【ネット時評 : 高木 寛(インターネットプライバシー研究所)】
「法治主義」だけでコンプライアンスは実現できるか?

takagi2.jpg
 
 テレビで秦の時代の兵馬俑や始皇帝稜を見るたび、中国という国が持つ底力を見せ付けられる。それらは始皇帝がひきいる中央集権の強大な国家権力を象徴するものだが、それまでの混乱した世の中からあれだけの国力を作り出せた要因には、国家思想の変化もある。「焚書坑儒」(大量の書物を焼き捨て、儒家を殺害した思想統制)を実施し、それまでの徳や仁を重んじた性善説から韓非子の法家思想へと移行。それまでの性善説とは反対の、性悪説に基づく信賞必罰の法による統治が、あれだけの国家権力を作り上げたとされる。しかしながら、それが故に始皇帝没後は短命の王朝に終ったともいわれている。

 現代社会と古代中国とを比較するのは乱暴であることは十分承知のうえで、あえてこれを現代の言葉で言えば「法治主義・ルール主義」ということになる。

 今、私たちの周囲で注目を集めているのは、新JIS(個人情報保護マネジメントシステム-要求事項)に基づくプライバシーマーク、ISO27001(ISMS:情報セキュリティーマネジメントシステムの国際規格)、会社法改正、2008年に施行が予定される日本版SOX法(企業改革法、JSOX)などだ。新しい会社法では「取締役の職務執行の法令・定款への適合性確保の体制、法務省令が業務の適正を確保するために必要なものとして定めるその他の体制整備」を行うことが要求されており、大手企業では、今年になって取締役会でこの決議を行ったはずだ。ここで求められるのは体制の整備だけであって、具体的な社内規定は要求されていないが、部分的には規定なしには成り立たないものもある。JSOXと会社法は適用範囲が異なるが、いずれにしても多くの会社及びその子会社のリスク管理はこの両法に根拠が求められることになろう。

膨大な禁止事項を生み出すもの

 ここで危惧されるのは日本の企業の生真面目さとコンプライアンスへの不慣れな体質である。最近、「統制項目」という言葉が流行している。JSOXだけでも非常に多くの統制項目があるといわれ、これに会社法を加えると大量の統制項目が生ずることになる。プライバシーマーク、ISO27001に沿って守らなければならないことも少なくない。むろん、これらについての社員教育は重要だが、記憶力がずば抜けた人ばかりではない。ときとして社員に教育し、実践させることの困難につきあたる。

 もちろん、ここで性善説に回帰することはありえないだろう。しかし同時に、今は古代中国ではないから、厳格な法の適用だけでは良い結果をもたらさないことも良く知られている。

 まず膨大な禁止事項は、ルールを作る際に適切なリスク評価をしていないことから生ずることも多い。適切なリスク評価を実施すれば、会社の業務とは無関係あるいは、通常ありえないリスクに関する規程は生じないものである。悪いパターンは、書籍などの模範例を参考に「あれもこれも」という具合に増やしてしまう状況だ。これでは社員は守りようがない。

厳格すぎるルールが招く「隠蔽体質」

 また、厳格すぎるルールは守られない、ということも忘れてはならない。通常のコンプライアンスでは、規程違反は就業規則による処分の対象、とされることが多い。実際によく起きるのは、FAXやメールの送り間違いであるが、これをした社員は、会社の懲罰委員会にかけられるのであろうか。また、ある社内セミナーで実際に「個人情報を記録した携帯電話をなくしたら懲戒というのは、要するに仕事をするなということですね」と正面から尋ねた社員がいる。どんなに注意をしていても間違いは避けられない。

 コーポレートガバナンスとは、無過失の結果責任を問うことを目的とするものではない。本来、もっと巨視的に、経営層に対して企業全体の適法性、業務の適切性を確保させることを目的とする。しかし、現在のコンプライアンスの運用ではしばしば、事故が起きるとわずかな過失に対して社会的な責任を問われ、場合によっては通常の注意は尽くしている無過失といえる場合にも、経営者が謝罪をすることさえある。

 こうなると、事故が起きたときにまず出てくるのは隠蔽である。FAXを送り間違えた部下がいたとしても上司は懲罰委員会に持ち込むのは忍びないと思うだろう。また、十分に注意を尽くし、漏洩した個人情報の本人に対して適切な対応をし、本人も納得している場合、「できれば公にしないでください」という流れになってもおかしくない。これが、さらに会社の隠蔽体質へと発展し、明らかな不注意による事故や会社の体制の不備による事故も隠されていくことにならないだろうか。

バランスの取れたルールづくりを

 大切なことは、本当に考慮しなければならない危険に対して、バランスの取れた適切なルールを策定することである。多すぎる規程や厳格すぎる懲罰は、隠蔽か形骸化を招きやすい。多くの担当者は会社法、JSOX、新JISに基づくプライバシーマークなどについて短い期間で知識を吸収して対応せざるを得ないのが実情ではあるが、その際、やはり真に実効性があるコーポレートガバナンスを考えていくことが必要である。

<筆者紹介>高木 寛(たかぎ ひろし)
インターネットプライバシー研究所 代表
わが国で最初の個人情報保護専門のコンサルティング会社InternetPrivacy研究所を設立。プライバシーマーク(JIS Q 15001準拠)の取得支援を中心にコンサルティング活動を行っている。85年の通信の自由化以来、電子ネットワークに関するフリーランスのジャーナリスト、電子コミュニティーのデザインに関するコンサ ルティングなどを経て現職。情報を活用しながらも、人間性をもったネットワーク作りにかかわりたいと考えている。

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/135

コメント一覧

メニュー