記事 個人情報保護・マイナンバー リクナビ問題でスルーされがちな「提供を受けていた企業側の問題」 リクナビ問題でスルーされがちな「提供を受けていた企業側の問題」 2019/08/16 リクルートキャリアは8月1日、『リクナビDMPフォロー』のサービスの中で、サイトの行動履歴などを基に計算した内定者個人の内定辞退率を、学生の同意が不十分なまま採用企業側に提供していたと発表、8月5日には当該サービスを廃止した。問題の概要は以上だが、抜けている視点がある。「情報提供を受けていた企業」についてだ。リクルートはどうやって個人の内定情報を得ていたのか?
記事 個人情報保護・マイナンバー 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 公取委の狙いはGAFA…ではなく国内企業? データ独占企業へ介入可能に 2019/07/29 公正取引委員会が企業の個人情報収集に対して新しいガイドラインを策定した。独占禁止法の「優越的地位の乱用」の適用範囲を個人情報取得にも広げ、違反した企業にペナルティが課される。この方針は、GAFAによるデータ独占を是正し、国内IT企業にも公正なビジネスチャンスを与える狙いがあるといわれているが、実態はそう単純な話ではない。
記事 コンプライアンス総論 【炎上リスク】社長の失言・退職ブログ・バイトテロ…効果的な対策はあるのか? 【炎上リスク】社長の失言・退職ブログ・バイトテロ…効果的な対策はあるのか? 2019/05/31 とある出版社ではカリスマ社長のツイートが炎上し、火消しに追われている。従業員が悪ふざけ動画をSNSに公開する「バイトテロ」もいまだに繰り返される。クリエイターと代理店が知恵を絞ったCMすら、差別や人権侵害を助長しているとネットで批判を浴びる──現代の企業にとって、炎上問題は潜在的なリスクとして無視できないものになっている。対応ソリューションやサービス、演習やセミナーなど、関連市場も広がってきているが、実際に効果的な対策はあるのだろうか。
記事 製造業界 ガラパゴス化する日産、グローバル化するトヨタ ガラパゴス化する日産、グローバル化するトヨタ 2019/04/09 日産自動車のガバナンスについて検討してきた「ガバナンス改善特別委員会」が、カルロス・ゴーン前会長の辞任以来、空席が続いていた会長職を廃止するよう提言する報告書をまとめた。権限集中による不正行為を防ぐためというのがその理由だが、「会長がルノーから派遣されることを避けたい」という意図があることは明白である。資本構成の見直しを行わず、名目上の役職だけを変えるというのは、典型的な日本型企業のやり方といって良いだろう。
記事 コンプライアンス総論 「文書電子化」最強マニュアル、元 国税庁の税理士が答える10問10答 「文書電子化」最強マニュアル、元 国税庁の税理士が答える10問10答 2019/02/20 2015年に電子帳簿保存法の要件が緩和されたことがきっかけとなり、国税関係書類のスキャナ保存の申請数が爆発的に増えている。とはいえ、明確な目的を持たずに、単に紙を電子化して保存するだけでは、うまくいかないケースも多いという。そこで、国税局OBで電子帳簿保存法のエキスパートである袖山喜久造 氏に、スキャナ保存の法的要件や、電子化の際に注意すべき点、システム導入時のベンダー選定の決め手など、文書電子化について1問1答形式で回答してもらった。
記事 製造業界 ルノー新体制発表で、日産の経営陣が晒した「弱点」 ルノー新体制発表で、日産の経営陣が晒した「弱点」 2019/01/28 逮捕後もルノー会長に残留していたカルロス・ゴーン氏が会長職からの退任を決めたことで、ルノーと日産の協議が本格化することになった。日産はこれまでかたくなに株主総会の開催要求を退けてきたが、ゴーン氏が退任したことで、一転して総会の開催要求に応じることになった。日産の態度急変は、同社経営陣にとって、統合に舵を切ったゴーン氏の排除と現状維持が最優先事項だったことを如実に示しているが、これは今後のルノーとの交渉において不利な材料となるだろう。
記事 ID・アクセス管理・認証 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 【事例】ヤマハ発動機は、クラウド化したサーバの「特権ID管理」をどう刷新したか? 2019/01/17 二輪車やボート・船外機、産業用ロボットなど、多様な事業を展開するヤマハ発動機。同社ではBCP対策をきっかけにクラウドの利用が増える中で、特権ID管理を始めとするITインフラ統制をどのように継続していくかが課題だった。今後も進化していくITシステムのデザインを阻害しないために、同社が選んだ特権ID管理ソリューションとは?
