"世界中のすべての人々とビジネスの持つ可能性を、最大限に引き出すための支援をすること"
(http://www.microsoft.com/japan/mscorp/mission/default.mspx)
これが、マイクロソフトの Mission Statement です。
(一昔前には、"すべての机にコンピューターを" といった内容のものでしたが、これだけ世の中が変わると、さらに先を見据えた柱が必要となります。)

各事業部は、このミッションを達成するための戦略を立てるべく、各事業部としてのミッションを策定します。
私の仕事においては、"信頼できるコンピューティング (Trustworthy Computing) " がそれに該当します。
(http://www.microsoft.com/japan/mscorp/twc/default.mspx)
ビジネスを円滑に達成するには、信頼される基盤が必要であり、そのために社内外に取り組んでいくのが業務であり、特に私はその中の Privacy に特化した仕事を担当しているという訳です。

"信頼される基盤" は、まずは製品であり、技術ということになるのですが、
Privacy という業務の観点から考えると、"信用"、すなわち "人と人"、"人と企業"、"企業と企業" の間に生まれるものが重要であるということも立脚点となります。
社員を信用できるからこそ、社会から信用されるようになると常々考えており、そのような教育プログラムを適宜、社内で行うのですが、どうしても道徳、倫理などの話となってしまうので説教おやじみたいになってしまうのが、難しいところです。


先日、歌舞伎座で曽根崎心中を観劇しました。商売人は信用が第一、信用を無くせば生きていても意味がないとして、心中してしまうストーリーです。現代にも通じる話ですね。

事務局長　久保田

"Compliance = 法令遵守" は間違いである。この考えでは、違法性が無ければ何を行ってもよいということになる。
"Compliance = 企業倫理遵守" となるべきである。企業倫理は、法令遵守に加え、自らが定めた自らのルールである。ただし、企業倫理自体は崇高であっても、それを達成するためのルール・マニュアルが融通の利かない硬直したものであると、違った側面での被害が発生する。そのためには、企業倫理を保ちつつ、ステークホルダー (株主、経営者、社員、顧客、近隣住民、社会全体など) すべてが良好となる企業運営となるために、全体を見渡して考えることができる人材が必要です。
近年の公益通報者保護法の整備により、内部告発による事件の発覚も多くなりました。これは同時に、各個人が適切な倫理観を持つことを義務付けている意味合いもあるのではないかと推察されます。
上司からの命令、それが違法なものであっても、「No」 と言いにくいというのが実際のところではないでしょうか？なかには違法だと知らなかったり (教育不備) 、違法と思わせない説明がなされていたりと、従業者自身の過失を問うのは不憫なこともあります。しかし、法の場では「知らなかったでは済まされない」ため、倫理観を身につけるのと同時に、法令についての理解も深める必要があります。

上記は、先日発生した証券会社による個人情報の不正持ち出しに関する報道を見て、私が考えたことです。その後も報道は続いており、少しずつ事実も解明されていくものと思います。様々なニュースから、いろんなことを考えるのですが、これを読んでいる皆さんも、ぜひ、何が原因で、なぜ予防できなかったのかを考えてほしいと思います。短絡的に結論を出してしまったり、深く考えないことが、成熟した社会への障害となると考えています。


事務局長　久保田

弊社にも新卒社員が入社してきました。
当面は教育ということになり、そのうちの一つとして私も Privacy ということで一コマ話をしてきました。
(今年の新入社員は、「エコバック型」 らしいのですが、採用担当者じゃないので正直、それは良く分かりません。ただ、当たり前ですが、若くて元気で良いなと思いました。)

Privacy について、正しく理解するのは多分、長年社会人をやってきている人間でも難しいと思います。
人格権としてのプライバシーという概念は、昔から、それこそ憲法の条文に含まれるような形で社会に浸透していました。しかし、会社の業務の中に存在するプライバシーという問題に関しては、ここ15年ぐらいの間に顕在化したり、法令化したりしてきたと思いますし、昨今では、やはりインターネットという情報社会とプライバシーということについて、問題が複雑化してきているのも事実です。
ただ、今入ってくる新卒社員は、子供のころからインターネットに触れていたネットエイジ世代であるため、ネット社会で発生している問題ということについては、むしろ、既存の世代の社員よりも詳しく、且つ、敏感かもしれません。
そういったことも踏まえ、プライバシーの考え方、今後のあるべき姿、根本としてとらえるべきコンプライアンスの事であったり、織り交ぜて話をする必要があります。

新卒社員に限らず、上から下まで、結局は ”教育” が企業を適切な方向で運行させるための基礎となります。知識を付けさせるのではなく、行動に結びつく教育ができるかどうかが大切です。

[参考]
フレッシャーズの皆さん、十分なセキュリティ知識はありますか?
http://www.microsoft.com/japan/protect/computer/basics/fresher.mspx

事務局長　久保田

マイクロソフト セキュリティ アセスメント ツール (MSAT) は、組織の現在の IT セキュリティ環境の弱点を測定し、問題の優先度を明らかにする事で、最小限のコストでセキュリティに投資を行い、リスクを最小限に抑えるためのガイダンスを提示する無料のツールです。

アンケート形式で進めていき、最後にレポートが表示されます。質問数は多いのですが、割に簡単に早く終わります。ただし、全ての項目に精通している担当者でなければ回答ができませんので、担当部門が分かれていたりする場合は、協力しながら進める必要があります。

↓こんな感じで最終的なレポートが出てきます。
 


[参照]
マイクロソフト セキュリティ アセスメント ツール
http://technet.microsoft.com/ja-jp/security/cc185712.aspx

事務局長　久保田

昨年 12 月の特定電子メール法の改正に伴いオプトイン (Opt-in) が義務化されました。
オプトイン、すなわち ”事前に明示的な同意を得る” ということなのですが、その同意の方法は [同意] ボタンのクリックや、チェックボックスへのチェック入れなどで、Web サイト構築においては簡単に実現が可能です。

しかし、ここで気をつけなくてはいけないのは、本人が確実に、その動作を行ったことを保証する仕組みになっていることです。タイムスタンプも共に適切に保管されなければなりません。
さらに、同法令では、その同意の証拠(証跡) の保管 (取得後、利用してから３ヶ月間) も義務付けています。適切にログが保管され、且つ、それが滅失、棄損しないように管理する必要があります。

法令対応のためシステムの再構築が必要な企業もあると思いますが、場合によっては行政処分による営業停止ということもあり得る話です。そうなると、元も子もない話ですので、もし経営陣が理解をしていないようであれば IT 部門からの早急な進言も必要です。

[参考]
http://optin-mail.jp/faq.html

事務局長　久保田