5/30/2008
ニュース報道がなされていましたので記憶に残っている方も多いと思いますが、以前、とある証券会社にて内部で知りえた情報をもとにインサイダー取引が行われ、容疑者が逮捕されました。
これは私の推測ですが、その会社では、再発防止のために全力をあげて取り組んでいると思われます。(もちろん、そうしてもらいたいですし) そこで何が行われ、どのようになっているのかは分かりませんが、いわゆる業務上知りえた情報に対する情報統制のようなことと、社員としての個人の意識向上を啓発する教育が行われ、一定の成果が出るのではないでしょうか。
さて、本件を例にとって考えると、
目に見える損失とは、この件に端を発する顧客離れ、対策に費やす費用、ブランドイメージの低下といったものが挙げられます。
目に見えない損失とは、コンプライアンス意識向上活動に伴い、あまりに会社側の縛りがきつくなりすぎ、社員間の相互信頼が失われ、結果、業績が悪化していく というようなものです。これは、コンプライアンス活動がうまくいかなかった場合の想定ということにはなります。
しかし、往々にして、あとから法令遵守の意識を植え付けることは難しいことです。その原因は様々ですが、「自分には関係が無い」というところから脱却できないというのが大部分ではないでしょうか。また、代表者がてのひらを返すように昨日と違う発言をしていたりするような企業は危ないでしょう。代表者一人の発言からは実際のところは分かりませんが、会社の顔ですから、一般顧客からは、やはり代表者の対応で判断することでしょう。
この件については、どのように進行しているかは分かりません。
コンプライアンスに立脚した業務構築をしておかなければ、改善にも時間がかかるということも頭の片隅において、一消費者として進展を見守りたいと思います。
事務局長 久保田
5/27/2008
今後の規模が拡大される見込みとなっている SaaS (Software as a Service) についてです。
経済産業省からガイドラインが公表されていますので、今後、導入を検討されている方は、"理解ようになること" を目標として読むと良いかと思います。(理解してから IT ベンダーの話を聞いた方が良いです)
詳細は、以下です。
「SaaS向けSLAガイドライン」公表について(METI/経済産業省)
SaaS でインフラが提供されても、それを使いこなすのはユーザー側の技量ですので、ポリシーや社内教育も含めて検討する必要があります。
事務局長 久保田
5/26/2008
個人情報の取扱いにおいては、「個人情報データの棚卸し」 と共に 「業務の中で個人情報がどのように使われているか」 を精査することが必要になります。
全ての業務がフローチャートで作成され、また、その通りに実行されるのが理想ではありますが、実際には絵や文章では説明できないほど複雑だったり、多岐にわたっていたり、もしくは人に依存してブラックボックスになっていたりするのではないでしょうか?
業務効率化の視点でオペレーションを改善していく手法もありますが、まずはそのまえに、個人情報を扱う業務を最低限把握することから始めるのが良いと思います。
個人情報の取扱いは、経済産業省のガイドラインに倣い、[取得]-[移送・送信]-[利用]-[保管]-[破棄] の5つのステップに分けて考えるのが分かりやすい方法です。
そして、この5つのそれぞれの状況に応じて、責任者、作業者、ルール化ということをしていくことになります。
文字で書くと分かりにくいので、簡単にチェックシートにしてみました。
(以下の SkyDrive にも一般公開しました。印刷などされる場合は、こちらをご利用ください。
http://cid-99bc4918cda31640.skydrive.live.com/self.aspx/Public/業務内容と責任の明確化.xps)
それぞれの状況に対し、5W1H を決めるという単純な手法です。 特に Who のところは、その状況における責任者という位置づけにもなるかと思います。
このシートに✔マークをいれるだけではなく、具体的なことを記載すれば、それで洗い出しを行ったこととなります。
| | Why | What | When | Where | Who | How |
| 取得 | | | | | | |
| 移送・送信 | | | | | | |
| 利用 | | | | | | |
| 保管 | | | | | | |
| 廃棄 | | | | | | |
(記入例)
| | Why | What | When | Where | Who | How |
