BPMで考慮すべきコンプライアンス対応とは？：一問一答式：BPM実践テクニック（6）（1/2 ページ）

続発する企業の不祥事から「コンプライアンス」に対して注目が集まっている。BPMの仕組みを構築するうえでコンプライアンスは欠かすことのできない重要要素だ。今回はBPM導入におけるコンプライアンス対応のポイントについて解説する

[林計寿，アルティマスジャパン株式会社]

圧力の高まるコンプライアンス

　前回はBPM（ビジネスプロセス・マネジメント）の導入に当たってのコツについて触れました。実際の導入に当たっては、さらに導入する企業のポリシーと矛盾が起きないように導入しなければなりません。

　そんな中、昨今では企業はコンプライアンス（法令遵守）へのさまざまな対応を求められており、それを無視してはBPMも導入できません。今回はBPMの導入におけるコンプライアンス対応への考慮事項に触れていきます。

　2005年4月から「個人情報保護法」や「e-文書法」が施行され、また米国の企業改革法（SOX法）に対応して、不祥事防止のために日々の業務内容や意思決定などを文書化・監査する制度を義務付ける証券取引法の改正（2008年3月期から施行ともいわれる）が検討されるなど、企業のビジネスプロセスや情報に対する整備・管理への規制は強まってきています。

　BPMでは、ビジネスプロセスの流れに添って企業の重要な情報がやりとりされるわけですから、情報漏えいだけではなくコンプライアンスへの対応を十分に考慮しておく必要が出てくるわけです。特に上場企業の場合には遵守すべき法定事項が増えるので、よりいっそう慎重に対応する必要があります。

重要データの種類とその流れ

　まずは、どのような情報に対して考慮が必要か例を洗い出してみましょう。

• 個人情報（個人の特定ができるような情報）
• 企業機密情報（売り上げデータや顧客情報だけでなく、戦略やディスクロージャ前のマーケティングデータなど）
• 会計上の承認の記録（一般的な処理手続きの承認記録から、CEO／CFOの財務諸表の承認記録まで）
• 内部統制上の承認の記録上の承認の記録
• 電子メールデータの情報
• アクセスログ

など、挙げだすとキリがありません（企業内でコンプライアンスの対応施策を担当する部署が、対応情報の洗い出し作業だけで何カ月もかかるという話もうなずけます）。

　これらの情報が、BPMのプロセスの中でどのような形で流れていくのか把握する必要があります。プロセスの流れがその企業内だけでなく、関係企業やグループ会社や顧客先にも及ぶ場合は要注意です。

　個人情報など外部へ漏えいしてはいけないデータを電子データとしてプロセスに流す場合には、（もちろんデータ漏えい自体問題ですが）万が一、データが漏れた場合にも情報としては第三者に認識されないような仕組みを、暗号化などの技術を利用して構築することを検討する必要があります。