記事 コンテンツ・エンタメ・文化芸能・スポーツ 【2019GAFA展望】受難の[F](フェイスブック)、だが将来への種はまいた 【2019GAFA展望】受難の[F](フェイスブック)、だが将来への種はまいた 2018/12/25 頭文字をとってGAFAとも呼ばれる米テクノロジー大手4社のグーグル、アップル、フェイスブック、アマゾンにとって、2018年は社会やユーザーとのつながりにおいて「激動」「転換点」と形容することがふさわしい1年であった。そこで、GAFA各社の2018年中の施策や変化、出来事を総括しながら、2019年の同社の行方を展望していきたい。1社目は、ジェットコースターのような下降や上昇を繰り返し、全体的には“ひどい受難の年”となったフェイスブックだ。
記事 ガバナンス・内部統制・不正対策 海外進出における重要点、子会社の不正リスクを根元から断つ方法はあるのか? 海外進出における重要点、子会社の不正リスクを根元から断つ方法はあるのか? 2018/08/31 海外子会社や孫会社を持つ企業の不正事例が後を絶たない。親会社に比べると事業規模が小さかったり、不正額そのものが少ないことも多いため表沙汰になりにくいものの、不正会計の修正に伴う損金処理や横領などで億単位の損失を計上するケースもある。すでに積極的に海外への進出を果たしている中堅成長企業についてはもちろんのこと、これから海外進出を検討している新興成長企業や、IPOを目指すスタートアップにとっても子会社の不正リスクは決して軽視できないものだ。しかし、リスクヘッジのための有効なガバナンスの構築、適用の具体的な方法論については、各社試行錯誤を繰り返しているのが現状だ。
記事 IT戦略・IT投資・DX いつまで経っても「コストセンター」?情シス改革の“はじめの一歩”とは何か いつまで経っても「コストセンター」?情シス改革の“はじめの一歩”とは何か 2018/08/21 20年来、企業の情報システム部門(情シス)は、コストセンターからプロフィットセンターへの転換が叫ばれてきた。情シスというと、業務システムの運用・保守を中心とする守りの部門とみなされることが多く、いまでは厳しい見方さえある風潮だ。そこで経営側は、積極的に利益を生み出せる「攻めの情シス」への転換を求めているが、一方でその改革は遅々として進まないというジレンマもある。
記事 グローバル・地政学・国際情勢 海外子会社はどう管理すればいい? なぜ「不正の温床」になるのか 海外子会社はどう管理すればいい? なぜ「不正の温床」になるのか 2018/07/30 2017年2月、東芝は7000億円以上もの特別損失を発表した。この巨額損失の原因をつくったのが、同社米子会社のウェスティングハウス社である。海外進出している日本企業が増えているが、実際は現地のリスクを十分に把握できていないケースも多く、不正経理による横領、パワハラ・セクハラ・不当解雇などは大きな問題になっている。もちろん、リスクを恐れていてはリターンを得られない。リスクをどう許容し、どう転嫁していくのか。チューリッヒ保険会社 企業保険事業本部本部長の大谷和久氏に海外子会社管理の勘所を聞いた。
記事 国際法・国際標準化 パーソナルデータとは何か? 個人情報との違いや定義を解説する パーソナルデータとは何か? 個人情報との違いや定義を解説する 2018/07/24 近年、金融、情報通信をはじめあらゆるビジネス分野で、ビッグデータの利活用についての検討が進められています。「パーソナルデータ」という用語はこうしたデータ活用の促進の文脈の中で比較的幅広い概念で用いられています。そこで、本稿ではパーソナルデータについて、いわゆる個人情報との違いや、今後のビッグデータとしての利活用に向けた展望について解説します。
記事 ガバナンス・内部統制・不正対策 GRCツール導入・比較のポイント解説 現場で「本当によくある」問題とは GRCツール導入・比較のポイント解説 現場で「本当によくある」問題とは 2018/06/15 ビジネスを取り巻くGRC(ガバナンス・リスク・コンプライアンス)への適切な対応が求められる昨今、どういう場合にどのように判断してGRCツールを選ぶべきだろうか。本記事ではGRCツール選定のポイントについてお伝えしたい。これは、「経営層」と「部・課長層」の両方からよく聞かれる質問なので、それぞれの層に分けてポイントを記載する。なお、文中の意見に関する記述は筆者の私見であり、所属する法人などの公式見解ではないことを、あらかじめご了解いただきたい。
