組織の危機管理と未然防止【2】

組織の運用
この記事は約10分で読めます。

危機の未然防止

前日に公開した「組織の危機管理と未然防止【1】」では、事案の例を挙げ、それに対応するマニュアル作成のポイントをまとめてみた。これらは、危機が来てしまったあとの、事後的対応手順やその体制が中心となっている。

事後ではなく事前に、つまり、危機を未然に防止するための方策を「リスクマネジメント」または「リスク管理」ということがある。このリスクマネジメントのポイントを整理し、危機管理マニュアルに含めるべき項目をまとめてみる。

機密文書の管理

紙や記録メデイアなどの物理的な機密文書を一元的に管理するようにし、管理責任者を決める。各部署の長は機密文書を作成したときは、以下の事項を必ず管理責任者に届出る。

  • 機密文書の名称
  • 作成年月日
  • 保管責任者

管理責任者は次の事項を記載した「機密文書簿」を整備する。

  • 機密文書の名称
  • 機密文書の作成部署
  • 機密文書の作成年月日
  • 機密文書の保管責任者

機密文書の保管責任者と保管場所を決め、金庫や施錠できる部屋や書棚などに保管して、必ず鍵をかけるよう周知徹底する。また、保管責任者は以下の2点を定期点検する。

  • 機密文書が確実に保管されているか
  • 内容が改ざんされていないか

社員が業務上の必要によって、機密文書を閲覧または複写するときは、保管責任者に機密文書名称や閲覧・複写の目的を申し出て、その許可を得なければならない。社員が以下の行為を実施したときは懲戒処分にする。

  • 機密文書を会社に無断で社外に持ち出した
  • 機密文書の内容を外部に漏らした
  • 所定の手続きを経ずに機密文書を閲覧または複写した
  • 保管している機密文書、またはその複写を散逸、または盗まれた

電子情報の管理

経営上の重要な情報はデータベース化してコンピュータによって管理することが一般的になっている。こうした電子化された重要情報の管理について社員に周知徹底しておく。

重要情報については、会社が定めるパスワードを入力しなければアクセスできないものとする。また、重要情報を必要とする社員に対してのみパスワードを開示する。

パスワードの開示を受けた社員は、重要情報のプリントアウトまたはUSBなどの記録メディアへのコピーに際してはあらかじめ会社の許可を得る。また、入手した重要情報については責任を持って保管しなければならない。当然、職務上知り得た重要情報を第三者に漏洩することは禁止される。

パスワードの開示を受けていない社員は重要情報にアクセスしてはならず、また、不正アクセスを知ったときは、ただちに会社に通報することを明確にしておく。社員が以下の行為を実施したときは、懲戒処分にする。

  • 重要情報に不正にアクセスした
  • 重要情報を会社に無断でプリントアウトまたは複写した
  • 重要情報を不正に改ざんした
  • 重要情報を外部に漏洩した
  • 重要情報をコピーしたハードディスクまたはフロッピーを不注意によって紛失あるいは盗まれた

社員の違反行為によって会社が損害を受けたときは、会社は当該社員に対して損害賠償を求める。

なお、運用の手間とコストが許すなら、重要情報へのアクセスにはひとつのパスワードだけでなく、別の認証を組み合わせて許可するのが理想だ。インターネットバンキングも最近では、通常のパスワードに「ワンタイム・パスワード」を組合わせないとアクセスできないのが標準になっている。

電子化された重要情報については、指紋認証、顔認証、アクセス端末認証、証明書認証などとパスワードを組合せ、アクセスに対するハードルを上げておくことを検討したい。

個人情報の保護

個人情報保護法が全面施行されてから16年以上が経過した。個人情報漏洩に関して、基本的に「個人情報取扱事業者は、取り扱う個人データの安全管理のために必要かつ適切な措置を講じなければならない」「個人データの安全管理が図られるよう、従業者や委託先に対する必要かつ適切な監督を行わなければならない」とある。

さらに、マイナンバー制度が始まったり、欧米でのプライバシー関連法が年々強化されることもあって、個人情報保護に対する法律は改正されるたびに厳しくなっている。個人情報保護のための取り組みとしては、基本的に以下のものが挙げられる。

