給与システムの障害は単なるシステム障害にとどまらず、従業員の生活や企業の信頼に影響を与え得る。給与を確実に支払えるようにするための、給与システムのDR計画に盛り込むべき要素とは。
災害復旧(DR)計画を策定する際、企業はIT資産や物理的なインフラを優先しがちだが、重要な業務データの一つである給与データも同様に扱わなければならない。
給与を遅滞なく、正確に従業員に支払い続けることは、特に危機的状況において極めて重要だ。給与システムに障害が発生すれば、企業に対する信頼が損なわれるだけではなく、業務の遅延や機密性の高い個人情報の漏えい、コンプライアンス違反といった事態を招く恐れがある。
給与システム向けのDR計画を策定することで、予期しないシステム障害から給与計算業務を守ることができる。本連載は、給与システム向けDR計画の概要とその必要性、具体的な構築方法を解説する。
給与システムの運用形態は主に2種類ある。1つ目は、企業が専門のソフトウェアを購入し、自社で管理、運用する方法。2つ目は、外部の給与計算サービスを利用する方法だ。これらを組み合わせたハイブリッド型も存在する。
自社で給与システムを管理する場合、DR計画の策定は不可欠だ。企業は給与計算に関する全てのデータの取得と処理、専用ソフトウェアで利用するためのデータベースへの保管といった、一連の操作に対して責任を負う。この形態を採用する場合、企業は他のITシステムやアプリケーションと同様に、さまざまなリスクや脅威、脆弱(ぜいじゃく)性に対処する必要がある。給与データをサイバー攻撃から守るためには、データ保護とセキュリティ管理が特に重要だ。
外部の給与計算サービスを利用する場合、システム運用に関する業務のほぼ全てをサービスベンダーが代行することになる。ユーザー企業は、関連データをサービスベンダーに提供し、サービスベンダーは給与計算処理のためにそのデータを安全に保管する。給与データのような機密性の高い個人情報を扱うサービスベンダーは、高度なDR計画を整備していることが一般的であり、安全な場所に機密情報を保管するための大容量ストレージを備えている。
給与管理サービスベンダー、フィッシング攻撃やDDoS(分散型サービス拒否)攻撃、ランサムウェア(身代金要求型マルウェア)攻撃といった、さまざまな攻撃から給与データを保護するための堅牢(けんろう)なセキュリティ体制を構築している。この形態における最大のリスクは、インターネット接続の切断によってサービスにアクセスできなくなってしまうことだ。ユーザー企業からサービスに接続する経路の確保については、通常ベンダーではなくユーザー企業が責任を負うためだ。
規模にかかわらず、ほとんどの企業で給与計算業務は発生する。自社で給与計算を管理している場合、IT部門は、自然災害やサイバー攻撃、人為的ミス、設備の停止や故障といった影響から、システムとデータを保護しなければならない。
給与計算処理が停止することは、企業にとって深刻な事態を意味する。給与を支払えなければ従業員の生活に影響が及ぶだけではなく、国や地方自治体への税金の納付が滞り、福利厚生制度の運用にも支障を来す恐れがある。
給与システムは経理、財務部門向けのレポート作成も担う。これらのレポートの中には行政機関への提出が義務付けられているものがあり、提出が遅れると罰金などの行政処分を受ける場合がある。
給与システムのDR計画は、IT部門が管理する他のDR計画と本質的には変わらない。しかし給与データは機密情報であるため、その取り扱いにはより慎重さが求められ、計画の策定も複雑になる。給与システム向けのDR計画には、以下の要素を含めるべきだ。
この計画が何を目指し、なぜ策定されたのかを記述する。
給与計算に関する社内規定がある場合は、それをDR計画に反映させる。
この計画で達成すべき目標の概要を記述する。
DRチームのメンバーや給与システムのベンダーなどの関係者の連絡先を記載する。これによって、障害発生時に主要な関係者と速やかに連絡を取ることが可能になる。
DR計画の準備と実行、管理を誰が担当するかを記述する。具体的には、給与計算システムとデータベースを管理する技術チーム、障害発生後にシステムの復旧と再開を担当する緊急対処チームなどが考えられる。
給与システムで障害を検出した際に、誰が何を実行すべきかを具体的に定める。問題の原因を特定するために役立つ、給与計算システムが搭載する診断機能の利用手順を記載することも可能だ。
給与システムを復旧させ、通常運用に戻すための手順を記述する。
給与システムが利用しているネットワークを復旧させるための手順を示す。
給与データベースに変更を加えるたびに、その変更点を安全な場所にバックアップする必要がある。
給与計算処理を再開できるよう、給与データをバックアップから復旧させる方法を具体的に記述する。確実に給与を支払えるようにするため、まず基本的な給与計算を実行し、調整が必要な項目は次回の給与サイクルで対応するといった対応が必要になる場合もある。
給与システムを扱う従業員に対して、起こり得る障害や緊急復旧手順の開始方法に関する教育、訓練の方針やスケジュールを定める。
インシデントが発生した際、従業員が給与システムを復旧し、関連業務を実行できることを確認するために、DR計画のテストと更新不可欠だ。計画が最新かつ実用的な状態を保てるよう、定期的なテストや見直しのプロセスと実施頻度を定める。
次回は、給与システムのDR計画を策定するための手順と、策定から実行までに実施すべき項目を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
