2/20/2008
「個人情報を適切に管理しなければならない」 ということは、法令遵守事項でもあり、ビジネスにおける常識でもあり、誰しも理解できるフレーズでしょう。しかし、この "適切に" という単語が非常に厄介です。
ついつい、「適切に管理できるシステムを構築してよ」 と IT 部門に発注しがちですが、「適切に管理」 する手法を考えるのは管理者側の仕事であり、それを具現化するのが IT (部門) の役割です。 IT は魔法の箱ではないので、法令や社内の情報保護規定などを材料として放り込めば、システムが出来上がってくるというものではありませんし、何でも IT で解決できるとは限りません。
私自身は技術者ではありませんが、マイクロソフトに勤めている以上、どうしても、なんとか IT で解決を図りたいと考えます。
要求される要件と、それを満たした状態を明確にし、それをどのように達成するかのプロセスを考えます。その中で IT 化することにより効率的に達成できる部分があるかどうかを検討します。
プライバシーマークを例にとって考えてみましょう。
プライバシーマークで明確に要求され、且つ、一番大変な作業であろう "個人情報の特定" です。
個人情報の特定とは、[個人情報の名称・種類・項目、利用目的、取得方法、社内取り扱い経路、取り扱い部署、保管場所、保管形態、件数、廃棄方法、委託の有無、提供の有無、管理責任者、想定されるリスク等] を明確にすることで達成されます。
この膨大なチェック項目を管理するには、やはり IT を使いたいと考えるようになります。
一見、こららのチェック項目を台帳化したシステムがあれば良いだろうと考えてしまいますが、事は単純ではなく、さらに、承認、過去の履歴、個人情報データの暗号化も加えなければなりません。そして、それらを全社員が簡単に使え、アクセス管理もされなければいけません。
承認手順や、項目の記入方法、責任区分の明確化、リスクに対する対応方法などのプロセスもしくはポリシーが決まらなければ、システム化することができません。そうなると、IT で解決というより、「IT で何をして、どういう状態にさせたいか」ということが重要となります。
個人情報の管理という点でいうと、他と比べると、まだ分かりやすい事例だと思います。
これが、「IT で社内コミュニケーションの活性化を図りたい」 となると話は複雑でしょう。メールや Web Cam などのメッセージングのソリューションはあります。しかし、何をもって活性化したか、活性化してどうしたいのか ということが明確になっていなければ、投資対効果が分かりません。
ソリューションを提案する IT 企業は、単純に手段を示すのではなく、その結果の測定方法や、具体的投資対効果(できれば金銭換算) ができるようにならなければなりません。
発注側も、より明確なイメージを持ち、IT で解決できることは何なのかを明確にさせておくことが必要です。
そして何より、現場に好影響が出る IT 導入でなければ、今後の IT 促進は進まないでしょう。
事務局長 久保田
2/19/2008
前述の 「失敗から何を学ぶか」 にも記載しましたが、自社において、そう何度も大きな事故は発生しない (はず) ため、他社での事例から学んでいく必要があります。また、大きな事故には至らなくても、小さなミスは日常に存在しうるものです。
かのハインリッヒの法則によれば、1 : 29 : 300 (重大事故 : 軽微な事故 : 単純なミス) といった具合に、背景には多くの小さなミスが存在することになります。
小さなミスは見過ごされやすく、または、担当者による目先の解決で済んでしまうこともあります。通常は、誰しも、それが大きな事故を誘因するようなものとは考えません。現場は常に忙しく、目前に迫っている課題を解決しなければなりません。上司も結果を求めます。組織も結果を求めます。立ち止まってばかりではいられません。しかし、そのような硬直した状態では、往々にして想像力が欠落していきます。思考を縦や横に巡らせ、その(事故)事象が会社全体のバリューチェーンの中のどの部位に該当し、その先、どのような影響があるかということが考えられなくなります。
会社全体のなかにおける一個人の仕事の位置付け、それを意識しての業務。
マイクロソフト社内においては、Role Guide や Job Description という名で各々の役職、役割に応じて細分化され決められています。一見、組織の歯車的なものにも見えがちですが、どこの部分で何を動かしている歯車なのかが分かれば、自らどのように動けば良いかが見えてくるものでもあります。そして、その動き方を洗練させていかなければなりません。
事故というものは、その動きがいびつになっている表れではないかと思います。それは個人単位なのかもしれませんし、部署、組織単位で動きがおかしくなっているかもしれません。しかし、小さな動きの変化で、全体の動きを予想することもできなくはありません。それはちょうど、車の整備士と同じく、ちょっとした部品の不具合から、発生しうる事故を予測し、未然に防止するために調整をするといった感じです。
小さなミスが発生したとき - 現場も管理側も単純に終わらせる前に、1分でも良いから影響範囲を想像してみる。根本原因がどこにあり、何が要因となっているのかを考える。それが自分だけで分からない場合は、関係者全員に話を聞く。
そういった積み重ねが改善活動であろうと考えています。
日々の実践あるのみです。
事務局長 久保田
2/4/2008
昨年から食品関連の暗いニュースが後を絶ちません。
私自身は、食品に関しては一消費者に過ぎませんので、個別の事件に対するコメントは差し控えますが、製品を製造する企業の一員として、報道を見ていると多くの疑問が生じてきます。他山の石として、今感じていることを執筆しておき、自らの企業での改善に役立てたいと思います。
1. 失敗を隠そうとはしていないか?
内部告発と消費者からの訴え から発覚する事件が数多くなってきているように感じます。いずれも、言われなければ隠し続けるという心がどこかにあるように思われます。非を認めることは責任が重いことです。しかし、ことが重大になる前に対処しなければ、大惨事を引き起こすことも忘れてはなりません。よく、「この事故は人災」と言われることがありますが、何対処しないことによる事象の悪化は、つまり、人が引き起こした災いです。
2. 問題報告のルートは?
何らかの問題が発生した場合の、現場から経営層への連絡(ルート)がどのようになっているのかが気になります。事件・事故にも被害の程度により、担当者レベルで済んでしまうこともあります。レベル付けが明確になされ、且つ、それに沿った報告先が明確になっており、その通り運用されていれば問題はありません。しかし、失敗を隠す心理なども働き、どこかで情報が止まってしまっているケースもあるように思います。(過去には経営者自らが隠ぺいを指示したりという事故もありましたね。。)
3. 根本原因はなんだったのか?
事故を発生させた直接の原因の背景には、たぶん、それを誘発させる事象があったに違いありません。それが根本原因です。その根本原因に対して再発防止策をなさなければ、今後も同類の事故が発生することとなります。
4. 何をもって改善されたと判断するのか?
問題を発生させた企業から、改善策が発表され、事件が終息します。しかし、その改善が本当になされたのかどうか、一消費者からは分かりません。あまりに詳細の説明をされても、やはり分かりません。根本原因の説明と、それに対する対処を簡潔に分かりやすく説明し、改善に対する実行者と責任者がどのような役割を果たすのかの説明も必要です。
このような問題は製造業に限った話ではありません。リスク管理、問題解決は担当者レベルではなく、組織として確立されてなければいけません。二転三転する説明、消費者からの更なるクレーム、メディアの取材で明るみに出る新事実、、、事件・事故は常日頃発生する訳ではありませんので対応が慣れないのは分かるのですが、後手後手とならないようにしなければなりませんね。
事務局長 久保田
Tools 
