SPNの眼
皆さま、新年明けましておめでとうございます。
前回に引き続き2015年を振り返って、2016年の自立的・自律的なリスク管理の視点から「労務管理の方向性と対策」「情報管理の方向性と対策」についてお話ししたいと思います。
1.労務管理の方向性と対策
少子高齢化社会の本格的な到来と急激な進展を踏まえて、今後ますます人材の確保・流動化・多様化への対応が重要となっていることは皆さまもご認識の通りです。
労働関連法制度や社会の動向・方向性として、まずは、女性の積極的な登用に代表されますが、M字カーブの緩和(妊娠・出産・育児と仕事の両立)、身障者の雇用、外国人の採用、介護と仕事の両立(介護をしなければならない社員の増加への対応)など、正に「人材そのものの多様性」への対応を実務レベルで迫られることになります。
また、フレックスタイム制・裁量労働制の見直し、朝型勤務や在宅勤務の拡大など「働き方の柔軟性」への対応、長時間労働抑制(最近、36協定違反を摘発する動きが本格化しています)や健康管理措置(先日始まったストレスチェックなどが代表的ですが、最近は、「健康経営」を標榜する先進的な企業も増えています)、従来からさらに深刻化するメンタルヘルスケアやハラスメントなど「ワークライフ・バランスの追求」と「規制自体の厳格化・運用の厳格化」への対応、インターネットやSNSによって急速にすすむ「ブラック風評」との戦いや内部告発の活発化などに伴うクライシスラインの低下への対応などは正に「迅速性」が要求されてもいます。
このような方向性のうち、企業としては、とりわけ「厳格化」や「迅速性」への対応として、従来以上に、社内外の目による「監査」を強化していくことは必須の取組みだと言えます。
また、「人材そのものの多様性」や「働き方の柔軟性」への対応は、別の見方をすれば、常識も価値観も異なる人材を内に抱えることになるため、組織内におけるコンフリクト(衝突や競争等)に適切に対応することがこれまで以上に重要となりますし、それはとりもなおさず管理職の質的な向上が求められることにもなります。
さらに、そのような多様性は、新たなリスクの発現(例えば、人種差別的な発言などこれまでの日本的な組織では発生しなかった問題が新しく発生するかもしれません)やそれに対する対応も多様化しますし、その成否が企業のレピュテーションにまで影響が及ぶなど、その結果の重要性も増すことになります。
特に2015年は、過重労働撲滅特別対策班(通称かとく)が発足したことにより、長時間労働に対する処分の厳格化が進められ、慣習化した働き方や社員の意識の改革のみならず、「ブラック企業」と評されるレピュテーションリスクも含め、一言で言えば「ビジネスモデルの見直し」さえも迫られる状況になっています。したがって、労務コンプライアンスは、今まさに、経営陣を含めた全社的・抜本的な対応が必要な、深刻なリスクとなっているのです。
ある事例で考えてみましょう。
事例
過重労働が原因でメンタル不調を発症し社員が自殺、遺族の申し立てで労災認定されたうえ、会社に対して損害賠償請求が提起された
この事例の場合は、
- 人事部門はタイムカードで労働時間を把握していたが、事案が発生してはじめて、打刻時間と勤務実態の間に大きな乖離があり、自宅での持ち帰り作業が膨大な時間であったことが判明した(労働時間の実態を正確に把握されていなかった)
- メンタル不調の発症時に、所属部門は形式的な面談のみで、過重労働の実態を放置、業務内容改善等をしていなかった
- メンタル不調者に対する対応や会社支援策等について、管理職等に対する研究・教育を実施していなかった(専門家に対応を依頼する発想が現場になかった)
- 見かねた同僚から内部通報があったが、本人からの通報ではないとして踏み込んだ対応をしなかった
- 内部監査部門においては、管理職からのヒヤリングや人事部門の資料等での確認のみで、実態まで踏み込んでいなかった。
等の問題が散見されたのです。
組織が大きくなればなるほど担当部門ごとに業務が細分化され、その結果、人事部門、営業部門、内部通報部門、監査部門等がそれぞれに分担された役割をある程度果たしているものの、その部門間の正確な情報共有と、組織としての統一した見極めや対応が出来ていない状況(部分最適・全体不適)が、多くの企業において見受けられるのです。
実際に当社の行った高い匿名性を有するWEBアンケートにより、多くの企業に対して「労務コンプライアンスに関して、社内のどの部署・部門がどのような役割と業務対策を行うべきか」について質問してみたところ、各部署がそれぞれ自分たちが担当すべきであると回答するものや、それは自分の部署の担当分野ではないとしてポッカリ担当部門が不明確になっていたり、担当責任が不明確になっているところが多く見られるという結果が導かれたケースもありました。
つまり各部門が労務コンプライアンスに関して、「共通の事実認識」と「正確な情報共有」、「統一的・組織的な運用」が上手く機能せず、むしろマヒしてしまっているのではないかということです。
これは、単に労務コンプライアンスだけに限らず、企業内で発生するミドルクライシス(若干の危機)に対して、いかに各部門が全社的な視点・統一的な意識を持ち、組織的に対応することが重要であるかを示しています。
このようなことをふまえれば、今後の労務コンプライアンスのあり方として、次の4点に留意する必要があると言えます。
- 組織内に散在している情報を速やかに共有、連携した対応(事案の全体像の把握)
- 全社的・組織的な対応(説明責任を果たすため)
- 現場の実態は、会社から「見えにくい」という認識と性悪説的なアプローチなくして正確な把握は難しい(社外の第三者を利用した実態把握も有効)
