概要
企業からの相継ぐ情報漏洩により、経営者は情報セキュリティに対応するIT統制の仕組み作りを強く要求され、多くの企業が個人情報保護法に対するコンプライアンスプログラム(CP)やプライバシーマーク(Pマーク)制度に取り組んでいる。 Pマーク制度は、2006年から、ISO9001と同じマネジメントシステム(PMS)へと大きく変化した。このため、各企業はCP体制構築や内部規程整備から、更にPDCAサイクルに基づく改善を目指した仕組みを構築する必要がある。 Pマーク審査員の目から、Pマーク制度の要件とマネジメントシステムの効果的な構築を考察する。
第3回は、プライバシーマーク制度(Pマーク)をコンプライアンスの局面から考えてみたいと思います。
コンプライアンスとは
コンプライアンスとは、よく「法令遵守」と訳されますが、広辞苑に「企業が法令や社会規範・企業倫理を守ること。」と記されているように、法に限らずより広い社会規範に及ぶものです。
みなさんは、「法」があれば、それで十分なはずなのに、なぜわざわざ「コンプライアンス」などと声高に言わなければならないのか、疑問に感じたことはありませんか。その一方で、食品会社の賞味期限の改ざんから自動車会社のリコール隠しまで、あらゆる業界で、なぜこうも頻繁に法令違反が行われるのか、あきれたことはありませんか。「企業が法を守る」という当たり前のことは、「守り方のシステム」を整えなければうまくいかないことが、明らかになってきたのです。
コンプライアンスと紛らわしいものにCSR(corporate social responsibility)活動と呼ばれているものがありますが、こちらは「企業の社会的責任」を果たす活動です。 両者の違いは、前者が社会から企業に「これを守らねばならない」と要求するものであるのに対し、後者は企業が社会に向けて自発的に「我々はこのような姿勢でこのような取り組みを行っている」と発信するものです。CSR活動の一環として、コンプライアンスのための取り組みの開示が行われたり、CSR部がコンプライアンス活動を担当する企業があったりするため、両者は混同されがちですが、実は方向性が本質的に異なるものです。
情報コンプライアンスとは
先に示した広辞苑の定義のように、「コンプライアンス」は社会の多方面にわたる広範なものですので、話を進めるにあたって、「情報の不正利用防止にかかわるコンプライアンス」を便宜上「情報コンプライアンス」と呼ぶことにしましょう。「情報」の中には、会社の機密情報、個人情報などが含まれます。そして、「情報コンプライアンス推進活動」とは、情報の不正利用防止を確実にするための活動と言うことになります。
では、「個人情報保護活動」(Pマーク活動)は、「情報コンプライアンス」とどのように関係するのでしょうか。
実は、最初にPマーク制度の標準となった「JISQ15001:1999」は「個人情報保護に関するコンプライアンス・プログラムの要求事項」というタイトルでした。「個人情報を保護するための法令遵守体制を求める」という性質のものだったわけです。現在標準としているのは「JISQ15001:2006個人情報保護マネジメントシステム―要求事項」であり、「マネジメントシステム」という改善の仕組みが前面に出ていますが、それはコンプライアンスのための手段としてのものです。要するに、Pマーク活動は、活動することそのものが目的なのではなく、コンプライアンスを目的とした手段なのです。
Pマークを取得した約11,500社のうちのおよそ4割が情報サービス産業であると言われています。情報そのものを大量に扱うため、この業界の情報コンプライアンス違反には特徴があります。
ひとつは、会社ぐるみで恣意的な情報の盗難や改ざんを行うことはむしろ稀であり、認識不足による目的外利用、個人の「うっかり」による漏洩やなどが多くを占めているという点です。その背景には、権限やルールのあいまいさを含む不適切な管理、知識や方針の不徹底、システムの不具合といった脆弱性があり、それが個人のコンプライアンス違反を誘発していると言えます。
もうひとつの特徴は、軽微な違反が大事故につながる事例が多いということです。例えば、
(1)ノートパソコンを社外に持ち出し電車に置き忘れた。
(2)個人所有のパソコンを利用したが、ウィルス感染し、情報が漏えいした。
