導⼊してからでは遅い!
事前に知っておきたいRPAの「ガバナンス問題」
簡単な⾃動化が思わぬ事件事故に。RPAが抱えるリスク
ここ数年ですっかり世の中に浸透したRPA。ここまでトレンドとなった背景には、政府が推進する働き⽅改⾰への対応として、ITを活⽤した労働⽣産性向上の取り組みが活性化しているからではないでしょうか。しかも、RPAは「簡単に使える」ことから、導⼊する企業が爆発的に増えています。しかし、「だれでも簡単に⾃動化できる」ツールだからこそ、気をつけなければならない点があるのです。
例えば、「夜間にファイルサーバの機密データにアクセスし、外部サーバに送信する」といった不正⾏為。⼈が⾃らの⼿で実⾏する場合、「なぜ1⼈だけ夜中に社内に残るのか」「休⽇に出社して、なんの操作をしているのか」など不審な⾏動が⽬⽴ちますが、RPAで⾃動化してしまえば、だれにも気づかれずに不正な⾏為を実⾏することも可能になるでしょう。
また、「⾯倒な承認作業をすべてRPAで⾃動化したら、本来認めてはいけない案件まで承認してしまった」といったリスクも。これでは問題があります。
こういった例は、RPAの設定操作を完全に現場任せにする運⽤においてよく⾒受けられます。このような事態を避けるためには、社内で「どのような業務をRPAで⾃動化するのか」「どのような業務がRPAで自動化されているのか」を集中的に管理することを強くお勧めします。RPAツールは、PCにインストールし、個別に動作するものと、サーバで管理するものに⼤きく2種類に分けられます。そして、集中的に管理するにはサーバ型が適しています。
RPA活⽤には、⼀定の運⽤ルールが必要
情報システム部⾨で主導管理した上でRPA導⼊を進める場合、事前に⼀定の運⽤ルールを定めておきましょう。例えば、前段で挙げたような承認ミスはあってはならないため、「承認業務は⾃動化してはいけない」といった社内ルールや、「RPAによる⼊⼒業務の⾃動実⾏後に必ず内容を確認する」といった社内ルールなどが挙げられます。RPAは設定通りに処理してしまうもの。⼿作業での⼊⼒業務ではチェックしていたことが、RPAの設定から漏れてしまい、「間違った注⽂情報なのに、そのまま⼊⼒されてしまった」「特別対応が必要なのに、通常の扱いになっていた」などのトラブルにつながりかねません。
また、情報システム部⾨で主導すると⾔っても、細かな作業の⾃動化まですべて対応するとなると、スピード感に⽋け、RPAのメリットを活かしきれないことも。場合によっては、現場に実装を任せるケースもあるでしょう。そういった場合でも、完成後に情報システム部⾨で必ずシナリオを確認するなどの運⽤ルールで、「なにが動いているのか、まったくわからない」状況だけは避けたいものです。
運⽤ルールだけでは不⼗分。ログ監視の仕組みも重要
適切な運⽤ルールを定めることは重要ですが、「ルールを作ったから安⼼」というわけではありません。あわせて社内の様々なシステムサーバのログを取得し、監視できる体制も重要です。通常とは違う操作があった場合や、不正アクセスがあった場合などに検知する仕組みとあわせ、問題発⽣時に証跡をたどれる仕組みを整えておきましょう。ログ監視は不正発⽣後の対応時に有効ですが、「ログを監視している」と周知することによる不正への抑⽌効果も期待できます。
RPAは、きちんと活⽤すれば業務効率化につながる便利なツールであることは間違いありません。ですが、ガバナンス上のリスクをはらんでいることも事実。⼀度RPAを使いはじめてから、改めてガバナンスに沿った運⽤体制を整えるのはあまりに⼤変。RPA導⼊の前に、運⽤ルールやログ監視などの体制を整えることをお勧めします。