トップページ > 個人情報リレーインタビュー(2007.03.22)
|
|
 株式会社 東芝
情報セキュリティセンター
個人情報保護担当
グループ長
南 文生氏
まず、挿話。
1915年 日本初のX線管の製造に成功。
1924年 日本初のラジオ受信機を製造発売。
1930年 日本初の電気洗濯機および電気冷蔵庫を完成、発表。
1931年 日本初の電気掃除機を発売。
1959年 日本初のトランジスタ式テレビを完成。 わが国初の電子レンジを開発。
上記、東芝のWebサイトの中の「歴史と沿革」より一部を抜粋し、参考にしたものである。
これ以後は、日本を飛び越え世界初の言葉を刻むことが多くなっている。
“CSR”という言葉を昨今よく耳にするようになったが、東芝はこれに関しても
早くからその活動を積極的に行っている。
どの分野においても時代の感覚、ニーズに合わせて、どこよりも一歩早く動く。
今回のインタビューではそんな印象を強く受けました。
それは個人情報保護の分野においても同じことが言え、今回ぷらぽでは
個人情報保護を含めCSRを東芝がどのように考えているのかを南氏に伺った。
|
|
当社では、1999年頃から個人情報保護の取組みを開始しました。
きっかけとなったのは、当社の取締役がGBDe(※1)、電子商取引に関する国際フォーラムがありまして、そこの議長を務めたことです。
そういう意味では、当社経営陣の意思で個人情報保護に関する活動がスタートしたと言えるんじゃないかと思います。
そして、全社レベルで一定の水準を満たしたいという理由から「JIS Q:15001に則って体制作りをしようじゃないか」ということになり、プライバシーマーク取得に向けて動き出しました。
また、並行して2000年には「全社リスクマネジメント体制」を確立しました。
【早い段階からの個人情報保護体制構築】
東芝では、1999年12月に個人情報保護方針を制定、翌年には個人情報保護プログラムを制定し、2001年には総合電機メーカーとしては初めての法人全体でのプライバシーマークの取得を果たす。
また、昨今話題となっている内部統制に関しても早くから重要性を察知し、公益通報者保護法を視野に入れた、内部通報制度「リスク相談ホットライン」が2000年1月の時点で既に開設されている。
また、東芝では毎年Webを活用して従業員に対して「東芝グループ行動基準」に関するアンケートを行っており、その結果を踏まえて次年度のコンプライアンス施策立案などへと活用している。
CSR報告書において、そのアンケートの一部を見ることが出来るが、従業員が非常に高いレベルで意識を持っていることが分かる。
※1 GBDe・・・Global Business Dialogue on e-Commerceの略。日米欧3極間での政府間・民間政策協議協調の場。1998年設立。Internetをベースとした電子ビジネスにかかわる重要課題を民間企業が中心となり各国政府機関、消費者団体も参画し議論する場。
(http://www.keidanren.or.jp/japanese/profile/topics/info/gbde200103.html#1999h)
【社団法人 日本経済団体連合会】(http://www.keidanren.or.jp/indexj.html)
やはり、必要を感じたときにすぐ動き出す、というのが大事だと思います。
当社では、経営陣よりトップダウンで、個人情報保護を含む情報セキュリティ管理についてもグループ全体で必要な体制を敷くという方針がしっかりと出来ていると思います。
これは何よりもスピードが一つのカギになりますよね。
スピード経営と言いますか、グループ会社を合わせると約18万人の従業員がいますので
トップの意思が迅速に伝わり、それを下に関係部署が独自に動き出せることが非常に重要になってきます。
これは平常時もそうですが、緊急時にも非常に効率的だと思います。
当社では、緊急の危機対応が必要になった場合、CRO(※2)の下で関係部門が一体となって迅速かつ適切な対応を行うために、コーポレート危機管理委員会等を設置し、個別のリスク事案に対応することになっています。
例えば、個人情報に関する案件で言いますと、通常は個人情報保護体制の中で対処されますが、社会的に、もしくは経営的に非常に甚大な影響がある場合は、コーポレート危機管理委員会が対応するような仕組みが出来ています。
