中小企業におけるリスクマネジメント・
クライシスマネジメントとは?
情報漏えい事故を例に分かりやすく解説!
| おすすめ資料を無料でダウンロードできます ✅ 【事例から学ぶ】社員の法務リテラシー向上ガイドブック |
- この記事のまとめ
-
近時、企業における不祥事の多発により、改めて企業のリスクマネジメントが注目されており、いろいろな書籍やサイトで解説されています。ただ、そこに書かれているリスクマネジメント策は、人的・物的リソースが必ずしも十分ではない中小企業にとっては「敷居の高い」ものであることが否めません。
そこで、本稿では、中小企業でも最低限行うべきリスクマネジメントを、近時多発している情報漏えい事故を例にとって、分かりやすく解説します。
「弊社でもリスクマネジメントに取り組もう」となっていますが、調べてみると、かなり幅広く高度です。もう少し、「これだけやっておけばOK」みたいな、初歩のリスクマネジメントはありませんか?
「これをやればOK」というものはないですが、最低限取り組むべきラインはあるといえます。どの企業にも関係するのは情報の管理ですね。具体的な方法や対応を見ていきましょう。
※この記事は、2023年9月28日に執筆され、同時点の法令等に基づいています。
目次
企業におけるリスクマネジメントとは
企業リスクの基本
企業経営には、その企業の規模の大小を問わず、さまざまなリスク(危機)が伴います。リスクには、以下のようにいろいろな種類があり、その対応も各リスクの事案に応じて異なります。
✅ 経営上や財務上のリスク
✅ 企業運営(オペレーション)に関するリスク
(例:商品の不具合によるリコールや、クレーム対応の失敗等)
✅ コンプライアンに関するリスク
(例:情報漏えい事故や社員による詐欺や横領行為の発覚等)
✅ 人事労務に関するリスク
(例:社員のメンタルヘルスによる自殺、労働災害等)
✅ 自然災害などによるリスク
そして、リスク対応を一歩間違えば、企業自体存続の危機を招来する可能性さえあります。リスク事案発生に対していかに事前に備えるか、またリスク事案が現実化してしまった場合にどのように対応するかは、その企業の存亡に関わると言っても過言ではありません。
この点、人的・物的資源の豊富な大企業においては、十分な予算と時間を掛けて、リスクへの対応策を講じることも可能でしょう。しかしながら、一般の中小企業においては、リスク対応の重要性は認識しているものの、その対応に人手や時間・予算を掛ける余裕は必ずしもなく、結果として経営陣が「やらなきゃ駄目だよな…」と思いながらも、対応が後手に回っている、というのが実情ではないでしょうか。
しかし、リスクは一度起こってしまえば、必ず対応しなければならなくなります。そしてこの対応を一歩誤れば、その企業の経営に重篤な影響を及ぼします。例えば、商品の不具合が発覚したり、社内で保有していた個人情報が流出した場合に、その対応を誤れば、企業は取引先や一般消費者の信頼を失い、営業実績にも影響が及び、果てはその存続さえ危ぶまれる事態となりかねません。
そこで今回は、特に中小企業の皆さんにとって、「最低限これだけは!」というリスク管理(リスクマネジメント)の方法を一緒に考えてみたいと思います。
本来的なリスクマネジメントの手法|4つのステップ
企業のリスクマネジメントのガイドラインとしては、日本工業規格(JIS Q 31000)が有名です。JIS Q 31000は、2009年に発表された国際規格(ISO 31000)に基づいて作成された国内規格であり、企業のリスクマネジメントについて、あらゆる業態・規模の組織にも通有するリスクマネジメント指針とされています(2018年には国際規格の改定に合わせて9年ぶりに改訂がなされています)。
当該規格では、リスクマネジメントについて、「リスクの特定」「分析」「評価」というアセスメント(査定)を経て、「リスクへの対応」を検討するのが基本とされています。それぞれの具体的手法については、いろいろな書籍やサイトで詳しく説明されていますが、やや難解であり、これを読んでも「では具体的に何をすればいいのか」が即座に理解できないという難点があります。
確かに、想定されるリスクがどのようなものかを分類し「特定」した上で、そのリスクの発生確率や企業運営への影響度合いを「分析」し、さらに想定されるリスクの重大性を「評価」した上で優先順位を定め、それに従って「リスクへの対応」方法を選定して実践するという流れは理解できるのですが、企業に起こり得るリスク事案を事前に類型化して特定することや、その分析・評価をすること自体、人的・物的資源に限度がある中小企業においては「難しい」と言えるのではないでしょうか?
