ベネッセ「個人情報漏洩事件」から学ぶ“真の教訓”とは? 自社の改善に活かす「事例研究」4つのポイント
いかなる企業も、いまやコンプライアンスを遵守することは“世界標準”。そう認識していながら、日本ではいまだ古い価値観を振りかざし、組織や会社を貶める愚行を働く企業人が絶滅することはない。
本連載では、現場でそうした数々の愚行を目にしてきた危機管理・人材育成の4人のプロフェッショナルが、事例を交えながら問題行動を指摘し、警告する。
第7回は、経営コンサルタント・産業カウンセラーでマネジメント教育の講師も務める組織運営のプロ・角渕渉氏が、他社の不祥事事例の研究を有益にするためのスタンスを指南する。(【第6回】)
プロ野球名監督の故野村克也氏は、「勝ちに不思議の勝ちあり、負けに不思議の負けなし。」という名言を残した。
企業不祥事はまさに負け事例であり、失敗事例である。失敗からは多くのことを学ばなければならないが、コンプライアンス問題に関しては自社の失敗からは学びたくない。ことの性質上、自社の失敗から何かを学べたとしても、それを活かす機会が自社に与えられるかどうか、保証の限りではないからだ。
よってコンプライアンス経営ではひと様の失敗から学ばせていただくこと、すなわち事例研究が大切になる。
事例研究を無意味にしてしまう悪しきスタンス
コンプライアンス研修の打ち合わせで、「理屈はいいから、事例の話を聞かせてください。」というご要望をいただくことがある。理屈の話は退屈なので事例で興味を持たせ、受講者を眠らせないでほしいということだが、問題はそのやり方だ。
不祥事事例から教訓を導き出すためには深い分析が必要となる。原因理解のためには当該企業の事業特性や組織文化、事件当時の状況などまで詳しく調べる必要がある。そういうと「いや、そこまでの解説は不要です。受講者をドキッとさせて欲しいんです。」といった話に落ち着くのだが、はたしてそれで何かを学べるのであろうか…。
たとえば「個人情報を漏洩させた企業が〇億円の損失を被った」という話を聞いて、何を学ぶのだろうか。「個人情報保護が大切だ」というようなことは、その事件の前からわかりきった話だ。むしろそんなことに事件を見て初めて気づくとすれば、その認識の方が問題だ。こんな表面をなでるだけの事例研究ではなんの意味もない。
では、意味のある事例研究とはどんなものなのか。例えば事例の分析から自社の管理の仕組みの欠陥に気づき、どこを改善すべきかを明らかにすることである。だとすれは上にあげたような事例研究ではなにも得られない。
口の悪い言い方になるが、私は先に述べたような事例研究のことを「体のいい暇つぶし」と呼んでいる。講師の語る「お話」を漫然と聞き、それで何かを学んだ気分になるのだが、実は何も学べていない…。
事例研究で重要な4つのポイント
事例研究をする以上、自社の改善に向けたヒントが得られなければならない。そのためには①「なぜこの問題が起きたのか」、という発生メカニズムを明らかにする必要がある。これはかなりの手間を要する分析になる。そして、②「そのメカニズムが自社に作用する恐れはないのか」。③「その結果、何が起きるのか」。さらに④「それを防ぐためにどのような手を打つ必要があるのか」を考えなければならない。
そうなると「不祥事の可能性」などという考えたくもないことを考えなければならなくなる。これでは受講者は「勘弁してくれ」という気持ちになるだろう。意味のある事例研究とは本来辛いものなのである。決してお話会ではすまないのだ。
ベネッセ事件でみる事例研究の着眼点
ここからは、多くの人が被害にあった事例としてベネッセの個人情報漏洩事件を題材に、事例研究の着眼点をみてみよう(以下、同社の調査結果報告を参考に記述)。多くの人がこの事件から個人情報漏洩事件の怖さを学んだと答えるだろう。それも間違いとはいわないが、この事件の真の教訓はそれとは別のところにある。
まず、数千万件という膨大な個人情報を保有している企業であるため、情報セキュリティに関してはカタログスペック的には非常に完成度の高い仕組みが整備されていた。情報管理教育もしっかり行われていた。しかしそれでも前代未聞の事件は起きた。
ここからなにが学べるのか。それは「仕組みを作って安心してはいけない」ということだ。たとえば個人情報への不正アクセスに対するアラート(警報)システムが導入されていたものの、その対象範囲が明確でなく、一部に抜け穴が存在した。高度な仕組みを導入しても運用面で不備が生じることはよくある話だ。
ベネッセの場合、個人情報漏洩が生じたが、同じようなメカニズムが食品を扱う会社に作用すればどうだろう。製品への異物混入が可燃物を扱う会社なら爆発事故につながる可能性を考えるきっかけになるかもしれない。
また、同社役員の性善説的な経営姿勢も問題視されている。社員を信頼することは経営の基本。だが、個人情報を管理する仕組みまで性善説で構築してはならない。念には念を入れなければ、常にまさかは起こり得るからだ。
自社の仕組みだからと、「まさかうちの社員がこんなことをするはずはない」という脇の甘さを感じる要素が存在していないか。仲間を疑うようで気が進まないとしても、不祥事が起こってからでは遅い。心を鬼にしてでも、ここは妥協せずにチェックすることも大切だ。
ベネッセ事件の報告書には、他にも数多くのメカニズムが取り上げられている。そこに着目すれば、「わが社の問題」に置き換えて教訓とすべき要素も見いだせるはずである。
最後に重要な点として、事例研究は決して企業批判ではないということである。そもそも、どの会社も不祥事を起こそうなどとは思ってはいない。その意味ではむしろ、貴重な教訓をくれた企業に感謝しつつ、分析させてもらうくらいの姿勢で臨みたいものだ。言うまでもないが、コンプライアンス違反を容認するということとは別次元の話だ。
【続】
- この記事は、公開日時点の情報や法律に基づいて執筆しております。
関連ニュース
-
日本航空機「奇跡の全員脱出」客室乗務員の“勇気ある決断”を生んだ、「リスク対策」への徹底した意識とは
2024年02月08日 10:29
-
「ゆるすぎる」ホワイト企業を若手が辞めていく原因 上司が見落としがちな「認識のずれ」とは?
2024年01月25日 10:25
-
否定せず、強要せず… 2024年“躍動”企業になるために意識すべき「キーワード」
2024年01月08日 09:09