリック クラウドを 操作 パブリック クラウドの 操作記録 この操作記録の管理
  44. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 不正検知の機能を利用

    例:パブリッククラウドのログ記録機能 職務分掌の問題への対応 49 パブリック クラウドを 操作 パブリック クラウドの 操作記録 この操作記録の管理 操作記録は定期的に自動チェックされ 不審な動きがある場合はアラート発報 操作記録保存用の保存領域は アカウント管理者であっても 一定期間削除・編集できない設定 (ただただ追加されていくのみ) 操作記録保存専用の パブリッククラウドアカウントを用意
  45. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential いち利用者の立場に留める

    例:パブリッククラウドの権限管理 職務分掌の問題への対応 50 パブリック クラウドの 操作記録 統制チームのリーダーは 記録アカウントの管理権限を保持
  46. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential いち利用者の立場に留める

    例:パブリッククラウドの権限管理 職務分掌の問題への対応 51 パブリック クラウドの 操作記録 L 運 用 L 運 用 L 運 用 パブリック クラウド アカウント 運用チームの 各リーダーは 管理権限を保持
  47. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential いち利用者の立場に留める

    例:パブリッククラウドの権限管理 職務分掌の問題への対応 52 パブリック クラウドの 操作記録 L 運 用 L 運 用 L 運 用 パブリック クラウド アカウント 運用チームの 各リーダーは 管理権限を保持 統制チームの リーダーは 管理権限がない (一般運用者の 権限のみ保持)
  48. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    製品が増加した場合に対応不能 53 製品A 運 用 運 用 運 用
  49. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    製品が増加した場合に対応不能 54 製品A 運 用 運 用 運 用 製品B 運 用 運 用 運 用
  50. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    あれ……? 製品が増加した場合に対応不能 55 製品A 運 用 運 用 運 用 製品B 運 用 運 用 運 用 製品C 運 用 運 用 運 用
  51. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    あれ……? 無理では……? 製品が増加した場合に対応不能 56 製品A 運 用 運 用 運 用 製品B 運 用 運 用 運 用 製品C 運 用 運 用 運 用 製品D 運 用 運 用 運 用
  52. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 製品が増加した場合への対応

    57 製品A 運 用 運 用 運 用 製品B 運 用 運 用 運 用 製品C 運 用 運 用 運 用 製品D 運 用 運 用 運 用
  53. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 製品が増加した場合への対応

    58 製品A 運 用 運 用 運 用 製品B 運 用 運 用 運 用 製品C 運 用 運 用 運 用 製品D 運 用 運 用 運 用 定期的に集まって相談会を実施
  54. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 製品が増加した場合への対応

    59 製品A 運 用 運 用 運 用 製品B 運 用 運 用 製品C 運 用 運 用 製品D 運 用 運 用 定期的に集まって相談会を実施 ノウハウの共有
  55. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 製品が増加した場合への対応

    60 製品A 運 用 運 用 運 用 製品B 運 用 運 用 製品C 運 用 運 用 ノウハウの共有 製品D 運 用 運 用 定期的に集まって相談会を実施 ノウハウの共有
  56. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    製品が高度化した場合に対応不能 61 運用チーム 運 用 運 用 運 用 開発チーム 統制チーム
  57. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    無論、統制・運用・開発は日々改善され内容は高度化していく 製品が高度化した場合に対応不能 62 運用チーム 運 用 開発チーム 統制チーム 運 用 運 用
  58. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制担当者は担当製品の運用も実施する

    無論、統制・運用・開発は日々改善され内容は高度化していく 定型業務をこなすだけなら可能でも、トラブル対応や改善への参加は困難 製品が高度化した場合に対応不能 63 運用チーム 運 用 開発チーム 統制チーム 運 用 運 用 運 用
  59. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 運用チームから運用を大きく外だしするために

    運用チームが持っていたタスクについて各チームから当番を出して対応 人数は控えめ! 運用チームが2人いたりすると結局運用チームの人だけで解決してしまう 製品が高度化した場合への対応 64 担当者1 担当者2 月曜 運用チームのAさん 開発チームのBさん 火曜 運用チームのCさん 統制チームのDさん 水曜 運用チームのEさん 開発チームのFさん 木曜 運用チームのGさん 統制チームのHさん 金曜 運用チームのAさん 開発チームのIさん 対応お当番表
  60. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential このやり方にはいくつか問題が存在

    • 職務分掌が困難 • 製品が増加した場合に対応不能 • 製品が高度化した場合に対応不能 • コンプラってよくわかんないじゃん ただし…… 65
  61. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential このやり方にはいくつか問題が存在

    • 職務分掌が困難 • 製品が増加した場合に対応不能 • 製品が高度化した場合に対応不能 • コンプラってよくわかんないじゃん ただし…… 66
  62. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制はよく分からないし、トチると始末書ものかもしれない

    ⇒何かあっても隠したい運用者 VS 隠されたら何もかもが上手くいかなくなる統制担当者 コンプラってよくわかんないじゃん 68
  63. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制はよく分からないし、トチると始末書ものかもしれない

    ⇒何かあっても隠したい運用者 VS 隠されたら何もかもが上手くいかなくなる統制担当者にならないために 統制担当者も運用担当者として運用業務に携わる コンプラってよくわかんないじゃん 69
  64. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制はよく分からないし、トチると始末書ものかもしれない

    ⇒何かあっても隠したい運用者 VS 隠されたら何もかもが上手くいかなくなる統制担当者にならないために 統制担当者も運用担当者として運用業務に携わる + 統制目的を全ての運用者に伝える • ルールの説明などに際してはルールの意図を共有 • 新人研修に際してサービス・統制の全体像を共有 コンプラってよくわかんないじゃん 70
  65. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential 統制はよく分からないし、トチると始末書ものかもしれない

    ⇒何かあっても隠したい運用者 VS 隠されたら何もかもが上手くいかなくなる統制担当者にならないために 統制担当者も運用担当者として運用業務に携わる + 統制目的を全ての運用者に伝える • ルールの説明などに際してはルールの意図を共有 • 新人研修に際してサービス・統制の全体像を共有 コンプラってよくわかんないじゃん 71 新人教育で統制精神を注入
  66. © 2022 Works Human Intelligence Co., Ltd. Strictly Confidential •

    運用担当者が統制担当者を兼任するメリット ◦ 互いにコミュニケーションを取りやすくする ◦ 運用しにくいルールを変に増やさずに統制を改善 ◦ 統制上の穴を作ることなく運用を改善 • 「ただし……」への対応 ◦ 統制担当者はちょっと権限を弱めにして、職務分掌 ◦ 運用が広く・深くなっても対応するために横断での会議体・当番 • 運用担当者の教育で統制精神を注入 ◦ 統制に対する「よくわからない」の除去 ◦ 統制を意識して運用・開発ができる • 運用や開発は楽しいたけ 同様に統制も楽しいたけ まとめ 72