厚生労働省が2004年に発表した「2003年就業形態の多様化に関する総合実態調査結果の概況」によれば、正社員の比率はこの時点で65.5% だ。北野氏は「20-30年前には、ほとんどが正社員だったが、どこの企業もいまでは3割くらいが非正社員。社員だけで業務を遂行している企業はほとんど ない。社会情勢の変化により、雇用形態も変わっている。それとともに、仕事、企業、組織に対する考え方も変動している」と述べ、「IT統制の仕方もまた変 えなければならない」と指摘する。
データベースは、OS、ハード、ネットワークと並ぶ、IT基盤であり、ITシステムの業務処理統制ではなく、IT全般統制の視点で対処する必要があ る。「アプリケーションの部分でどれだけ統制しても、(データベースが厳格に統制されていない状態で)財務、決算、人事などのような企業の根幹にかかわる 重要な情報が簡単に閲覧できてしまうのでは意味がなくなる。情報の器であるデータベースで十分なIT統制をしていくことが最後の砦となる」(北野氏)から だ。
しかし、現状では、職務分掌と権限管理の状況には課題がある。実際の職務分掌/権限管理の上でできないはずのことが、データベース上ではできてしま う。「何ができて何ができないか、ルールで決まっているのに、データベースにログインすると、そうならない」(同)のが実態で、本来の職務には必要のない 情報にまでアクセスすることができてしまうわけだ。実際の職務に真に求められる必要最小限の権限だけを付与する原則を実装化するアクセスコントロールが要 求される。
データベースを管理する、いわゆる「特権ユーザー」は情報システムの変更や、業務処理の担当者の追加・削除などが可能であるため、統制を受けていな ければ、改ざんなどの不正行為が発生する危険性が生じることになる。データベース管理者は管理業務だけが可能で、ビジネスデータの操作は不可。財務担当の アプリケーション管理者は財務データの管理だけが可能。セキュリティー管理者は、セキュリティー管理の設定、適用だけが可能で、データベース管理は不可、 というようなしくみが必要になる。しかし、特権ユーザーの特権は、運用基準や相互監視など、現状では技術的な解決が困難になっている。「リレーショナル データベースでは、管理者の特権を制御できる機能がなく、運用面で管理するしかなかった」