RPA 導入時のセキュリティ対策の考え方

RPA (Robotic Process Automation)

RPA の普及が注目されています。

総務・経営企画向けのガバナンス構築及びリスクマネジメント支援を提供する株式会社ENNA では、内部統制及び業務分掌と業務権限の観点から、RPA を導入するにあたってのセキュリティの考え方を整理していきたいと思います。本ページは、主に、RPA 導入におけるリスクとその対策を検討するものであり、基準ではなく考え方を示すものです。

RPA の機能及び普及状況等については、その概要を総務省のサイトから確認頂きたい。

RPA (働き方改革 : 業務自動化による生産性向上) : 総務省
http://www.soumu.go.jp/menu_news/s-news/02tsushin02_04000043.html

また、RPA に関するリスクの想定は、MIT Slone のサイトに基づき検討しています。

Five Robotic Process Automation Risks to Avoid : MIT Slone
https://sloanreview.mit.edu/article/five-robotic-process-automation-risks-to-avoid/

尚、今後、RPA 活用に関するセキュリティガイドライン等が発行された場合には、そちらに参照先を移行したいと考えています (平成30年8月20日)。

RPA とは

RPA (Robotic Process Automation) の定義

Robotic process automation (or RPA) is an emerging form of business process automation technology based on the notion of software robots or artificial intelligence (AI) workers.

https://en.wikipedia.org/wiki/Robotic_process_automation

ロボティック・プロセス・オートメーション (Robotic Process Automation, RPA) とは、認知技術 (ルールエンジン・機械学習・人工知能等) を活用した、主にホワイトカラー業務の効率化・自動化の取組みである。人間の補完として業務を遂行できることから、仮想知的労働者 (Digital Labor) とも言われている。

https://ja.wikipedia.org/wiki/ロボティック・プロセス・オートメーション

RPA と RDA

IBM のサイトでは、RPA (Robotic Process Automation) と RDA (Robotic Desktop Automation) についてまとめています。特に、RPA と RDA の違いやメリット・デメリットをご確認ください。

RPA (ロボティックプロセスオートメーション) による定型業務からの解放
https://www.ibm.com/think/jp-ja/business/rpa/

参考書籍

参考リンク

BEYOND THE Hype : RPA UNCOVERD The Arvato way : arvato BERTELSMANN
https://www.arvato.com/content/dam/arvato/images/references/us/Arvato%20-%20RPA.pdf

RPA (ロボティックプロセスオートメーション) による定型業務からの解放 : IBM
https://www.ibm.com/think/jp-ja/business/rpa/

RPA (ロボティック・プロセス・オートメーション) : KPMG
https://home.kpmg.com/jp/ja/home/insights/2016/05/robotic-process-automation.html

RPA 導入時に必要な内部統制とリスクマネジメント

内部統制の観点から見た RPA 導入の実証実験と正式導入について

RPA を導入する PoC (実証実験) を様々な企業で行われていることと思います。この実験を、実業務端末で行っている場合は、様々な注意が必要となります。

RPA は、業務プロセスが決まっており、手順書に基づき処理されている事務作業をソフトウェアにより自動処理を行うものとされています。

尚、業務プロセスが決まっているということは、以下の事項が定められ、検証可能な状態に維持されていることになると考えられます。

  1. 業務の根拠となる、組織図があり、業務分掌と業務権限が定められている。
  2. 業務分掌の範囲内の業務プロセスが明示されている。
  3. 業務権限の範囲内の業務遂行の責任を負う 「利用者」 と 「組織の長」 が明確になっている。
  4. 業務権限の範囲を越える処理・データ出力・誤作動等が発生した場合は、RPA を活用する組織の長がその課題を認識し、修正・訂正の上、業務を適切に管理できる。
  5. データの取り扱いについては、その正確性を担保するために、データに対する CIA (機密性・完全性・可用性) における機密性と完全性が保証されている。
  6. データの機密性と完全性が保証されるために必要となる RPA のシステムの健全な運用が実施され、監視され、監査・改善されている。

RPA と内部統制

RPA はソフトウェアである前に、社内業務を IT で置き換える作業が実施されている点に注目します。

特に、業務の一部を IT で置き換えられ、業務効率化や経営判断に割く時間を増やすことができ、更にヒューマンエラーを減らせるものが RPA であると宣伝されることが多いのですが、組織や社員が自身の業務の一部を 「プログラム」 により分担する場合は、その分担した業務が正しく遂行されることを確認する必要があります。

IT 全社統制

企業の業務やその管理システムを IT によって監視・記録・統制し、その健全性を保証する仕組みが求められています。特に、IT 環境に対しては、IT 委員会実務指針第 6 号を参照します。

日本公認会計士協会 IT 委員会実務指針第 6 号

「IT を利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」
https://jicpa.or.jp/specialized_field/post_1591.html

情報セキュリティを保持するための 5 つの事項

  1. データセンターとネットワークの運用
  2. アプリケーションの取得、開発及び保守
  3. システム・ソフトウェアの取得、変更及び保守
  4. プログラムの変更
  5. アクセス・セキュリティ

この段階で注意すべき事項としては、以下のものがあります。主に、管理する機能があるかを事前に確認し、何かインシデントが起こった場合に状況や対策の報告が行えるシステムであるかどうか?が重要です。

