現場から集めた声を元に、7つの基準を策定した上で Gluegent Flow を採用。論理的な選定過程を示すことでスムーズな導入と利用促進を実現。
J-Debitの決済情報処理センター業務を行う会社として1999年に創業し、以来日本のキャッシュレス業界を牽引してきたGMOフィナンシャルゲート株式会社。クレジットカード会社の包括代理事業だけではなく、マルチ決済端末「stera terminal」の販売や、決済の情報処理センターの運用まで、その事業領域は対面のキャッシュレス取引全体をカバーしています。中でも決済情報処理センターは、四半期に9,224万件、金額にして7,530億円分のキャッシュレス決済を処理(2022年9月期第4四半期)しています。
同社は、以前のグループウェアの機能を使って電子化したワークフローを、Gluegent Flowで再構築しました。ワークフロー専用のシステムを使うことで、多くの課題を解決できたと言います。
コロナ禍によるフルリモートワーク化、既存グループウェアを使い急ピッチで進められたワークフローの電子化
管理本部 管理部 法務課 課長 西澤 朋晃 様:
2020年4月、コロナ禍を受けてGMOインターネットグループは日本で最初にフルリモートワークを実施しました。当時は主にスケジュール等でグループウェアを使っており、その機能のひとつとしてワークフローも実装されていたので、紙の稟議書や申請書を急ぎ電子化して対応しました。その結果、リモートワークは実現できましたが、ワークフローの利便性については課題が生じました。
システム本部 執行役員 CISO 鵜久森 裕 様:
グループウェアは業務全般をカバーするシステムとして数多くの機能を備えています。汎用性が高く広い範囲をカバーできる反面、ワークフローに特化した製品のような使い勝手は備わっていません。カスタマイズができない、拡張性が低いなど、ワークフローに関する不満の声が多く聞かれるようになりました。
西澤 様: たとえば保存された稟議書を全文検索する機能がなく、羅列された申請書番号を片っ端から開かなければ目的の書類を見つけることができませんでした。必要な時にすぐアクセスできず、内部統制的な理想からもほど遠いと言わざるを得ませんでした。
業務現場が抱える既存システムへの不満の声を集め、解決策を探る方針づくりから着手
西澤 様: まずは、社内でよく聴こえてくる声に耳を傾け、どうしたらよくなるのか、どうあるべきか、を思考するところから始めました。そのために時間もかかりましたが、ツールの利便性から連携方法、本来の業務のあるべき姿まで現場の課題感を共有することができました。これを集約して分析し、導入すべきツールの選定基準を定めました。
鵜久森 様: 情報管理のあるべき姿を実現するためには、自社に合うツールを選ばなければならず、そのための基準も自分たちで考えるべきです。もちろん、コストをかければなんでもできます。しかし多額のコストをかけてワークフローだけを作っても意味がありません。社内システムとしてのあるべき姿を追求しました。
西澤 様: いまのビジネス環境に最適な決裁権限基準についても抜本的に再検討し、あるべき姿から考えて何が不足しているか、どうすれば改善できるのかという点から考え抜いて、重要な要素を抽出し、7つの基準を設定することにたどり着きました。具体的には、検索性、閲覧性、入力制御、検討過程、権限設定、費用、連動性という比較検討要素を設定しました(いわゆる要件定義ですね)。
――企業の規模や取り巻くビジネス環境により、システム選定の正解は変わります。GMOフィナンシャルゲート様は現場の声や各種製品の利用ユーザーの声などを情報収集することで、製品選定の基準づくりから取り組まれました。明確な基準をつくることで、以後の製品選定や導入をスムーズに進められました。
やりたいことを実現できる機能を選択して比較検討し、管理/運用の負担が少なくIT全般統制に資するGluegent Flowを選択
西澤 様: 2022年4月、ワークフローサービスの選定に取りかかりました。第1次選考として20種類以上の製品について調べ、グループ会社で導入実績のある製品よりも、口コミやレビュー評価が高い点がある7製品をピックアップしました。さらに稟議書をメインに開発されているもの4製品に絞り込み、比較検討しました。
鵜久森 様: 機能面で注目したポイントのひとつが、アカウントの管理機能です。承認権限を正しく管理するためには、アカウントとその権限が正しく管理されていることが前提になります。かといって管理に多くの工数がかかるのは困ります。そこで、アカウントと承認権限などのアクセス管理が可能でIT全般統制(Information Technology General Control:ITGC)にも資するもの、なおかつコストも工数も抑えられるものが求められます。
もともとMicrosoft office 365とAzure VDIを使っていて、アカウント管理をAAD(Azure Active Directory)に集約したいという考えが柱にあったので、AAD連携機能を持つ製品を探しました。企業が成長するにつれてアカウント管理の工数は爆発的に増加します。毎年25%以上の営業利益成長を目標としているので、それを達成し続けていくためにも、アカウント管理に手間がかかるシステムは選べません。
多くの製品がAAD連携機能ありと謳っていますが、SSOだけ、アカウント情報をインポートできるだけなど、連携可能なレベルはバラバラです。無効化されたアカウントの確実な停止などセキュリティを担保できること、ロール設定まで含めてAADの情報を引き継ぐことができ、組織変更の際の対応が最小化できるなど、連携機能を細かく区切って検討する必要がありました。
承認権限も役職名で設定できるので、個人名レベルでの権限棚卸しが不要になり、工数を削減できるだけでなく、正しく権限運用できていることをシステム的に証明できるようになります。