記事 コンプライアンス総論 日大アメフト問題はオリンパスや東芝と同じだ 日本型組織にひそむ「病理」 日大アメフト問題はオリンパスや東芝と同じだ 日本型組織にひそむ「病理」 2018/05/29 アメリカンフットボールの悪質な反則タックルが波紋を呼んでいるが、この問題は、単にスポーツ界だけにとどまらない。以前から何度も議論されてきたにもかかわらず、一向に改善しない日本型組織における本質的な病理といってよいだろう。日本企業がしっかりとしたコーポレートガバナンスを確立できないこととも密接な関係がある。
記事 国際法・国際標準化 GDPR(EU一般データ保護規則)とは何か? 概要と対応方法をわかりやすく解説する GDPR(EU一般データ保護規則)とは何か? 概要と対応方法をわかりやすく解説する 2018/04/06 GDPR(EU一般データ保護規則)は、日本を含むEU域外の企業にも広く影響があり、また、違反時の制裁金が高額なため、GDPR対応を検討する日本企業は増えています。GDPR対応においては、まず「GDPRで保護されるべき個人データとは何か」「同データの取り扱いがある場合、日本企業にどういった影響があるのか」「影響がある場合、企業として対応すべきことは何か」を見極めることが重要です。本稿では「GDPRとは何か」を説明するとともに、企業が対応する方法と注意すべきポイントを紹介します。
記事 ガバナンス・内部統制・不正対策 GRCとは何か? トーマツが基礎から解説するGRCツール導入の方法 GRCとは何か? トーマツが基礎から解説するGRCツール導入の方法 2018/03/19 グローバル展開や新規ビジネス進出という企業戦略を着実に遂行するには、同時にGRC(ガバナンス・リスク・コンプライアンス)の高度化も求められる。GRCの高度化をインフラとして支援するのがGRCツールだ。筆者は2008年からコンサルタントとしてGRCツールの導入に携わり、多くの企業のGRCツール導入を支援してきた。本稿では、これらの経験を基に、日本企業や海外グローバル企業のGRCツールの活用事例を中心にGRCツールの現在のトレンドについて紹介したい。なお、文中意見に関する記述は筆者の私見であり、所属する法人などの公式見解ではないことを、あらかじめご了解いただきたい。
記事 リーダーシップ 「裸の王様マネージャー」が組織に絶望を蔓延させる 「裸の王様マネージャー」が組織に絶望を蔓延させる 2017/12/28 挨拶の仕方から口癖。取引先との折衝における交渉スタイル。トラブルが発生したときに、重要視するポイントや初動対応の流儀。同じ企業に属する人々は、部門や階層が違っていても、何かしら似た特徴を備えているものだ。とはいえ、実際に実現したい「企業バリュー」と、実際に定着している企業カルチャーにギャップがあり、「どうすればいいカルチャーが根付くのか」と悩む経営者、マネージャーは多い。その問題を解く鍵は、「上長の言動」と部下の「絶望の学習」にある。
記事 ガバナンス・内部統制・不正対策 取締役会の役割とは何か、今後はリスクとリターンの整合性が重要に 取締役会の役割とは何か、今後はリスクとリターンの整合性が重要に 2017/12/11 企業を適正に経営するための「コーポレートガバナンス」。その実効性を高め、企業の“稼ぐ力”をつけるため、日本で「コーポレートガバナンス・コード」が導入されてから2年以上が経過した。上場企業のコーポレートガバナンス・コード導入は、形の上では進んでいるが、中身の運用については「道半ば」。日本企業の稼ぐ力も、十分にはついていないのが実情のようだ。とりわけ、コーポレートガバナンスのカギを握っている取締役会に着目し、コーポレートガバナンス・コードによる改革がどこまで伸展しているのか、どんな課題があるのか。KPMGコンサルティング パートナーの林拓矢氏が解説した。
記事 個人情報保護・マイナンバー エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影 2017/10/11 米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。