これでは結局、せっかくのガイドラインも、「何をしていいか分からない」→「結局何もしない」という悪循環を招くだけになってしまいます。
中小企業におけるリスクマネジメント・クライシスマネジメントとは(リスクが顕在化したときの対応)
そこで、中小企業におけるリスク管理については、大きくリスク事案発生を起点とした「事前」と「事後」の対応に分けて、「最低限これだけは!」という視点でマネジメントを行うことから始めてみてはどうでしょうか。
この点、講学上、危機的状況に繋がるリスクを事前に低減させたり回避するための予防的な管理手法を「リスクマネジメント」といい、危機的状況が実際に発生した場合にその対応を管理する手法を「クライシスマネジメント」と呼ぶ考え方がありますが、呼び名はともかく、
✅ 「事前」の予防的管理
✅ 「事後」の被害拡大を抑えることを目的とした対応的管理
に分けて危機管理策を検討することは、中小企業においても有用な考え方だと思われます(以下本稿では、事前・事後のリスク管理を合わせて「リスクマネジメント」と総称することとします)。
中小企業におけるリスクマネジメントとは
事前準備のためのチェックリスト
リスクマネジメントのスタートとして、最低限事前に準備しておくべき項目を考えてみましょう。これを読まれている中小企業の皆さんは、以下のチェックポイントのうち、対応できているもの・できていないものをチェックしていただき、まだ対応できていない項目について、今後検討をしていただければと思います。
| 1 | 日頃からトラブル発生の可能性について、社内で想定し、それにどう対応するかの検討の機会を設けているか? |
| 2 | 同業他社のトラブル発生事例を、常に情報収集して、それを社内で共有できているか? |
| 3 | 取引の過程や社内の勤怠管理などについて、全て記録を残すようなシステムとなっているか? |
| 4 | トラブルが発生した場合の情報伝達ルートが社内でしっかり構築されているか? |
| 5 | トラブルの内容ごとに、対応する部署や担当者などが決まっているか(またはすぐに決められるような仕組みを設けているか)? |
| 6 | 具体的なトラブル対応マニュアルが社内で作成されているか? またそれに対応した社内教育は随時行われているか? |
| 7 | トラブルが発生したときに、初期対応としてそれを放置しないような社内のルールが定まっているか? |
| 8 | トラブルに対応する外部支援のチャンネルが構築されているか?(弁護士・警察・行政など) |
| 9 | トラブル対応に掛かる費用について、経理において事前に計上しているか? |
| 10 | トラブル解消後に、社内に対応策や教訓等をフィードバックする施策は採られているか? |
検討する際には、例えば社内のセクションごとのリスク担当者を定め、定期的にリスクマネジメント会議を開催し、上記項目を一つずつチェックし、対応を協議することなどが考えられます。何よりもまずは「始めてみる!」ことです。
事後対応
リスク事案が発生した場合には、迅速な事後対応により、それ以上の被害の拡大を防ぐ対応をすることが必要となります。対応としては、大きく分けると以下の3つの手順を踏むことが有用と考えます。
①初期調査と情報開示
リスク事案が発生した場合に何より重要なことは、対応を後回しにせず、迅速に正確な事実の把握を行うことです。それには、まず担当者(担当部署)を定め、社を挙げて調査に協力する体制の構築が必要です。
特に発生したリスクが何らかの不祥事である場合、迅速な調査により正確な情報を把握し、不祥事が真に会社の責任によるものかを見定めます。そして責任を負うべき不祥事であると判断した場合には、取引先やマスコミに対してできるだけ早く情報を開示し、それと共に謝罪を行うべきです。
特に、消費者の安全に関する不具合等の場合には、正確な情報を迅速に開示することで、被害の拡大に努めなければなりません。
②原因究明
上記初期対応を行った後は、本格的にリスク事案の原因究明を行います。その際には、場合によっては社外の専門家等に依頼することも考えるべきでしょう。当該調査は、関係者への聞き取りや、資料の解析等、時間がある程度掛かってでも、正確な原因の究明を行うことが肝要です。
③再発防止策の策定
原因究明の結果、リスク事案の原因が解明されれば、再発をどのように防ぐべきかを検討します。社内の情報流通に問題があるのであれば、今後どのようにすれば正確な情報が伝わるのか、その方策を検討します。また不祥事発覚を機に、人事を刷新することもあるでしょう。