  1. 個人情報に関する管理責任者の設置:「個人情報管理責任者」を選任し、個人情報の取り扱いに関する管理体制を強化
  2. 個人情報の取扱いに関する調査の実施:社内で保有されている個人情報の実態を調査し、保護すべき個人情報の対象を把握するとともに、特に取り扱いに注意を要する情報を特定
  3. 個人情報保護のための研修の実施:従業員を対象に、情報セキュリティや個人情報保護の研修を実施

監視・認証・暗号化などの技術的なセキュリティ強化も含め、個人情報の保護対策を見直し、改善を図る。また、個人情報保護の観点から社内規程を再整備するとともに、具体的なマニュアルを作成する。

■従業員の監督方法と対策

  1. 個人情報を取扱うシステムを外部ネットワークから独立させる、アクセス制限を設定するなどといった技術的措置を講じる
  2. 情報へのアクセスを制限する
  3. 情報管理に関する規程を整備する
  4. 従業員に対し情報管理教育を行う
  5. 入社時・退職時に誓約書を提出させる
  6. 不適切な情報管理を行った従業員を処分できるように就業規則などを改定する
  7. 社内監査を行う

■委託先の監督方法と対策

  1. 技術的措置を講じる
  2. 適切な委託先を選択する
  3. 委託者を適切に監督できるような方法で委託をする(データの社外持出を禁じ、作業は社内限定)
  4. 委託契約書において、委託者の義務などを明確に規定する

服務規律の徹底

まずは、社員の服務心得を明文化し、しっかりと明示しておく。例えば以下のような内容だ。

  • 勤務時間中は勤務に専念し、みだりに職場を離れない
  • 会社の指示、命令に従う
  • 会社の規則、規定に従う
  • 職場を整理整頓する
  • 会社の許可なく外部の者を入れない
  • 火気の取り扱いに注意する
  • 業務以外の目的で会社の設備、備品を使用しない

さらに、以下のような会社に不利益を与える行為を禁止する。

  • 会社の信用と名誉を傷つける
  • 会社の機密情報に不正にアクセスする
  • 会社の営業秘密を外部に漏洩する
  • 会社と競合する事業を自ら行う、または競合する事業を営む他社に雇用される

セクハラ行為の禁止についても「セクハラ防止規定」を作成し、明確にしておく。パワハラやインサイダー取引についても同様だ。

服務心得を守らなかったり、不利益行為、セクハラ行為を行ったときは懲戒処分に付される。処分の手続きは「会社が一方的に決める」方法もあれば、労使双方で構成される「賞罰委員会で決める」方法もある。懲戒処分の公正さを確保し、処分の透明性、納得性を高めるという観点からは、賞罰委員会で決定するのが望ましい。

交通事故の防止

自動車の効率的使用と運転者の安全のために自動車の適切な管理は必須。会社が保有する自動車のほか、「原動機付き自転車」「会社が借り上げているもの」も管理対象になる。自動車管理担当部署が統括管理し、日常の清掃、洗車、キーの保管、点検・整備を行う。

会社は道路交通法の定めるところにより「安全運転管理者」を置き、これを公安委員会に届け出る。また、道路運送車両法の定めるところにより「整備管理者」を置く。自動車管理担当部署は「自動車管理台帳」を作成し、登録番号・車台番号・車名・型式・購入年月日・購入先・自動車保険に関する事項などを記録する。

自動車管理担当部署は、運転者が遵守すべき事項を明記しておく。運転者は安全運転を心がけ、自分が使用する自動車について、常に整備・点検を行わなければならないこととする。そのほか、給油、社外での駐車、格納、洗車、運転日報の作成などについても明確にしておく。

修理を必要とする個所を発見したときは、ただちに所属長を通じて自動車管理担当責任者に報告し、その指示に従がう。法律で定められた整備・点検は、会社指定の自動車整備会社で行なう。

自動車運転中に交通事故を起こしたときは、速やかに次の措置を講じる。

  • 負傷者のあるときは、ただちに負傷者を救護する
  • 道路における危険防止のための措置を講じる
  • 最寄の警察に通報する

これらの措置が完了したのち、速やかに会社に連絡。自動車運転者が故意または不注意によって他者に損害を与えたときは、本人の責任において補償させる。社員が起こした交通事故について会社が賠償責任を履行し、かつ、社員に重大な過失または法律違反があるときは、会社はその社員に対し、会社が負担した賠償金の支払いを請求することがあることも明記しておく。