記事 ガバナンス・内部統制・不正対策 コーポレートガバナンス・コードとは何か? 粉飾決算を防ぐにはどうすればいいのか? コーポレートガバナンス・コードとは何か? 粉飾決算を防ぐにはどうすればいいのか? 2017/04/06 話題を集めた東芝に限らず、上場企業の「不適切な会計・経理」が相次いでいる。東京商工リサーチの調査によれば、2016年に「不適切な会計・経理」を開示した上場企業は57社で、2008年以降過去最多を記録した。コンプライアンス体制・意識の欠如、従業員への過度なノルマなどの原因もあるが、監視体制の強化や厳格な運用が求められる企業会計についていけず、処理の誤りにより生じたケースもあったという。一連のガバナンス強化要請の背景には、日本企業の国際的な評価を高め、海外からの投資を促進する狙いがある。そこで2015年6月に金融庁、東京証券取引所が肝煎りとなって策定し、上場企業はその遵守を求められているのが「コーポレートガバナンス・コード」だ(2017年12月5日一部更新)。
記事 セキュリティ総論 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 改正個人情報保護法からEU一般データ保護規則まで、日本企業のセキュリティ対策状況は 2017/03/27 日本情報経済社会推進協会(以下、JIPDEC)とアイ・ティ・アール(以下、ITR)は27日、国内企業653社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2017」の結果を発表した。日本企業におけるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2017年5月に全面施行となる改正個人情報保護法やEU域内居住者の個人情報の域外への移転を制限する「EU一般データ保護規則(GDPR)」への対応状況、働き方改革とセキュリティ対策の関係性などを紹介しよう。
記事 ガバナンス・内部統制・不正対策 消費者庁 大友氏が解説、「内部通報制度ガイドライン」大幅改正のポイントとは? 消費者庁 大友氏が解説、「内部通報制度ガイドライン」大幅改正のポイントとは? 2017/03/06 公益通報者保護法に基づき、多くの企業で「内部通報制度」を構築、運用していることだろう。しかし、昨今の企業不祥事を見ても「内部に通報しても十分に対応してくれない」「不利益を被る可能性がある」ことを理由に、外部に通報するケースは依然として多く、内部通報制度が形骸化しているのではとの懸念の声があるのも事実だ。こうした背景をもとに、11年ぶりに改正されたのが「公益通報者保護法に関する民間事業者向けガイドライン」だ。公益通報者保護法を管轄する消費者庁 消費者制度課 総括補佐の大友 伸幸 氏がガイドラインの要点について解説した。
記事 ガバナンス・内部統制・不正対策 日本企業の「内部通報窓口」が不十分な理由、どうすれば有効に機能するのか 日本企業の「内部通報窓口」が不十分な理由、どうすれば有効に機能するのか 2016/12/14 現在、ほとんどの日本企業が内部通報窓口を設けている。その目的は大きく3つで、不正の「発見と抑止」、従業員からの「相談」受付、万一の事件・事故に見舞われた時の「免責」だ。しかし、これらの目的に応じて窓口を分けている企業は極めて少ない。デロイト トーマツ リスクサービス シニアマネジャーの亀井将博氏は「3つは本来的に必要となる機能が異なるものだ。それを同じ内部通報の仕組みで行うのか」と疑問を呈する。今の企業に求められるのは、グローバルレベルで窓口を統合した上で、各種通報にもきめ細かく対応していくことのできる体制作りだ。
記事 コンプライアンス総論 公務員の情報セキュリティ不備「わざと」じゃなくても罰則のワケ 公務員の情報セキュリティ不備「わざと」じゃなくても罰則のワケ 2016/10/19 9月30日、国家公務員の人事行政を行う人事院が「懲戒処分の指針について」というガイドラインの改正を行ったことを発表した。この改正では、公務員が必要な情報セキュリティに関する対策を怠った場合、停職や減給など懲戒処分の対象となることが新しく明記された。たとえ「わざと」でなくても、必要な対策を行わず情報を漏えいさせたり業務に支障が出たりした際にも懲戒処分されるという改正の意味と、民間企業への影響を考えてみたい。
記事 セキュリティ総論 杉本武重弁護士が解説、EU一般データ保護規則の内容とその対応策 杉本武重弁護士が解説、EU一般データ保護規則の内容とその対応策 2016/10/06 2016年4月、欧州議会において欧州連合(European Union: EU)の一般データ保護規則が採択され、2018年5月25日からの適用開始が予定されている。同規則では厳しい制裁金規定が設けられている。すなわち、違反企業には、当該企業グループの前事業年度の年間売上高の4%以下または2000万ユーロ以下のいずれか高い方の金額の制裁金が課せられるなどの可能性がある。したがって、今後、EUと経済取引を行っている日本企業には、今まで以上にEUの個人情報の取扱いにあたって、より厳格な取り組みが求められることになる。同規則の概要と対応策について、EU法に詳しいウィルマーヘイル法律事務所ブリュッセルオフィスの弁護士の杉本武重氏が解説した。
