第2回 情報漏えいに備えた社内体制の整備：個人情報が流出 有事のときの危機管理（2/4 ページ）

[丸山満彦，ITmedia]

1．危機管理委員会の設置

　顧客情報が大量に漏えいした場面をイメージしてほしい。場合によっては、多額の損害賠償を行わなければならなくなし、企業ブランドに傷が付くこともある。さらに、漏えい事故後の顧客対応を誤るとさらにその損害が拡大するのは明白である。まさに、企業の長期、短期の業績に多大な影響を及ぼす危機といえる。

　このような大量の漏えい事件は、情報システム部門だけで解決できる問題ではなく、組織のさまざまな部門が調整・連携しながら、迅速かつ適切に対応しなければならない。漏えい時に関係する組織としては、法務部門、広報部門、営業部門などが考えられる。部門横断的な調整・連携が必要で、かつ、その活動は通常の業務に優先して行わなければならない。

　このような活動は、通常の組織の指示命令や報告系統の中で行うのは困難であり、社長などの経営層直轄の組織の下で行うことになる。個人情報の漏えいにとどまらず、組織が危機に面した時に全社的な対応を行う組織として、危機管理委員会などの組織を作っている企業が多い。このような緊急対応組織がなければ、危機管理委員会設置規則などの規程・規則を整備し、危機管理委員会を組織しておくことを検討する必要がある。

　通常、危機管理委員会は、最高意思決定役員（CEO、社長）または業務全般を統括する役員（COO、副社長、専務など）がトップになり、主要な部門の責任者から構成される。企業が直面するあらゆる危機を迅速かつ適切に対応するためである。主要な部門の責任者には、管理担当役員、営業担当役員、経営企画、内部監査部門の担当役員なども加わるのが通常であり、管理部門（総務部、広報部、法務部、財務・経理部、情報システム部門）の長も構成メンバーとなる必要がある。

図3■危機管理委員会メンバー例

2．危機管理委員会の役割

　危機管理委員会の役割は、あらゆる企業の危機（例えば、地震、火災などの自然災害やテロ、企業や社員の不祥事、社長などの不慮の事故など）に迅速かつ適切に対応し、リスク顕在化の損害を最小限に押さえ、早期の復旧を果たすことを支援することである。そういった意味では、危機管理委員会が本領を発揮するのは、まさに危機発生時である。そのため、危機発生時のみ危機管理委員会を召集し、開催する企業もある。

　しかし本来、危機管理委員会は、定例的に会合を開催するべきである。企業が直面している重大なリスクについて経営者の意識と知識の共有が図れるからである。この重要性は、個人情報の漏えいのリスクについて意識と知識がない中で、個人情報が漏えいした状況を想定すればよく分かると思う。事の重大さの認識が遅れれば、危機管理委員会の招集自体が遅れる可能性もある。危機対応の重大なポイントの一つが早期対応であることを考えれば、日頃からの経営層による危機意識、知識を共有する重要性が分かるだろう。

　危機管理委員会の位置付けとしては、企業が直面している重大なリスクについての意識と知識の共有を図り、対応方針の確認を行う諮問委員会方式と、意思決定まで行う意思決定機関方針があるが、それぞれの企業のほかのマネジメント機能とのバランスを考えて決めることが望ましい。危機管理委員会では、それぞれのメンバーが業務の中で識別し、把握した重大なリスク（法改正なども含む）についての意識と知識の共有を図り、対応方針の確認（または決定）を行うこと、リスクの対応状況の確認などを行うことになる。

マニュアルの整備