| 取得 | アンケート取得 | 基本情報 | 6/1 | 会社セミナールーム | イベント部 | 紙を配布、収集 |
| 移送・送信 | データベースへの入力のため | アンケート用紙 | 6/1 のセミナー終了後 | セミナールームからデータ室 | セミナー担当者からデータ担当者 | 手渡し |
| 利用 | アンケート集計 | アンケート用紙 | データ入力後 | マーケティング部 | マーケティング部 | データベース内で集計 |
| 保管 | 一定期間保管のため | アンケート用紙(原本) | 6/1-9/1 | セミナー用保管庫 | セミナー担当者 | 施錠管理 |
| 廃棄 | 期限後廃棄 | アンケート用紙原本 | 12/30 | セミナー用保管庫 | セミナー担当者 | 廃棄業者にて廃棄 |
簡単な例で記載しました。取得~廃棄において、作業担当者が変更する箇所がありますので、その際の責任の明確化とルール化ということがリスクを抑えるポイントになることが分かります。
陥りがちな例としては、正しく取得されたと思って利用してみたら正しく取得されていない個人情報だったり、保管を任せたつもりが放置されていたり というような、やはり人が介在するプロセスにおいて不明確となることが挙げられます。
プロセスを精査することは単純ではありますが、時間がかかる作業でもあります。
しかし、正しいプロセスの積み重ねと、その習慣化によって、業務効率化とリスク低減が達成することができます。
千里の道も一歩からですね。
事務局長 久保田
5/22/2008
企業内業務の IT 化が進んでいることは、わざわざ説明するまでもないと思います。もちろん、業種・業態により活用の幅には差がでますが、"個人情報" - 特に大量の個人情報ということになると、もはや紙の管理では対応ができなくなります。
さて、"紙-人" の状態の場合における管理方法は、人の扱いがメインとなります。膨大な作業を行う複数の担当者と、それを統括する責任者という構図になります。
この場合、いかに人を制御し、間違いを発生させなくするのかという部分がポイントとなります。ただし、その一方、作業熟練者による効率化や、同じ作業を行う人同士の連帯感、相互監視機能など、人ならではの良い面も発揮されます。
一方、IT 化(電子化) された場合の大きなメリットは、その作業効率性です。電子化されると共に、業務プロセスが明確化され、さらに効率性が増すことも期待されます。しかし、逆に、IT に頼りすぎるあまり、人へのコントロールが後回しになる傾向があります。アプリケーションで解決させることを優先するばかりに、本来の仕事の意味を考えなくとも業務ができるようになり、仕事への興味を無くすということも考えられるシナリオです。
つまり、IT 化すればするほど、やはり、人へのコントロールにも比重を置かなければならないという事実が見えてきます。
何故、業務が電子化されているのか、それによる効率性の成果、本来の仕事の意味合い、目的とするものやゴール、仕事から得られる達成感など、人からでなければ教わることができない様々なことを伝え、指導していくことが、現代の管理職には求められています。
個人情報保護を企業内で定着させるためにも、やはり、同じように意識面に訴えかける内容であることも求められます。
単純なガイドラインや、ありきたりの教育ということだけでは、適切な運用には至りません。社員の素養を伸ばしていくことも考えた管理施策でなければ、いずれ形骸化し、社員からも忘れ去られることでしょう。
事務局長 久保田
5/15/2008
過去に起きた事件は忘れられがちですが、本日ニュースに出ていましたので改めて見直しました。
(他社様へのリンクですが) 報道情報は以下をご参照ください。
asahi.com:ジャパネット情報流出 元社員に1億1千万円賠償命令 - 社会
約 51 万人の顧客情報に対し、一人 5000 円という価値で見積もると約 25 億円という価値になると算出しています。
当該企業は、事件発覚から1ヶ月半ほど(販売)営業を自粛し、顧客対応と社内精査に時間を費やしており、影響は 150億円とみられています。社長のあまりに潔い決断に当時は驚いたものです。
個人情報保護法においては個人を罰する規定がないため、この判決は民事訴訟ということになります。
個人に対して、これだけの高額の賠償命令が下ることにも驚きますが、企業として受けた損失に比べれば少額かもしれません。
この事件は事故後対応の事例として話題となることが多いのも事実です。
私個人としては、該当企業への悪いイメージはまったくありませんが、事故については忘れないようにして、自社での取り組みにつなげていきたいです。
事務局長 久保田
Tools 
