(4) 情報関連の事故・事件
最近は、社員がパソコンなどを社外で使用することが多くなっています。もちろん持ち出すことができるパソコンはHDを暗号化したり、パスワードを設定するなど複数の安全対策を行っていますが、万が一の紛失や盗難の際は速やかな報告を定めています。特に、その機器の中にお客様の情報等が含まれていた場合などは、重大な事故として経営に報告します。サイバー攻撃を受けた場合の被害などもその対象となります。

(5) 輸出入管理法違反

(6) 第三者からの損害賠償請求、公的機関による処分

(7) その他

(1) から(6)に当てはまらないインシデントについてもその重要性を確認し、その他のインシデントとして必要に応じて経営に報告しています。

2007年にインシデントの報告をグループ標準として定めた当時は、災害や事故を除きリコーグループの会社もしくは従業員が起こしたインシデントのみ報告を義務付けていましたが、現在はグループが被害者となった事件などについてもその報告の対象としています。

2年ほど前になりますが、アメリカである事件に巻き込まれかけたことがありました。当初こうした事件は報告の対象とはなっていませんでしたし、事件も未遂に終わりましたので、現地からグループ本社に報告はされませんでした。しかしながら、後日この事実が分かり、被害者側とはいえ一つ間違うと市場で誤解を受けるなど経営の大きなリスクになりかねなかったという事で、報告の項目に入っていなかったことを大きく反省するものとなりました。こうした経験から、事件の被害者となった場合を含め、必要と思われる場合は標準に定められていなくとも現場の判断で、まずは報告をするようグループ各社にお願いをしています。

入手した情報の取り扱い

報告を受けた重大なインシデントの情報は、先に述べたように速やかに経営トップに報告を行い、必要に応じて指示を受けますが、これらの情報は経営トップだけでなくグループ内で共有し、再発防止や発生時の適切な対応のため活用します。 これらのインシデントは半年に一回、発生した会社の名前や一部の情報を削除したうえで、その対応結果や再発防止策なども加え日本語と英語のレポートを作成してグループ各社に情報提供します。 この情報を受け取った各グループ会社は、各社の判断で、この情報を従業員と効果的に共有することができます。

情報の報告状況

弊部からグループ各社に対し、半年ごとに報告漏れがないかどうかの確認をしているので、この報告ルールについてはかなり認識されていていますが、それでも報告の状況や即時性にはまだまだ地域差があります。インシデントの発生はもちろん避けなければならないわけですが、それが発生した場合に報告をしなかったという事については、経営トップからも厳しく注意をしています。一歩一歩ではありますが、インシデント発生時の報告のルールとその意識が浸透しつつあります。
 

海外で発生する危機への備え

危機とは、不祥事、大規模な自然災害、重大な事件・事故・感染症、地域情勢の変化(反日運動、戦争、内乱)、テロ、強迫、誘拐 などを対象としています。海外における危機発生時の初期対応標準として、グループ本社が近くにない海外の特性に合わせ、国内とは別に標準を制定しました。

海外ではBCPの構築状況も十分とは言えません。体制はまだ地域によってばらつきが大きいので、監査部門とも協力し構築状況を継続的に確認していきます。

インシデント情報共有DBの活用

これまでは “危機”が発生した時、総務部門、人事部門、生産部門などがそれぞれ独自に情報を収集し対応していましたが、共通する情報も多く、現場に不要の負荷がかかっていました。一方で、情報によっては機微なもの(個人情報など)があり、情報の取り扱いが難しく、単純に一つの情報を共有すればよいというものでもありませんでした。

こうした課題に対応するため、現在全グループ会社で共有でき、かつ情報によって閲覧権をコントロールできる“インシデント情報共有DB”を準備しています。これはどこでも活用できるように、WEB上で入力・閲覧できるもので、言語も日本語と英語を切り替えられるものになります。本来は世界中の言語に対応できれば良いのでしょうが、情報を共有するためには英語に限定せざるを得ませんでした。そのため、発生区の入力は、英語対応できる現地の本社部門が現場の情報を入手したうえで行うことにしています。また、現場の状況をなるべく伝えられるように、データのファイルや写真なども簡単に張り付けることができます。

まだ試作段階ですが、2017年度には教育も行い使用を開始する予定です。

(了)