マイナンバーカード問題の発生について、長期間に亘り実務者レベル間の情報共有に留まっていた旨、報道がありました。本日は、組織内の報告機能について、考えてみます。
マイナンバーカードに入っている個人情報が、本人の意思確認なしに、他人に上書きされた事象です。原因や責任には関係なく、個人情報の漏えいであることは、周知の事実です。個人情報漏えいの報告基準が、デジタル庁でどのように運用されているのか、心配になります。
加えて、上書きされた事象が複数に亘り発生すれば、これは大きな問題になりそうだと、リスク感応度が働くはずです。それが働かないのには、理由があります。最新省庁の実務者が、リスク感応度が低いのでしょうか。その理由を解明しないと、同種の事象が起こります。
その為には、当該実務者と腹を割って話し合い、報告を妨げていた真の理由を教えてもらうことが必要です。「教えてもらう」姿勢がないと、解明すらできません。上司では本音を探るのが難しいなら、監査を担う部署が行うか、外部に委ねる方法もあります。
実務者が、真に報告には至らないと判断したのなら、個人情報の基礎知識や報告基準について、実務レベル研修が必要です。情報が少な過ぎるなどの理由で報告できなかったなら、報告が組織を救い、未報告が足をすくうことや、通報制度活用の実務研修が必要です。
報告すれば、自身の異動昇格などに影響が出る考えて報告できなかったなら、中間管理職の役割改革が必要です。上司へ何でも報告できる環境作りを役割に加える必要があります。報告を受けた上司は、上司の上司へ報告する新ルールを追加する必要があるかも知れません。
今回の問題の本質は、初期の事象が発生した際、実務者が対応に当たるという報告が、できなかったことにあります。企業活動であれば、取組みや対策を講じる際、組織のトップへ、実施する旨の申請なり報告を行うのが普通です。その仕組みがないこと自体が、原因かも知れません。
省庁の場合は、大臣へ直接伝わる意見箱があったはずですが、今回機能しなかったことを踏まえて、なぜ意見箱に入れなかったのか、理由を確認する必要もあるでしょう。もっとも危険なのは、この程度なら大臣への報告は必要ないと、実務者が考えたことだと思われます。
今回の問題は、なぜ起こったのか?ではなく、なぜトップへ報告が必要と判断できなかったか、に尽きると思います。異常な事象が発生したら、直ぐに報告するイメージを持って、再発防止策にあたることが大切です。周知したから、研修したから、できるようになるほど、簡単な問題では、ないようです。
今回と同種事象は、組織内、特にトップが強い中小企業などに起こり得る事象だと思います。企業風土と言うのは、なかなか変わりません。トップ自らが変わる宣言を行い、役員や上級管理職に対し、宣言の目的と行動指針を説明して理解と賛同を得て、一緒に参加してもらうと、成功します。
コンプラ担当は、こういう話題がある都度、トップと意見交換を行い、実態の把握、取組み後の検証、トップメッセージ、けん制などに活用していきます。コンプラ担当が、トップと意見交換する機会が多いほど、トップが持つ課題認識や、取組みの大切さを社内へ伝えることが可能となります。
コンプラ担当を社長直轄とする企業がありますが、社内で特別な存在となり、その取組みも特別扱いとなり、社内に風土や文化が根付かなくなるので、ご注意ください。不正、不適正、異常事象を報告できるか否かは、トップ主導の取組みで決まると言っても過言ではないと思います。
コメント