原因究明とそれを基にした再発防止策の策定は、必要であれば然るべき時期に外部に公表することも検討すべきでしょう。当該開示により、一旦損なった企業イメージや取引先の信頼を回復する第一歩を踏み出すことになります。
絶対にしてはならない対応
近時のリスク事案、特に企業不祥事において、その対応に失敗して企業価値・信頼を下落させた例に共通する誤った対応があります。
それは、まず、社内で不祥事発覚を把握した場合に、それを隠蔽しようとすることです。今日の高度情報化社会において、不祥事を隠そうとしても不可能と認識すべきです。一旦社内で不祥事を隠蔽した後に、それが発覚した場合、そのダメージは計り知れません。企業に対する社会や取引先の信用を失い、一気に企業存亡リスクを誘発することになります。
とにかく、不祥事を把握した場合は、迅速に調査を行い、適切な方法で情報開示を行うべきです。
次に、情報開示の段階で、正確な情報の把握もないままに、責任転嫁・責任回避に走り、謝罪を拒否することも危険な対応です。不祥事について、個々の社員や下請業者に責任を押し付け、謝罪を拒むなどの対応を取れば、企業イメージは著しく損なわれます。たとえ不祥事の原因が社員や下請業者にあるとしても、その責任は、結局はこれらの者の活動で利益を得ている企業が負うべきと言えるでしょう。
少なくとも、正確な情報把握もないままに、不用意に責任を回避し、謝罪を拒むことは厳に慎むべきです(無論、適切な調査の結果、不祥事の原因が全く別のところにあった場合は別論です)。
リスクマネジメントの具体例|情報漏えい事故を例として
はじめに
ではここからは、近時もマスコミ等を賑わすことが多い、企業の情報漏えい事故を例にとって、具体的なリスクマネジメントの方策をシミュレーションしてみましょう。
企業には取引先の守秘情報や、消費者の個人情報など、多くの守られるべき情報が集積されています。この情報管理は中小企業においても十分に保護されるべきですが、いかに万全を期したつもりでも、ウイルス感染・不正アクセスといった「外部からの侵入」による個人情報の流出が起こるリスクは、いずれの企業にも内在しています。個人情報を多く保有する企業にとって、このような事故は、場合によっては企業存続を揺るがす事態となりかねません。
この点、東京商工リサーチによる調査によれば、2019年頃までは、漏えいの主な原因は、誤操作、管理ミス、紛失・置き忘れなどのいわゆるヒューマンエラーが中心でした。しかしその後、特に2020年以降に顕著に増えているのがウイルス感染・不正アクセスといった「外部からの侵入」による個人情報の流出です(2022年の情報漏えい・紛失事故の165件のうち、原因別は、「ウイルス感染・不正アクセス」の91件(構成比55.1%)が最多で、半数以上を占めているとのことです)。
そこで、期せずして情報漏えい事故が発生した場合のリスクマネジメントについて、事前・事後に分けてその対応策を考えてみましょう。
事前の対応その1|人事労務管理上の事前対策
企業としては、少なくとも人的原因に基づく情報漏えい事故を防ぐため、人事労務管理上の安全管理体制を強化しておく必要があります。
①就業規則に、「情報管理」や「情報保護」関係の遵守事項を規定する
業務に関する情報を外部へ漏えいしてはならない旨や、PCやスマートフォンなどの情報デバイスの取扱いについての基本的なルールを、就業規則の服務規律に盛り込み、全従業員に周知徹底すべきです。また、それぞれの会社の業務内容によっては、就業規則に加えて「個人情報取扱規程」「情報端末機器取扱規程」といった詳細の規程を別途作成しておく必要もあるでしょう。
②「情報漏えい」を就業規則の懲戒事由として規定する
従業員が情報漏えい事故・事件を起こしてしまった場合、会社は、従業員に対して何らかの処分を検討することになるでしょう。そのためには就業規則に、「業務上重要な秘密を外部に漏えいして会社に損害を与えたときは、懲戒処分の対象とする」旨の規定を置いておく必要があります。
③採用時・退職時に従業員から「秘密保持誓約書」を取得する
顧客情報や技術情報などの企業秘密に接する従業員からは、個別に秘密保持に関する誓約書を取得します。
誓約書には、
✅ 対象となる秘密情報はどのようなものなのか
✅ 当該秘密情報をどのように扱うべきなのか
(複製禁止、業務外使用禁止、漏えい時の速やかな報告等)
を具体的に記載することが重要です。また、退職後も秘密保持義務があること、違反時の損害賠償責任についても記載します。
誓約書を提出させるのは、従業員を疑っているように見えませんか?