記事 個人情報保護・マイナンバー 板倉陽一郎弁護士が解説、改正個人情報保護法で日本はEUの十分性認定を受けられるのか 板倉陽一郎弁護士が解説、改正個人情報保護法で日本はEUの十分性認定を受けられるのか 2016/10/06 2015年9月、改正個人情報保護法が成立し、個人情報保護委員会の設置などその一部が、今年2016年頭から施行された。また、公的部門の改正法も、2016年5月に成立した。今回の法改正は、EUの「十分性認定」を受けることを見据えて行われた側面がある。改正個人情報保護法によって、日本はEUの十分性認定を受けられるようになるのか。ひかり総合法律事務所 弁護士の板倉陽一郎氏が解説する。
記事 個人情報保護・マイナンバー 改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ 改正個人情報保護法、EU一般データ保護規則対応(GDPR)への4ステップ 2016/10/06 EUでは現行のEUデータ保護指令に替わり、2018年5月から一般データ保護規則(GDPR)が施行される予定だ。一方我が国でも2015年9月に個人情報保護法が改正され、2年以内の施行が見込まれている。こうした2つの法改正に対応するために、日本企業は今からどのような準備を進めていけばいいのか。実務上、特に課題となる個人情報の越境移転について、デロイト トーマツ リスクサービス マネジャーの大場敏行氏が解説する。
記事 ID・アクセス管理・認証 「不正のトライアングル」を徹底理解!日本年金機構も狙われた「特権ID」の守り方 「不正のトライアングル」を徹底理解!日本年金機構も狙われた「特権ID」の守り方 2016/09/27 システム管理上必要不可欠な権限である「特権ID」は、あまりにも全能であるがゆえに、悪用されると企業を存亡の危機に陥れるリスクがある。実際、2015年5月に発生した日本年金機構の約125万件もの個人情報流出事件をはじめとして、特権ID奪取による大規模な情報漏えいは多発している。特権IDを守る上で重要なのは、外部からの標的型サイバー攻撃対策はもちろん、内部不正の予防が重要だ。今回は米国の犯罪学者であるD.R.クレッシー氏が導き出した「不正のトライアングル」理論を参考に、企業がとるべき内部不正対策を考えてみたい。
記事 標的型攻撃・ランサムウェア対策 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 多様化するサイバー攻撃の時代の「セキュリティ対策立案」で重視すべき4つのポイント 2016/08/24 昨今、標的型サイバー攻撃など、巧妙化・多様化する攻撃によって、企業の機密情報が盗まれる事件が多発している。このような事件を未然に防ぐために、いま企業のセキュリティ対策はどう変わらなければならないのか。デロイトトーマツ サイバーセキュリティ先端研究所の兼松孝行氏は、「従来型のセキュリティ対策だけでなく、より深化した対策の検討と工夫が必要になってきた」と指摘し、新たなサイバーセキュリティ対策立案のステップと検討のポイントについて明らかにした。
記事 セキュリティ総論 「セキュリティガバナンス」の構築を成功に導く7つのポイント 「セキュリティガバナンス」の構築を成功に導く7つのポイント 2016/08/24 サイバー攻撃の複雑化、セキュリティ関連の新たな法令・ガイドの策定などに呼応して、「経営目線で統括的なセキュリティ管理態勢を整備したい」というニーズが増えている。そこで登場するキーワードが「セキュリティガバナンス」だ。これは従来から存在するものの、いざ整備に取り組むと、完成形が初期イメージと異なる、または、そもそも計画段階で頓挫するなど、うまくいかず失敗した企業も多いのではないだろうか。効果的なセキュリティ対策には、まずセキュリティを統括するための「ガバナンス」の整備が重要である。デロイトトーマツ サイバーセキュリティ先端研究所の高橋宏之氏は、セキュリティガバナンスの整備を成功に導くための重要な検討ポイントとノウハウについて、過去の成功事例をベースに体系立てて解説した。