道路交通法違反による罰金は、原則として自動車を運転した社員の負担とし、社員の不注意により車両の盗難または損傷の被害を受けたときは、社員にその損害を賠償させる。

取引先の与信管理

リクスマネジメントの観点からは、与信管理はすべての取引に適用し、与信限度の設定もすべての取引先に設定するのが望ましい。与信限度は取引先ごとに、以下の事項を総合的に勘案して設定する。

  • 取引先の信用状態
  • 取引の内容
  • 取引の頻度
  • そのほか必要事項

与信限度の設定は、その取引先を担当する営業社員の意見を聞いて営業部門の長が行なうが、最終決定は営業担当役員か社長が行うべきだ。

社員はいかなる場合も、与信限度を超えて取引してはならないことを明確にしておく。ただし、やむを得ない事情により、与信限度を超えて取引するときは、営業部門の長または社長の承認を受けるようにし、「例外取引申請」などの書類として記録を残す。やむを得ない事情とは、その取引先との関係強化を図る、確実に大口の取引が見込める、競争関係にある会社に勝つ、取引先の信用力が強化されたという確実な情報を入手したなどが該当する。

取引先の「信用状態の変化」「取引実績」「支払状況」などにより、与信限度は、毎年定期的に見直しを行なう。社員にはたえず取引先の信用状態を調査するとともに、債権の把握およびその保全に努めることを義務付ける。もし、取引先の信用状態に変化があれば、ただちに報告するようにする。その後、会社としての対応方法を決定し、迅速に実施する。

与信限度は機密情報に該当する重要な情報であるため、社外に漏洩することを禁止しておく。

内部監査

内部監査は、「会計監査」と「業務監査」の2つに分けられる。会計監査とは、会計処理が適正に行われているかの監査であり、業務監査とは、業務が適正に行われているかを監査するもの。

会計監査は監査役や監査委員会によっても行われるが、社員自身によっても行うこととする。内部監査を厳正に行うという観点からは、「内部監査室」のような監査専門の部署を設置するのが望ましい。なお、必要であれば、その業務の一部を外部に委嘱することも可能だ。

監査の対象はすべての部署であり、内部監査室長は監査を受ける部署に対してあらかじめ以下の事項を通知する。

  • 監査事項
  • 監査実施時期
  • 監査担当者の氏名
  • そのほか必要事項

監査担当者は、監査に当たって必要と認めたときは、関係資料の提出を求めることができ、監査を受ける部署は監査担当者の監査に積極的に協力しなければならないことを明確にしておく。監査担当者は、監査に当たり、以下の事項に留意しなければならない。

  • 公正に監査する
  • 予見を持って監査に臨まない
  • 監査を受ける部署の日常業務を阻害しないようにする
  • 業務上知り得た会社の秘密を外部に漏洩しない

内部監査室長は、監査終了後、遅滞なく監査報告書を作成し、社長に提出する。監査の結果、業務の改善を必要とする事項があった場合は、監査室長は当該部署の責任者に通知し、改善を通知された責任者は、速やかに適切な措置を講じ、その結果を監査室長に報告する。

なお、監査室による監査は、会社法に定められた監査を妨げるものではないことを明確にしておくとよいだろう。

経団連のマニュアルサンプル

前日の「組織の危機管理と未然防止【1】」において、学校の場合、文部科学省が「学校の危機管理マニュアル作成の手引」を公開していると書いた。学校の場合は、各都道府県の教育委員会も危機管理マニュアルのサンプルや手引きを独自に公開している。

ほかにも、厚生労働省が水道事業者向けに「危機管理対策マニュアル策定指針」を公開しており、自治体によっては、この指針を反映した水道事業危機管理対策マニュアルを独自に公開している。

企業の場合は、損害保険会社のリスクコンサルティング組織がさまざまな情報を提供しているが、その前に、一般社団法人日本経済団体連合会(経団連)の公開資料を一読することを薦める。特に以下の資料により、マニュアルとして準備すべき事案や、内容に必要な項目を検討できる。

「危機管理マニュアル作成:前編」で書いた通り、何か起きたの被害をできるだけ小さくするために、体制と手順をあらかじめ決めておき、関係者全員で理解しておきましょうというのがマニュアル作成の目的。サンプルはあくまでサンプル。自社の事情に照らし合わせ、できるだけコンパクトに作っておき、作成よりも運用や改定に重きをおくことをお勧めする。

タイトルとURLをコピーしました