安全管理目的であることはもちろんですが、漏えいが起きた際の対応を曖昧にしている会社と、明確にしている会社で、どちらが従業員に対して誠実か、丁寧に説明することも大切ですね。
④定期的に従業員教育を行う
情報を漏えいしないための教育はもちろんのこと、情報を漏えいしてしまったときの対応についても教育を行い、従業員の知識と意識を常時アップデートすることが推奨されます。
⑤雇用終了時に個人情報を含む資料等の返還を徹底する
従業員が退職する際には、個人情報などの企業秘密を含む資料(それらの複製を含む)の返還を徹底しましょう。
また、上記③記載のとおり、退職後の秘密保持義務についての誓約書も取得します。採用時に誓約書を取得している場合でも、退職者自身がその内容を覚えていないことも多いため、退職者への注意喚起の意味でも、再度取得しておくことが望ましいでしょう。
事前の対応その2|情報管理の社内ルール策定
社内の服務規程などにより、従業員の意識向上を図ったとしても、ヒューマンエラーの発生を完全に防ぐことはできません。そこで重要なのは、情報が外部に流出するルートを可能な限り塞ぐ手立ての構築です。
情報の持ち出しの禁止
近時の事故の例を見ても分かるとおり、ヒューマンエラーによる情報漏えいリスクを最小限にするためには、機密性の大小に関わらず、そもそも情報を社外に持ち出すこと自体を原則的に禁止すべきです。
個人情報が含まれた情報デバイスや紙媒体を営業先に持参する、在宅勤務を許可している場合など、やむを得ず情報を社外に持ち出す必要がある場合は、持ち出し時の許可の取り方、持ち出しの方法などのルールを厳格に定め、万全の管理体制を構築しておくことが求められます。
私物機器の社内利用禁止
社内情報の持ち出し禁止と併せて、情報デバイスなどの私物利用禁止も定めておくべきです。例えば私物のUSBデバイスなどの利用は、社外での利用段階でウイルス感染などのリスクがあるため、社内の機器と接続して利用することは特別の許可がない限り禁止すべきでしょう。
情報破棄の手順の確定
情報デバイスやデータの破棄においても、厳格な手順の作成が必要です。
紙ベースであれば、こまめにシュレッダー処理することや、最終的に溶解処分を行うこと、データであれば、完全な消去ないしは物理的な破棄の手順を定めておきましょう。また、こうしたデータの消去に関して、外部業者に委託することなども検討すべきでしょう。
アクセス権限の管理
PCなどの情報デバイスの利用に関しては、IDやパスワードにより管理することが考えられますが、このIDやパスワードを担当者以外に貸与することなどは、情報漏えいに繋がる危険性があるので、厳禁とすべきです。
部署によっては、共有PCがすぐ使えるように、ID・パスワードを記載した付箋を電源ボタンの近くに貼っていますね…。
面倒でも別管理にしましょう。PCの周辺に備忘のためにIDやパスワードのメモを貼り付けることは御法度です。
事後対応|クライシスマネジメントの方法
実際に情報漏えい事故が発生した場合には、以下の対応が必要となります。
組織内での迅速な情報共有
情報漏えいの兆候や事実が確認された場合には、まず情報を一箇所に集約し、正確な情報を把握しなければなりません。そのためには、日頃から情報漏えいが起こった場合の対応をシミュレートしておくと共に、漏えいが発生した場合の責任者ないしはセクションを決めておくことが肝要です。そして、事故発生時には、当該責任者等に情報を集中させて、正しい情報の把握と管理を行う必要があります。
被害拡大の防止
責任者等は、集めた情報から漏えい事故の発生が確認された場合には、それ以上の被害拡大の防止策を講じます。
例えばサーバーが不正アクセスを受けたのであれば、社内ネットワークから当該サーバーを切り離すなどの方策を早急に講ずる必要があるでしょう。また、自社サイトなどに情報を誤って公開に設定してしまった場合には、直ちに当該情報を削除するか、アクセス制限措置を施し、外部から参照できないようにします。その他警察への届出や、流出したアカウントの停止、パスワード変更等の対応が必要となります。
被害の調査
被害拡大の防止と並行して、被害の確認も早急に行う必要があります。まず漏えいした情報がどのようなものかを把握することは、その後の対応を考える上でも重要です。その際には、5W1Hで整理することが有用です。
- 5W1Hによる把握の例
-
① 誰の情報か?(Who)
② 何の情報か?(What)
③ いつの情報か?(When)
④ どこに保存されていたか?(Where)
⑤ なぜその情報が?(Why)