  1. 選定基準 (システムの信頼性、プログラムの正確性)
  2. 構成管理 (クラサバ型か、クライアント毎か)
  3. ソフトウェアの脆弱性管理体制 (ベンダー側のパッチ配布 / ユーザ側のパッチ適用)
  4. アクセス管理等の機能 (セキュリティ機能の実装)
  5. 操作ログ / 作業ログ等の取得・管理・監査に関する機能

特に、RPA はホワイトカラーの業務改善に活用されるプログラムとしていますので、経営判断に資するデータの収集・加工・出力等が想定され、この経営判断に資するデータの間違い・不具合は、経営判断をゆがめる要因になるものと考えられます。

IT 全般統制 (システムの信頼性の担保)

日本の公認会計士協会の財務諸表監査に関する IT 委員会報告第三号では、「全般統制は取引、勘定残高及び開示における情報の信頼性を確保すること、及び業務処理統制の継続的な運用を確実にすることを間接的に支援するもの」 とされています。

IT 全般統制の範囲については、以下の統制及び対策が求められます。

  1. IT 戦略、企画、開発、運用、保守や、組織、制度、基盤システムに対する統制
  2. IT プロセスおよび個別要素である 「ユーザー認証」 「ログ監視」 「バックアップ」 等

この段階では、RPA 導入の是非の前に、RPA を導入する業務がどのようなものかを明示することが重要であり、この業務プロセスの決定に基づき、適切なシステムやソフトウェアを導入することになります。

  1. RPA の導入により業務改善が期待できる業務の選定
  2. RPA の導入に関する社内 IT 利用計画の策定・見直し
    システム所有者、ライセンス管理、ID 付与、共有 ID 利用、データ保管、業務プロセス設計書作成、業務プロセス設計変更手順等
  3. RPA の導入に関する社内 IT 利用規程・手順書の策定・見直し
  4. システムが適切に稼働していることをモニタリングする手法や手順
    RPA では実装されているものが多く、RDA では管理しにくい傾向にあります。
  5. データ侵害・棄損等が発生した際の責任の所在の明確化
    RPA を活用する業務の業務責任者がユーザ部門に所属していても、当該システムの管理者は情報システム部門である場合があるため
  6. RPA 導入の PoC (実証実験) の環境と手順、終了手続きの手順
    特に、現在業務利用している PC 及びサーバに追加インストールし、実証実験環境を用意しないで導入した場合のルールや、業務データの取り扱い等
  7. RPA が生成したデータが、どの社員のものかを明確にするユーザ認証
  8. RPA が生成したデータを、バックアップするための作業プロセス
  9. RPA がデータを生成するプロセスを後日確認できるためのログ取得・解析
  10. RPA が生成したデータを直接会計データ等と連携させるかの判断

IT 業務処理統制 (財務報告に関する正確な処理や記録)

業務処理統制は、手作業による統制と IT システムに組み込まれた統制に分けられます。
IT 業務処理統制では、業務処理システムにおけるデータの網羅性、正確性、正当性、維持継続性を確保するための統制を指し、入力、処理、出力が正しく行われることが確かであることを保証する必要があります。

結果として、業務に関する IT 利用となる RPA の活用は IT 業務処理統制の中で考える必要があります。
自動仕訳、自動集計、自動連携処理等と接続し、RPA により処理されたデータが運用される場合には、そのデータがどのように生成されたのかについて常に説明できる環境構築が重要です。

RPA は AI と違い、特定された業務プロセスをシステムが代行しているということですので、代行するプロセスが正しく設定され、チェックを受け、実際の業務を代替していることを証明する必要があります。

  1. RPA の導入時の業務プロセス設計と、その設計手順
  2. RPA の運用時の業務設計の見直しのプロセス
  3. RPA の運用時の誤作動等に対する、停止、改善、再開のプロセス
  4. RPA の運用時の脆弱性対応とその停止期間の処理ルール
  5. RPA で実施された業務に対するシステム監査と業務監査の手法

RPA で生成されたデータの活用範囲

RPA で生成されたデータを、事業戦略や営業の数字として活用する場合、業務処理統制から考えれば、チェック体制があり、内容を精査でき、不具合があれば修正できることで活用が可能となります。

この点は、AI とは異なり、RPA は定められた業務プロセスを自動化することが機能であるため、作業ログの監査及び生成されたデータの二重チェック等の業務を明文化するにより、ヒューマンエラーを回避できる十分なシステムということになります。

参考情報

RPA のガバナンスとセキュリティ : PwC
https://www.pwc.com/jp/ja/japan-knowledge/archive/assets/pdf/rpa-governance-security1608.pdf

RPA とサイバーセキュリティ

作成中

参考情報

Five Robotic Process Automation Risks to Avoid : MIT Slone
https://sloanreview.mit.edu/article/five-robotic-process-automation-risks-to-avoid/

「RPA」 と 「AI」 のセキュリティ対策に違いはあるか? (1 / 2)
http://techtarget.itmedia.co.jp/tt/news/1805/17/news11.html

お問合せ

アドバイザリサービスに関するお問合せはこちら

平成30年8月20日初版
平成30年8月22日改訂
平成30年8月24日改訂