Webサイトにおける営業活動は、単に上記のようにコンテンツ自身には著作権法が絡んでくるだけでなく、顧客に対するアンケートには個人情報保護法が関係してくるなど、さまざまな法令が関与してきて複雑だ。もちろん、全体を把握してこれらに対処していかなければならないが、その中で特に忘れがちなのが「例外プロセス」である。
例外プロセスとは、突発的に発生するプロセスのことで、例えば第三者から業務上の妨害行為や、情報公開請求などが発生したときに、処理されるプロセスなどである。各業務部門に業務プロセスを作成させると、通常の業務では発生しない例外プロセスをどうしても忘れやすい。しかし、コンプライアンスを確保する上では、この例外プロセスは欠かせない。
特に、規模の小さいビジネスになると、例外プロセスに対するコンプライアンス対応が甘く、インシデント(システムに関するセキュリティ事件・事故)が発生するまで何も準備していないということが多くなる。一般的に脅威は、事業への影響度に発生頻度を掛け算することで算出できるが、発生頻度が低い例外プロセスであっても事業への影響が大きければ、無視せずに対応しなければならない。その意味で、例外プロセスは重要になってくるのだ。
このよう事件や事故が起こった場合、情報システムのログが不正行為の重要な証拠になる。しかし、社内ルールを定めておかないと、ログ取得手段の適切でなかったり、システムが自動的に消去するという危険性が生じる。そこで、あらかじめインシデントを考慮した例外プロセスに対するルールを明文化する必要が出てくる。その際に、ログの扱いとしては下記のような点がポイントとなってくる。
佐藤隆
Copyright © ITmedia, Inc. All Rights Reserved.