- 現場の実態改善、リスク情報の集約のために管理職はもとより社員への研修・教育が重要
また、昨年施行された労働安全衛生法に基づく「ストレスチェック制度」については、開始にあたってストレスチェックを行う本来の目的等についてしっかりとした社内研修等を実施する必要があります。
正直ものがバカを見ない(本来ストレスによりうつ病等を発症する人は、自分に厳しく責任感が強く、自分で抱え込んでしまう人が大半だと言われています)ように、偽陽性(自分の不平・不満をただぶつけてストレスとするような人)と混同しないようにすることや、会社側にとっては、職場環境の改善等の安全配慮義務を適正に行うためのものであると同時に、そもそも、社員においては、自分で健康管理を行い労働を提供する義務が存在することを再認識してらうことも必要です。
ストレスチェック制度のような新たな仕組みの導入においては、導入時点における各部門・各位への落とし込みの精度・徹底度合いが、制度そのものの有効性や、有害または形骸化したものになるかを左右する極めて大きな分かれ目になると思います。
2. 情報管理の方向性と対策
2016年からマイナンバー制度が本格的に動き始める中、情報管理分野に関しては、
- 個人情報保護法改正(ビックデータの活用と管理部門の強化)
- 個人情報保護法ガイドラインの改正(経済産業分野は2014年12月に改訂)
- 不正競争防止法改正に伴う企業秘密流失防止と罰則強化等
等の法改正が大きなイシューとなったほか、民間認証制度(Pマーク、ISMS)の見直し対応や激化するサイバー攻撃等への対応、そのひとつとして、新しい行政組織としての政府CIO(司令塔的存在として政府情報統括責任者(CIO)職を内閣府に新設)や、企業に対してはサイバーセキュリティーガイドラインにより、緊急対策チーム(CSIRT)を設けて対応するなど、有価証券報告書へセキュリティー対策状況の記述を義務付け、経営トップと同等の権限を有する最高情報セキュリティー責任者(CISO)を置くことなどが求められています。
このように、情報管理に対するリスク環境はIT化の進展、ユビキタス化、IoT化により、利便性が向上するのに伴い、今まで以上の高い情報リテラシーが求められるようになっており、それらの情報を利用する(利益を享受する)裏返しとして、強い自己責任の意識を持たなければなりません。
また、自動化・電子化・IT化により、手間が減る分、記憶力や注意力も低下したり、よくあるケースとして・・・私もそうですが・・・経営陣が「私はアナログだから」と言って情報を利用するについての厳守しなければならない事項等を苦手として、一部の専門職・部署に依存し、その担当者が大丈夫と言っていることを鵜呑みにしていることがあります。もちろん専門職・部署がいい加減なことをやっているという意味ではなく、「運営は任せても管理・マネジメントは経営陣が行わなければならない」ということを常に肝に銘じておくべきということです。これは、過去の情報漏えい等の事例からも明らかであり、情報等の委託先管理についても、経営陣の善管注意義務違反を指摘されるのが現在の社会の要請レベルであることを再認識する必要があります。
また、さらに今後、情報が散らばっていると不便だとして、ますます集約・一本化されることが予想されます。また、ビックデータ化やネットワーク連携などで統一化・巨大化されていくことになることは明白です。その結果、事故時の被害規模も急激に拡大するということになります。
システム・ハード面の管理は、これまでの性善説的管理をなくして性悪説に徹してリスクを徹底的に排除していく一方で、「人」に起因するリスクに対しては、(あまりに性悪説的に過ぎる管理=べからずコンプライアンスでは隠ぺいや不作為が発生しやすいことをふまえ)性善説的要素も勘案しながら、研修・教育等を通じて情報の管理・取扱いについてのリスクを認識させることなど、ソフト・ハードともに両輪として取り組むことが重要です。
もう一つ、サイバー攻撃を仕掛けてくる相手の手口を知ることも重要なポイントです。
しかし、その手口を、例えば当社のメルマガ等によって熟知していたとしても、リスク管理担当者や担当部門・システム部門の人達だけが知っていたとしても、実際に情報を多く取り扱う他の部門の人達に対して、最新の手口等についての情報提供や研修・教育まで手が回っていないのではあまり有効だとは言えません。残念ながらそのようなケースが多く見受けられることから、リスク管理担当者等は自らが知り得た、巧妙化する各種標的型攻撃メール等について社内で情報共有し、全社的に意識を高めてもらうことこそ必要不可欠です。
また、サイバー攻撃等は攻撃側が圧倒的に有利だと言われています。攻撃を完全に防ぐことはまず出来ないと考え、攻撃を受けた時、又はウィルス感染したかもしれないと思った時に取らなければならない初動対応(インターネット接続を物理的に遮断、電源切断、担当部署への速報等)についても教育・研修を行い、二次被害や拡散防止対策も忘れはいけません。
実際に自社で使っているドメインを利用して巧妙に偽装した偽メールを使って対応状況を確認したことがありますが、当該メールを開けてしまった後、正しい対応を行い、担当部署に速報した人はごくわずかで、大半の人は標的型メールを開いてしまったことすら認識せず、そのままの状態が続いていたという結果になっています。
場合によっては、このような訓練を通じて危機管理意識の啓蒙・訓練を行うことや、現場での実態を見るための外部の第三者による監査等も、初動対応の実効性を高めるためには有効だと思います。