近年、コンプライアンスという言葉は、企業や組織だけではなく、個人の行動にまでも当てはめられることがあり、法規制やルールだけで判断しにくい状況になっています。また、ネット上や SNS では、コンプライアンス違反事象は格好のネタとなり、コメントがコメントを呼び大炎上する恐れもあるため、企業や組織として、十分な対策が必要とされています。
今回は、企業や組織全体で必要とされるコンプライアンス違反対策について、どのように取り組めばよいのか、そこに IT のチカラはどのように関わってくるのか、考えてみようと思います。
コンプライアンスとコンプライアンス違反とは
コンプライアンスとは、一般的に「法令遵守」という意味ですが、
- ①法令、業界規制の遵守
- ②社内規定の遵守
- ③社会道徳や倫理の遵守
までを包括し、昨今では CSR(Corporate Social Responsibility)=「企業の社会的責任」の観点からも、社会から強く求められる傾向にあります。
また、上記の①~③を逸脱した事案がコンプライアンス違反と呼ばれますが、最近では、①や②の法令や組織規定以上に、③の「道徳や倫理」に論点を置いた報道やネット上での論争が多くなっているのではないかと感じます。
これは、匿名性の高い SNS で「道徳や倫理」に反したことを攻撃することにより、事実も事実で無いことも拡散され、SNS 上でも、ニュースや報道でも加熱していく、という連鎖によるものと見受けられます。
コンプライアンス違反への対策
最近は、コンプライアンス違反として、
- 長時間労働問題
- 個人情報漏えい問題
- 助成金、補助金などの不正受給問題
- 製品の性能偽装問題
など、企業や組織レベルの問題に加え、
- 転職時の営業情報持ち出しによる意図的な漏えい
- セクハラやパワハラなどのハラスメント
- SNS 上での発言や表現による炎上騒動
など、個々の問題も多く、事象に対する世間の反応も厳しいものとなっています。
これらの違反に対し、企業や組織ではさまざまな仕組みやルールを施し、継続的な監視機能として、DX 推進の風潮と共に、IT のチカラを活用しようとする動きが多く見られます。
コンプライアンス対策は情報システムで解決できるのか?
IT のチカラを用いたコンプライアンス対策としては、
- ルールを逸脱する前に、利用者にメッセージで通知する
- 職務や役職等に応じて、適切な権限を付与する
- 情報の持ち出しを防ぐため、社給以外の記憶装置などを接続不可とする
- さまざまなログを取得し、相関分析することで、不審な行動を未然に検知する
- 一定の閾値を超えた場合、リアルタイムでアラートを発報する
などが一般的で、法令や組織規定を遵守できるように設計、運用することは可能です。しかし、とりわけ「道徳や倫理」に関する施策は、判断基準が明確にしづらく、最終的に人の感覚に委ねられるため、単純に IT のチカラだけで対策できる、というものではありません。
また、セクハラやパワハラなどの検知や防止にあたっては、個人のプライバシーに触れる可能性もあり、IT を用いた仕組みであっても、1つ1つの詳細情報まで情報システム部門が関与すべきか?という疑問があがります。
コンプライアンス対応は専門組織が必要なのではないか?
上記のことから、IT のチカラを活用することにより、コンプライアンス違反となる事象は検知できるが、検知後の具体的調査や分析はどこが主幹となるべきか、を組織全体として考え、議論を推進するべきではないでしょうか?
例えば、チャットツール上でパワハラワードを多用している人がいた場合、既存組織の縦割りで対処すると、
- 情報システム部門は、パワハラワードが多用されている事実を検知
- 人事部門は、対象者を確認し、チャット上の行動について、人事面談を実施
- 法務部門は、事象に対し、法令や規定での違反が無いかを確認
- 経営層は、これらの報告を受け、判断を下す
のような流れになりますが、
「他に予見できる行動」は無かったのか?
「人間関係に問題」は無かったのか?
「組織に問題」は無かったのか?
など深層を探るためには、
- 上司や部下にも話を聞くのか?
- プライバシーに関わる範囲は、聞くべきでは無いのか?
- 聞くとすれば、どのように聞くのか?
まで考慮し、これらを主導する部門が必要なのではないでしょうか?
以上のことから、コンプライアンス対策は、「IT のチカラだけで解決できる」ものではなく「IT のチカラを活用し組織全体で解決する」ことを方針とし、今一度、IT で解決できることと、できないことを整理し、組織の再検討をされてはいかがでしょうか?