役職で権限を設定できることは、監査の観点からも高く評価されました。AADの情報が正しいことさえ証明できれば、ワークフローに不正がないことを証明できるので、監査の手間がかかりません。これは内部監査室の要望にもかなっていました。Gluegent Flowのデータベースは外から改ざんできないので、監査における確からしさも担保できます。
プライバシーマークやPCI DSS(Payment Card Industry Data Security Standard=カード情報セキュリティの国際情報セキュリティ基準)などキャッシュレス決済企業に求められる様々なセキュリティ認証にも、Gluegent Flowの情報をエクスポートするだけで対応可能で、監査工数と監査コストを削減できます。
西澤 様: 求める機能を具体的にして表を作り、◎〇△×をつけて検討した結果、Gluegent Flowには×がつく項目がありませんでした。コメントにある単語までヒットする検索性の高さ、Outlookでは添付資料をダウンロードせずに確認でき、コメント履歴の印刷にも対応しています。モデルを変更しても同じ申請書として保存、管理できて、成長に合わせた承認経路の変化にも対応可能な点も頼もしいですね。Gluegent Flowは費用面でも群を抜いた評価を得て、2022年8月に導入を決定しました。
――グループ会社での導入実績や提供機能リストだけで判断せず、その機能を使ってどのようなことを実現したいのかを考えた結果、GMOフィナンシャルゲート様ではより細かいレベルで機能の有無を比較検討してこられました。Gluegent FlowのAAD連携機能は、同じID、パスワードでログインできるというだけではなく、ユーザーの役職情報まで引き継ぐことができるため、運用管理負荷も軽減できます。
モデル構築と社内周知にかけた時間は1ヵ月、論理的に選択したシステムだから自信を持って導入を進めた
鵜久森 様: 2022年10月前半でモデル(申請フォーム)の作り込みを行い、後半には社内に向けた説明を行いました。「みなさんの不満を解消できる製品です」と自信を持って紹介できましたね。システムが変わることに伴う会社の規程変更、取締役会の承認もスムーズに進みました。
翌11月1日からGluegent Flowの運用を開始しました。利用者の混乱を避けるため旧システムとの並行運用期間は作らず、以前のグループウェアのワークフロー以外の機能も同日からMicrosoft office 365への移行を始めています。Gluegent Flow以外の製品もAAD連携できるものを選んでいるので、ポータルからシームレスに使える環境が構築できています。
西澤 様: 並行運用期間をつくらなかった代わりに、切り替え当日からしばらくの間は社内をうろうろと歩き回ってGluegent Flowを開いている人を見つけると声をかけたりしました。利用者の覚えることは増えましたが、現場の人の要望が叶う製品なので、みなさん快く協力していただけました。実際、現場からは仕事がやりやすくなったという声が聞こえてきています。過去分を検索できることや、承認のプロセス、過程、結果が可視化されたので、社内連携・フィードバックの抜け漏れが少なくなりました。
承認フローを作るときに、そのあとに必要な業務フローまでGluegent Flowに組み込んでおきました。情報が集約されているので、Gluegent Flowを見れば誰が承認して、その後どう対応されたかまでわかるようになっています。
鵜久森 様: 便利に使っているのは、フォロー機能です。承認者ではないけれど情報を共有したい人をフォローに入れておくと、必要なときに経緯を見返すことができます。たとえば内部監査の関係者をフォローに入れて、監査に必要な情報をここから得てもらうような使い方をしています。
インシデント報告書のフローでは経営層をフォロー対象としてあらかじめ設定しておいて、報告書が起票された時点で周知するようにしています。途中で追記もできるので、最新情報を周知しつつ状況変化にも対応できるようになっています。
JavaScriptによるカスタマイズも取り入れています。アカウント申請のフローを1種類にまとめ、何のシステムのアカウントを申請するかを選択すると、必要な申請フォーマットを表示するようになっています。柔軟にカスタマイズできるので、社内に情報システム部を持っている会社にはぜひお勧めしたいですね。自分たちでJavaScriptを書ける会社なら、かなり色々なことができるはずですよ。
――顧客向けのシステムを構築する際に要件定義からスタートするように、現場の声から必要な機能を洗い出し論理的にシステムを選定したGMOフィナンシャルゲート様。1ヵ月の準備で導入し、スムーズに浸透していったのは、そうした手法が間違っていなかったというなによりの証拠。承認後の業務フローまでをGluegent Flowに組み込んだことや、フォロー機能を活用して内部監査の工数を削減する手法も見事です。
グループ会社への展開など、これからのGluegent Flowの活用拡大にも意欲的
西澤 様: 社内での活用は進んでいて、既に色んな改善要望が挙がってきています。特に大きな要望として挙がっているのは、押印までの完全自動化ですね。今は手動でGMOサインに連携しているのですが、これが自動化できれば人の手が介在せず、IT統制的にも非常に有用だと期待しています。
鵜久森 様: いずれはグループ会社にもGluegent Flowを展開したいです。GMO-FG連結企業群には、企業を超えた情報共有も少なくありません。企業を超えて承認できるようにするにはどうすればいいか、テナント間連携機能の活用などを視野に、色々な角度から検討していく予定です。
――システム選定に時間をかけ、論理的に選択したGluegent Flowをスピーディに社内展開したGMOフィナンシャルゲート様は、これからも最新機能を取り入れつつ活用を深化させていくことでしょう。