(3)USBメモリを紛失し、保管していた名簿が漏洩した。
などは、日常誰もが起こし得るうっかりミスでありながら、重大な結果につながり得るものです。
場合によっては、直接ミスをした社員に解雇などの重い罰則が科されたり、企業も監督責任を問われ制裁を受けたり、最悪の事態として業務が継続できなくなることすらあります。
情報コンプライアンス推進におけるPマーク活動の意義
近年、企業には環境保護活動、品質保証活動、個人情報保護活動、情報セキュリティ保護活動が求められ、煩雑さにより現場には少なからぬ混乱や形式的な対応が生じているかと思われます。
例えば、Pマークをすでに取得した企業、および取得を目指している企業は、「情報」の中でも特に「個人情報」に焦点を絞った「個人情報保護活動(PMS)」を行っています。その中の多くの企業が、重複して「情報セキュリティ保護活動(ISMS)」の認証も取得あるいは取得を目指しているのが実情です。この二つには重なる部分もあるため、活動の重複によるわずらわしさや経費の増大を嘆く企業も多いのではないでしょうか。
しかし、先ほど述べたように、Pマーク活動は、「情報コンプライアンス」という目的のための手段と位置付けられるものです。社会が企業に要求する法令や規範の遵守を推進する活動として、積極的に取り組むべきものであると考えます。
情報コンプライアンスを目指すPマーク活動の方法
「情報コンプライアンス」という目的のために、Pマーク活動を効果的に行うにはどうすればよいでしょうか。
個人情報保護のための具体的な活動を公開している企業はまだ多くありませんが、株式会社楽天は取り組みをホームページ上に公開しています。
①組織体制・社内規程の整備
②社員教育
③個人情報等の保護に関する知識の普及、意識啓発
の3点です。
これらは、企業がPマーク活動として情報コンプライアンスをどのように推進するか大筋でヒントになります。さらにこれらの詳細を定め、実践していくことが必要になります。例えば、②では情報コンプライアンス違反事項を正しく伝える必要があります。Pマークでは、自社が保有する個人情報データを利用するだけであっても、それを目的外のダイレクトメール送付に利用すると消費者との約束違反としてコンプライアンス違反と定めていますが、その知識を全社員が共有していなければ違反は防げません。
社内のどこでどのように
Pマーク活動をどの部署で行っているかは、実にさまざまです。
最近、Pマークを申請した企業100社について調べたところ、40%が総務に関係する部署、15%が他のISOに関係する部署(例えば、ISO9001を扱う品質保証部やISO27001を扱うシステム部など)、10%が経営者直轄のコンプライアンス室やCSR部などとなっているほか、「内部監査室」、「営業統括部」など多岐にわたっています。どこで行うのが最も適しているかという議論よりも、それぞれの部署の特性を生かし、最も効果的な方法を考えるのが効果的であると考えます。ほんの一例ではありますが、以下のような方法が考えられます。
① 総務部での活動:
法務部・人事部と協働し、セキュリティだけにとどまらず内部統制や企業倫理の観点から社員教育を進める。
②システム部での活動:
情報セキュリティ面から、個人情報の利用の社内規程を整備する。
③コンプライアンス部(CSR部)での活動:
コンプライアンスの全体像を把握した上で、システム部と協働して情報コンプライアンスの特徴を把握し、具体的な活動目標を設ける
今後の課題
情報コンプライアンス活動の目標は、違反をゼロにすることです。
個人情報保護活動(PMS)はマネジメントシステムであるゆえに、そのシステムを維持し、活動を継続すること自体が目的と化してしまう危険性がありますが、それは目的と手段の逆転でありコストの無駄や活動の形骸化を招くものです。
目的と手段の関係を整理することが、効果的なPマーク活動を推進するための第一歩と言えるでしょう。
連載一覧
筆者紹介
代表取締役 久野 茂(くの しげる)
日本電気株式会社(ソフトウェア生産技術の研究・開発に従事)および株式会社日本総合研究所(経営システムコンサルタントおよびソフトウェア開発プロセス改善に従事)を経て、現在は経営とITの橋渡しを専門とするITコーディネータ。
コメント
投稿にはログインしてください