RPAとセキュリティ

RPA開発は、RPAを人の代わりとみるか、システムとして見るかで変わる。人の代わりの場合は、最終確認は人が実施するので、完全性が多少問題があってもよいが、効率化という意味では効果が少なくなります。システムとしてみると完全性が高くないといけないが、子効果が高くなります。まぁ、画面操作でなく、すべてをAPIで制御するようなものであればシステムとして構築できるが、画面操作を伴う場合は人代替と考えるのがベストです。

人代替と考えると、Attendedで操作を人が実施するものになり、エラーが発生するとメッセージが表示されたり、完了を確認しなければならない。そのためどうしてもポップアップ画面で確認させがちだが、そうするとポップアップ画面をユーザーが閉じないと、ロボのプロセスが終了できないので、処理時間を計測することができなくなったりします。

あと、途中でエラーになった場合に、どこまで完了したのかを確認したくなり、そのためにログに個人情報を残してしまったり、メッセージに表示させたりしがちですが、それをするとRPAが個人情報を扱うことになり、管理レベルが高いシステムと認識されることになるので、監査対象となり、ログの管理もセキュアな環境で保全されているのか、確実に削除されているのかなどの確認が可能な状態にしなければならず、圧倒的にコストが高くなり、単なる人の代替作業というレベルではROIが出ない状態になりかねません。

RPAを適用するには、セキュリティの守備範囲を正しく理解して、まったく無関係にするか、それとも徹底的なシステム側に寄せてしっかり管理するかの判断が必要になります。