「コンプライアンス」という言葉をよく耳にするようになったのはここ数年のことですが、現在では多くの企業がコンプライアンスのために日々社内規則の整備やシステム上での情報保護活動などを行っています。
コンプライアンスが重視されるようになった背景には、社会貢献への取り組みに対する評価によりブランド力が向上するという理由もありますが、訴訟問題への対応や不祥事防止のために重視しているという企業が多いでしょう。今回は、そんなコンプライアンスについて基本情報を整理すると共に、コンプライアンス実現に不可欠な監査ログ、そしてSharePoint Onlineの監査ログ機能について紹介していきます。
そもそもコンプライアンスとは?
直訳して“法令遵守”という意味があるコンプライアンスですが、結局のところ何を遵守すればいいのか明確に理解していない方も多いかと思います。実は、コンプライアンスで遵守すべきものは法令だけではないのです。
コンプライアンスを実現するためには、以下の3つの範囲を組織が遵守する必要があります。
法規範
行政で定められた法律や条例であり、法的拘束力を持ちます。労働基準法や個人情報保護法など会社を経営していく上で一般的な法令がこれに該当しますが、食品衛生法や建築基準法など業界ごとに特有の法令も存在します。
社内規範
社内で定められたルールや業務マニュアルであり、組織の人間として遵守すべき規則です。就業規則や接客マニュアルなど、社内に存在する規定はすべて社内規範に該当します。
論理規範
職務上遵守すべき企業倫理、人として遵守すべき社会的倫理が該当します。
コンプライアンスとは、法令規範や社内規範を遵守した上で組織人として、人として遵守すべき倫理規範を守ることなのです。
何がコンプライアンス違反にあたるのか?
企業はコンプライアンス違反が起きないようにと様々な対策取っていますが、実際に何がコンプライアンス違反にあたるのでしょうか?
ここでいくつかコンプライアンス違反の例を挙げてみます。
上司の指示を仰ぐことなく無断で残業をした
仕事熱心な方や、業務を円滑に遂行するために上司に黙って残業をしてしまうというケースが少なくありません。あるいは、残業代を不正に得ようとするために「残業したことにする」というケースもあります。
残業とは上司の指示のもと行うものであると法令で定められており、上記の行動はいずれもコンプライアンス違反にあたります。
また、社員の残業事情を管理できていない場合も、企業側のコンプライアンス違反となるのです。
職場のコピー機を私的に利用した
職場に設置されているコピー機(複合機)のインク代、用紙代、メンテナンス代などはすべて会社が負担しているものであり、会社の資産であることを意味します。
この資産を私的に利用するということは、会社の損失を生み出していると判断されるのでコンプライアンス違反にあたります。
上司の許可を得ていた場合でも違反となるケースが多いので、日頃から公私混同しないよう意識する必要があります。
原材料表示の順番を意図的に変更した
原材料の表示は食品だけでなく、すべての商品に定めらえている規則ですが、実は表示する順番によってコンプライアンス違反になる可能性があります。
例えば「フカヒレ入り」を前面にアピールしている食品があると仮定します。企業としては原材料表示の欄に、フカヒレをできるだけ上位に持っていきたいはずです。
しかし、JAS法という法令によって原材料表示は、全体に対して占める使用容量によって表示順位を決めなければならないという規則があるのです。
従ってイクラの表示順位を意図的に変更した場合、コンプライアンス違反にあたります。
以上のように、コンプライアンス違反は日常的に潜んでいるものであり、適切に遵守するためには組織全体でのコンプライアンスに対する理解と、企業が様々な法令を深く理解していることが重要です。
なぜ監査ログが必要になるのか?
監査ログとは一般的に、システムの開発者/運用者/利用者がシステムに対して行った要求や処理をログとして記録し、操作内容を時系列に把握するためのものです。
ではコンプライアンス実現のためになぜ監査ログが必要なのでしょうか?
コンプライアンス違反は内部から起きる
コンプライアンス違反というものは、必ず内部から発生するものだとされています。その大きな原因は、違反が起きやすい組織体制になっているか、あるいは組織がコンプライアンスを理解していないという2つがあります。
ログ監視を活用することで、こうした組織内でコンプライアンス違反が起きていないかを定期的に監視することが可能です。
また、コンプライアンス違反が起きてしまった際も、誰がどのような不正をしているのか?などを把握することができ、その後のコンプライアンス実現に向けて対策を取ることができます。
もう一つ、ログ監視は訴訟問題が起きた際の証拠物にもなる可能性があるので、経営上非常に重要な情報の一つなのです。
SharePoint Onlineの監査ログ機能とは?
Microsoftが提供するグループウェアサービスOffice 365の中で、SharePoint Onlineは情報共有の中心となるサービスの一つです。
従って、SharePoint Onlineの監査ログを取得することが、そのままコンプライアンス実現へと繋がります。
SharePoint Onlineでは基本機能として監査ログを備えており、設定することで以下のような監査ログが取得可能です。
- ドキュメントを開く、ドキュメントのダウンロード、リスト内のアイテムの表示、アイテムのプロパティの表示
- アイテムの編集
- アイテムのチェックアウトとチェックイン
- サイト コレクション内の別の場所へのアイテムの移動とコピー
- アイテムの削除と復元
- コンテンツ タイプと列の変更
- 検索クエリ
- ユーザー アカウントと権限の変更
- 監査設定の変更と監査ログ イベントの削除
- ワークフロー イベント
- カスタム イベント
これだけの監査ログを取得できるので、共有フォルダやチームサイトなどに対する不正操作も確実に把握することができ、コンプライアンス実現を強く支援します。
監査ログだけでコンプライアンスは実現しない
様々な監査ログが取得できるSharePoint Onlineですが、一つ注意していただきたいのが「監査ログだけでコンプライアンスは実現しない」ということです。
監査ログとはどちらかというと、コンプライアンス違反が起きてしまった際の情報収集や、訴訟問題への対応といった意味合いが強く、コンプライアンス違反が起きない組織体制作りのためには就労規則の整備や、組織全体のコンプライアンスに対する理解を深める活動などが重要です。
まとめ
SharePoint Onlineを導入することでファイル操作に対する様々な監査ログが取得できますが、他にもメールシステムなど監査ログを取得すべき対象は存在します。
Office 365では、SharePoint Onlineだけでなく、メールシステムのExchange Onlineなどその他様々な監査ログが取得可能になります。
グループウェアの導入やリプレースの際は、監査ログの取得も含めコンプライアンスを実現しやすいサービスをご検討ください。
