証拠偽造のない世界はITで作る――牧野弁護士：Interview（4/4 ページ）

[聞き手：堀哲也，ITmedia]

個人情報保護や内部統制に通じる「業務改善」という視点

ITmedia　コンプライアンスという点では、個人情報保護でもITに関連するところが多く、IT部門も対策に追われました。この経験は生かせるのでしょうか？

牧野　そうでもあり、そうでもないと言えます。個人情報保護対策を「業務改善」と位置付けてやってきたところは、すでに内部統制は半分以上できていると言えるかもしません。しかし、個人情報保護を単なるルール作りと考えてきたところは、業務改善が何もできていないから大変になると思います。個人情報保護には、ガイドラインがあり、指針を立てたり、担当者を決める必要がありました。だから、ルール作りととらえてしまったところもあったかもしれませんが、結局は業務改善運動だったのです。

　これまで管理がずさんだから事故が起きると思われてきましたが、結局ルールを作っただけでは事故はなくならなりませんでした。危険因子が存在する限り、事故は起こるのです。業務フローを洗い出し、個人情報が漏えいする可能性のある部分を点検して、1つずつ減らしていく。このような訓練ができている企業は、営業秘密の保護や内部統制にも同じように対応できます。既に経験があるから、誰にも教わらなくてもできますよね。

　これから個人情報保護チームは新たにコンプライアンスチームとして、対応を行っていくと思いますが、個人情報保護での経験を生かして点検してくれれば、それだけでほとんどお金を掛けずに仕組みを作れます。

ITmedia　日本版SOX法が施行されれば、対応に迫られるIT部門も多いと思います。どういった点に注意する必要がありますか？

　「内部統制を管理職に委ねるな」と言いたいですね。それをしてしまうと、自分の首を絞めることになります。だから、各職場の人間が参加する、仲間による改善提案として対策を行ってほしい。そのようにとらえないと、IT部門やCIOだけに任されてしまうことになりかねません。

　人間のやることですから、見直しを行ってできるだけ良い方向に修正していけばいい。これを追求して世界一になったのがトヨタですよね。事故を起こさない、不良品をラインに流さない、事故が起こったら個人責任を追及せずにラインのやり方を変えよう、と徹底的に業務改善してきた。内部統制というから言葉が良くないのですが、内部統制とは内部のコントロール（インターナルコントロール）です。内部にいる現場の人間がコントロールしていくものなのです。

　また経営者にお願いしたいのは、業務改善を業績として評価してほしい。売り上げや粗利率だけで評価するということは、粉飾を助長してしまうことになります。ぜひとも従業員評価に中・長期で見た業務改善という視点を織り込んでください。そして、営業部門だけでなく、それを支えるIT部門などもきちんと評価してほしい。

　映画のセリフではありませんが、事故は現場で起きます。現場の人間が事故を防げなければ、事故はなくなりません。現場の人が胸を張って対応できるようにしてあげてください。