掲載日 2007年9月28日
株式会社コスモスライフ(以下、コスモスライフ)は、マンション、ビル、学校施設などを対象とする不動産総合管理の分野で、高い信頼性と幅広い提案力を生かした高品質のサービスを提供してきました。不動産売買や賃貸の分野で確かな実績のあるコスモスイニシアグループの一員として、同社は上場企業レベルの内部統制を実現すべく、IBM Tivoli® Identity Managerの導入によって、社内システムのユーザーIDを一元管理するアカウント管理システムを構築しました。これにより、個人情報保護法や日本版SOX法に対応する企業コンプライアンスの確立とセキュリティー向上の基盤が整備され、さらなる内部統制の強化に向けた取り組みが始まっています。
お客様ニーズ
株式会社コスモス
ライフ
システムセンター
センター長
大西 雄三 氏
上場企業レベルの内部統制を実現するためには、
アカウント管理の一元化が最優先課題
コスモスライフでは、顧客管理、契約管理、財務会計など約20種類の社内システムが利用されています。システム部門であるシステムセンターでは、それぞれのシステム別に3、4名の担当者が手作業でアカウント管理を行っていました。正社員に加えて長期契約社員や短期の派遣社員、アルバイトなど、多様な雇用形態が存在しているため、入退社や人事異動があるたびに担当者全員が顔を合わせ、手作業でアカウントの作成や削除、アクセス権限の設定や変更に対応しなければなりませんでした。社内システムの利用者は約千名に上り、手作業によるアカウント管理業務には、毎回半日以上の時間が必要である上、担当者の日程調整のために、リアルタイムに変更を反映することが難しいという問題もありました。コスモスライフ システムセンター センター長 大西 雄三氏は、次のようにアカウント管理システム構築の背景を説明してくれました。
「コスモスイニシアグループの一員として、日本版SOX法に対応できる上場企業レベルの内部統制を実現し、セキュリティーやコンプライアンスを高めることは経営からの要請でもありました。こうした要請に応えるためにも、アカウントの一元管理と自動化を実現する新しいシステムの構築は最優先課題でした」
ソリューション
株式会社コスモス
ライフ
システムセンター
マネージャー
佐藤 啓 氏
従来の手作業によるアカウント管理を
Tivoli Identity Managerで自動化
2005年の春、社内システム全体のインフラ再構築に向けたプロジェクトがスタートし、その課題の一つとして新たなアカウント管理システムも具体的な検討が始まりました。アカウント管理システムの検討に当たっては、既存の社内システムの業務フローの分析や、社員ごとの業務や役割の違いに応じたアクセス権限のパターン整理、社員マスターを適切にメンテナンスするためのロジック構築など、綿密な現状調査と分析が不可欠です。約半年間に及んだ検討には、日本IBMのビジネスパートナーであるゼネラル・ビジネス・サービス株式会社(以下、GBS)も加わりました。GBSからの提案もあり、アカウント管理ツールにはIBM Tivoli Identity Managerが選択されました。
「もとから社内システムの構成要素として、IBM Lotus Notes/Dominoなど、多くのIBM製品を利用してきました。既存システムとの整合性を考えても、IBM製品以外の現実的な選択肢は有りませんでした。開発段階では、社員ごとに異なる複雑なアクセス権限のパターン整理や自動処理のテストを準備する際に、IBM/GBSチームにはスピーディーにサポートしてもらいました」と語るのは、コスモスライフ システムセンター マネージャー 佐藤 啓 氏です。
導入効果
正社員、契約社員など多様な雇用形態に応じた
アクセス・コントロールを効率的に運用
新しいアカウント管理システムは、2007年4月から本稼働が始まりました。新システムでは、正社員については、人事システムと連携することで、夜間バッチ処理のプログラムによって入退社や異動の情報が翌日には反映されます。また、契約社員や派遣社員、アルバイトについては、アカウントの有効期限を3カ月に設定し、退社予定日の10日前には所属部門の管理職宛に、継続の有無をメールで確認しています。これによって、従来の手作業では発生を防ぎ切ることが難しかった「休眠アカウント」の存在を一掃することが可能になりました。また、3から4名のシステムセンター担当者が半日費やしていた手作業によるアカウント管理業務が一元化・自動化されたことで、一人の担当者が1時間程度で確認作業を完了できるようになり、大幅な効率化が実現しました。
「社員の異動に伴って業務の引き継ぎが発生する場合は、その期間だけ、新旧の担当者両方に同じアクセス権限を持たせます。そのような場合は、事前にシステムセンター宛に申請が必要になります。新しい社内ルールを徹底するために、新システムの稼働前に社内で何度も講習会を実施して、社員の意識改革を図りました」と佐藤氏は言います。
将来の展望
システムセンターのアクセス・コントロールを
強化することで健全性を確保していく
アカウント管理システムの本稼働に伴って、各社員のパスワード管理は個々のユーザーに委ねるようになりました。定期的に全社員が一斉にパスワードを変更しなければならない期間を設定して、同じ社員が同一のパスワードを使い続けることのないように配慮しています。これによって、社員のセキュリティーに対する意識を高める効果も生まれています。
2007年10月からは、アカウント管理システム自体のアクセス・コントロールを強化し、アカウント発行や変更などの作業履歴、開発・運用の委託先への指示履歴など、システムセンターの各担当者の行動履歴を管理するシステムが導入される予定です。
「社内のイントラネット環境で業務が進められる現在、われわれシステムセンターが自らアクセス・コントロールを実施することで、業務の健全性を確保していくことが大切です。システムの利便性とセキュリティーはトレードオフの関係にあるので、着地点の見極めは容易ではありません。けれども、何か事故が発生した場合、真面目に仕事をしている人を守るために適正なアクセス・コントロールが重要なのだと認識しています」最後に大西氏は自らを律することの大切さを語ってくれました。
お客様情報
株式会社コスモスライフは、「人々の快適な生活の場を創造する」コスモスイニシアグループの一員として1976年に設立され、不動産総合管理事業、ライフソリューション事業、建設営繕事業、アフターサービス代行事業、損害保険・生命保険代理店事業、在宅総合ケアサービス事業を展開しています。
ビジネス・パートナー
本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。
本Webページの記載は、情報の提供のみを目的とするものであり、本Webページ上の金融商品取引法、会社法その他内部統制に係る法令等(基準、実務指針、ガイドライン等を含み、以下「日本版SOX法」と総称します。)に対する言及は、日本版SOX法の解釈についての意見や助言とみなされるべきものではありません。日本IBMは、本Webページの内容に関して、その正確性、完全性または有用性について保証するものではありません。
お客様の日本版SOX法の順守はお客様の責任において行っていただきます。日本IBMは、日本版SOX法を含むあらゆる法令、基準、実務指針、ガイドライン等(以下「法令等」といいます。)がお客様のビジネスに影響を与えるかどうかの解釈、またはお客様がそれらの順守のために何らかの対応が必要かどうかの解釈とその対応の内容その他法律、会計、経理または監査についていかなる助言も行なわず、日本IBMがご提供するサービスまたは商品は、そのご提供によりいかなる法令等についてのお客様の順守性を保証するものでもありません。
IBM,IBMロゴ,TivoliはInternational Business Machines Corporationの米国およびその他の国における商標。
他の会社名、製品名およびサービス名等はそれぞれの各社の商標。
