RPA(ロボティック・プロセス・オートメーション)が普及するにつれて、メリットだけでなく、導入・運用上の様々なリスクが明らかになってきた。回避策を押さえておこう。

 RPAを実現するために適切なツールを選んだ。次は、ガバナンス強化に向けた具体策。実施すべき対応策は大きく2つに分けられる。企画・開発に関する対応策と、運用・保守に関する対応策だ。いずれも、IT全般統制に強く関わるものである。

ガバナンス強化に向けた具体策の全体像
ガバナンス強化に向けた具体策の全体像
[画像のクリックで拡大表示]

 まずは企画・開発段階での対応策を見ていこう。開発段階では、(1)開発者のアクセス制御、(2)ロボットのID・パスワード設計、(3)業務の重要度に応じた開発手順の設計、(4)開発・承認ルールや手順書の整備、(5)業務要件の網羅性チェック、の5つの対応策を実施する。

(1)開発者のアクセス制御

 RPAは手軽に開発・改修できることが強みである。裏返せば、誰でも開発・改修できる体制で運用すると、悪意のある人が不正なロボットを作れる環境になるということだ。開発者が従業員として与えられた権限を上回る権限を持つロボットを自由に開発したり、稼働させたりできれば、本来はアクセスできない機密情報にアクセスし、そのデータを持ち出せてしまう。

 そのため、ロボットの開発・改修を行える開発者を明確にし、該当する開発者のみに権限を付与する必要がある。ロボット本体が置かれたフォルダーへのアクセスを制限し、事前に決めた開発者のみに権限を付与する。また、ロボットの動作スケジュールなども管理者が一元的に設定・管理するのが望ましい。

 使用するツールが、これらの権限設定や起動スケジュールの管理といった細かな設定ができるかどうかを事前に確認しておくことも重要だ。

(2)ロボットのID・パスワード設計

 ロボットにどのようなシステム上の権限を付与すべきか、開発前に設計した上で開発作業に着手することも欠かせない。

 通常は人事部門しかアクセスできないような人事システムに、他部門で利用しているロボットがアクセスできる場合、それにより発生するリスクは人事システムからの個人情報の漏洩リスクだけではない。ロボットのソースコードを開発者以外が閲覧可能な場合、人事システムのIDやパスワードが分かってしまうリスクもある。

 こうした状態を防ぐためには、ロボットごとにIDを設定し、IDごとにアクセス可能なシステムや、使用できる権限を設定する必要がある。

 加えて、RPAツールがロボットのIDを一元管理できる機能を持つことが望ましい。ツールの中には、パスワード管理用のデータベースを保持し、そこに一度登録したパスワードは、後から見られないようにする機能を持つものもある。こうしたツールの機能を活用しよう。

(3)業務の重要度に応じた手順の設計

 RPAを適用する業務の特性によっては、開発時の事前調整やテストが不足することで問題が起こることもある。慎重に開発すべき業務を明確にし、それに応じた調整やテストなどの手順を設計することが必要になる。

 以下では慎重に対応したい業務の例を3つ紹介しよう。

 1つ目が、ユーザーが自らデータを削除できない仕様のシステムで、データを登録したり削除したりする業務だ。一度、データを登録するとデータの削除や復元は容易にできないため、様々なケースでテストを行い、ロボットの誤作動を徹底的に検証する必要がある。ロボットが誤作動した際に備え、リカバリー方法を事前に確認しておくことも必要だ。

 2つ目が、電子メールやEDI(電子データ交換)、Webサイトなどを通じて、社外に情報を配信する業務である。こちらも配信後の修正や取り消しが困難であるため、様々なケースを想定して、配信内容を十分に検証する。ロボットを運用後も一定期間は最終配信前に人がチェックを行い、問題ないと確認が取れた段階でチェック作業を止める、といった方法で対処する。

 最後はロボットを使って、自社外のサービスを利用する業務だ。価格比較のWebサイトを定期的に巡回して競合製品の価格情報を取得するといったロボットを開発する場合、利用するWebサイトの利用規約に反したり、サイバー攻撃として検出されたりするケースもある。企画段階で対象サービスの規約を確認し、必要があればWebサービスの提供者と事前調整する必要がある。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。