第2回 情報漏えいに備えた社内体制の整備個人情報が流出 有事のときの危機管理(3/4 ページ)

» 2005年03月03日 07時01分 公開
[丸山満彦,ITmedia]

1.マニュアル整備のポイント

 あらゆるリスクに備えたマニュアルの整備は無理である。多くの場合は、一般的な危機管理マニュアルと特定リスク分野についてのマニュアルを整備することになる。個人情報の大量漏えいも特定リスクと認識し、マニュアルの整備を検討すべきである。

 危機管理マニュアルの作成上の問題は、通常のマニュアルと違い、「どのようにするのか?」という具体的な手順をあらかじめ決めることが困難なことにある。事故発生後の状況は刻一刻と変化していくため、その状況に応じた対応が必要なためである。

 では、マニュアルを作ることはできないのだろうか。多くの危機管理マニュアルと同じように、「誰が誰に連絡をするのか」、「どのような状況の場合に誰が意思決定するのか」という2つのポイントを押さえて作成すればよい。

2.コンタクトポイント

 「誰が誰に連絡をするのか」。つまり、連絡ルートを決めることが迅速な対応のためには重要である。連絡先のことをコンタクトポイントということがある。コンタクトポイントは、現場でのコンタクトポイントと、経営層へのコンタクトポイントの2つを設置することが多い。これは、現場での対応と経営全体を見渡した対応の2つが必要となるからだ。

 コンタクトポイントにあたる人は、何をすべきかについて意思決定を求められる場合が多くなる。それは、前述したとおり、事前の手続きを想定することが難しいからである。しかし、現場での意思決定はなるべくさせないように工夫することが必要である。現場の通常の意思決定権限を超えた決定は緊急時であってもさせないようにすべきである。その結果、現場が保守的になり、経営層からみるとどうでもよいような報告があがってくる割合が増加するが、それは無視をすればよい。現場にリスクが隠れるほうが危険なのだ。

 そのためにも、現場のコンタクトポイントでは、「具体的にどのような場合には上に連絡をあげるのか」を示した指標を作ることが重要である。いわゆるエスカレーションルールである。「現場で個人情報が漏えいした可能性があるという苦情が1週間に3件以上続いた場合は、さらに上のコンタクトポイントに連絡を入れる」といったようなルールである。

3.外部とのコンタクト

 個人情報の大量漏えいのような事態は、企業の多くの利害関係者であるステークホルダーに対して、事実関係などを報告・通知していかなければならない。そのような場合に備えてあらかじめ外部へのコンタクトポイントを集中し、対応することが重要である。会社としての意見を発信することが必要となるからだ。加えて、現場において勝手な顧客対応、メディア対応を行わないように指示を徹底しておくことも重要である。

 個人情報漏えい時の外部へのコンタクトポイントとしては、広報、営業、お客様センター、法務(官庁対応)などが考えられる。複数のコンタクトポイントがあるが、統一した方針に基づき、それぞれの利害関係者に応じた対応策を策定し、実践する必要がある。報道機関などへの対応は広報部門が行う。個人顧客からの苦情を含めた対応については、通常の苦情窓口のほか、場合によっては担当営業者などが行うこともある。

 複数の営業担当者が対応する場合は、必ず対応マニュアルを作成し、一定の教育を行うことが肝要である。一方、所管官庁への連絡は、あらかじめ所管部署が決まっている場合はその部署が、決まっていない場合は、法務部門などが対応することになる。

マニュアルに従った訓練

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