⑥ 情報の量・内容・形式(暗号化・パスワードの有無)は?(How)
以上により漏えいした情報を特定できたら、その情報がどの程度漏えいしているかを確認します。
例えば、個人データが入ったUSBやPCの紛失の場合には、そこに記録されていた個人情報が外部サイト等に転載されていないかなどを確認します。
情報の開示
漏えいした情報の確認を終えた後は、情報主体である本人(個人)や取引先に対し、漏えい事故の概要や漏えいした情報の内容、漏えいの原因などについて、速やかに情報開示します。
なお、2020年の個人情報保護法の改正(2022年4月1日施行)により、個人情報取扱事業者(「個人情報データベース等」を用いて、個人情報を1件でも把握していれば、取扱事業者に該当します)は、
① 要配慮個人情報
② 財産的被害が発生するおそれがある場合
③ 不正アクセス等故意によるもの
④ 1,000人を超える漏えい等
の場合、本人への通知と個人情報保護委員会への報告が義務化されたので注意が必要です(同法26条)。
また、流出した情報の数や重要性に応じて、必要であれば事態の概要や再発防止策について、自社のウェブサイトやマスコミを通じて公表することも検討すべきでしょう。
情報漏えい事故の収拾がついた後に、改めて広く公表することは、経営陣が渋りそうですが…。
この点、前述のとおり、適時の情報開示を行わなかったことが後に発覚した場合、企業による隠蔽であるとして糾弾される危険性があることには十分な注意が必要です(ただし、情報の公表が被害の拡大を招く恐れのある時は、公表の時期、対象などを考慮する必要はあります)。
再発防止策の策定・実施
以上の手順を踏んだ上で、再発防止策の策定および実施を実行します。
例えば漏えい事故が従業員による情報の持ち出しに起因するものであれば、情報の保管方法、持ち出しの管理、情報の暗号化やアクセス制御など、問題点を総合的に検討し改善します。
また、データベース等への不正アクセスが原因なのであれば、アクセスされたシステムの脆弱性を修正すると共に、重要な情報の隔離やウイルス対策製品の導入など再発防止のための技術的な対策を行います。
最後に
以上、特に中小企業の皆さんにとってのリスクマネジメントについて検討してきました。本稿の最後に、まとめとして、筆者がこれまでの弁護士活動で、多数の企業からトラブルや危機管理についてのご相談を承り、対応してきた経験を元に、企業のリスクマネジメントについて欠くことのできない3つの重要なポイントをご紹介しておきたいと思います。
①トラブルは必ず発生します!
どんなに注意していても、企業活動を行っている限り、トラブルは発生します。トラブル発生の種は無限にあり、その芽を全て事前に摘むことはできません。
そのことをまず認識した上で、社内において危機管理の対応スキームをしっかり構築することが重要です。特に重要なのは、社内におけるトラブルについての情報共有ルートの構築です。
②トラブルは初期対応が全て!
どんなトラブルも、発生の最初は小さな事柄です。ところが、初期対応を間違ったり、対応を後回しにすると、そのトラブルが徐々に拡大し、場合によっては企業の存亡の危機にまで発展することさえあります。
まず、トラブルが発生した場合に、その情報を社内で迅速に共有し、対応部署や担当者を定め、対応策を協議した上で、的確に対応することが基本となります。特にトラブルが発生した場合に、発生した部署において対応が面倒くさいと感じ、後回しにすることがないよう、社内教育等を行っておくことも肝要です。
③トラブルは、企業活動の糧となり得えます!
トラブルはそれぞれ個性があり、同じものは二つとありません。しかし、トラブルには必ず共通した事項があります。一つのトラブルの発生→対応→解決の流れには、その後のトラブルを未然に防ぐヒントが沢山隠れています。そこで、一つのトラブルの経緯を、今後のトラブルを防ぐ教科書として、社内で共有し、ケーススタディとして役立てることを検討しましょう(特に顧客からのクレームはより良い企業活動のための重要な情報源です)。
不幸にもリスク事案が生じた場合でも、その事後対応/クライシスマネジメントを迅速に行い、適切で真摯な対応を取れば、そのことでかえって企業のイメージが高まり、消費者・取引先等の信頼を勝ち取ることもあり得ます。正に「災い転じて福となす」ことも、不祥事に対する対応次第では可能なのです。
最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!
| おすすめ資料を無料でダウンロードできます ✅ 【事例から学ぶ】社員の法務リテラシー向上ガイドブック |