※2 CRO=Chief Risk-Compliance Management Officer
このようなスピード重視の体制は、当社が1999年に導入した社内カンパニー制とも深いつながりがあります。
カンパニー制とは、事業セグメントの運営に関る権限を委譲された各カンパニーがカンパニー社長の下で自主責任経営を行うというものです。そのため本社機能はある意味小さいんですよね。
従って、当社の個人情報保護プログラムは社長・統括責任者(執行役員)の下で全社の方向が定められ、各カンパニーの社長が実施責任者としてその実施・運用に付いて責任を負う体制になっています。
このように本社が方向性を打ち出せば、各カンパニーが独自にそれに合わせて動き出しますので、この体制は経営にスピードを求める場合、非常に効果的ではないかと考えています。
|
 このページのトップへ
重要になってくることは、教育と監査ではないかと思います。
まず、教育に関しては「徹底的に、そして繰り返し行う」ことが一番ではないかと考えています。東芝の全従業員は約3万人ですが、eラーニングや研修を通して一人残らず勉強してもらい確認をしました。産休や、海外出張、もしくは何らかの理由で長期休暇を取っていた者に対しても復帰後に必ず勉強してもらい、しっかりとその確認を取りましたね。これに関しては、文字通り「一人残らず」です。
そしてこの教育は同じスタンスで毎年行っております。個人情報保護を含め、情報資産を守るという意味での情報セキュリティ教育や、コンプライアンスのため「東芝グループ行動基準」に関する教育も徹底的にやっております。
|
|
よく個人情報保護問題で「漏洩するかしないかは、人次第」何て言葉をよく聞きますよね。
その通りだと思います。
どんなにしっかりとしたルールを作ってもそれを守る人間の意識が低ければ絶対に上手くいかない。
「だから教育が大切なんです」
と、こうくるのだと思いますが、
それと同じくらい重要だと思うのが「監査」です。
|
|
東芝では、個人情報保護体制の中で、各部門の実施責任者(カンパニー社長等)の責任の下で実施する自主監査(実施単位ごとの自主点検)と、経営監査部が実施する経営監査、いわゆる内部監査がありまして、とりわけ自主監査は非常に効果的だと感じています。
自分達がやっていることを自分達の手によって点検する。こうすることによって、自らが東芝の個人情報保護方針に則って活動しているんだということを自覚出来ると思うんですよ。そして監査することによって浮き彫りになった問題点を活かして、より良い運用体制に反映させていく。これが理想的な、個人情報保護マネジメントサイクル(PDCAサイクル)のスタイルですよね。
またPDCAサイクルで言えば、まずはとにかく1サイクル回すことが大事だと思います。
最初の1サイクルは当社も、本当に四苦八苦しながらやりました。
プライバシーマーク取得に向けて動き出し「ああでもない、こうでもない」と試行錯誤を重ねながら計画を立て、運用し自主監査を行った。
それでも実地審査では何項目か指摘されてしまいましたし、最初のプライバシーマークはやっとの思いで取得しました。その経験から言っても、初めの1サイクルが一番エネルギーを使うんじゃないかと思います。一度回してしまえば、方向性も見えてきますし、どうやって改善していけばいいのかも分かってきますので効率も良くなり、どんどんスパイラルアップしていけるのではないかと思います。 |
東芝にとって「CSRとは経営理念そのものである」と言っても言い過ぎではない程、重要な柱です。これがなければ経営が成り立ちません。
法律が施行されたからとか、社会的にCSRが求められるようになってきたからとか、そういうわけではなく、会社の理念としてCSR経営を強化していくという方向を打ち出しているので自然とその視点に立てば、法律を遵守するし意識も出てくるものだと思います。
もちろん、ただ漠然と理念があるわけではなく、結果として法令遵守や意識レベルの向上を示すためにも行動基準を定め、徹底的に教育を行い、監査を行っているわけです。
「これが東芝なんだ!」というくらいCSRは大きい存在ですね。
【東芝のCSR活動について】
東芝グループでは、2005年12月に「第一回東芝グループCSR大会」を開催している。
同大会には東芝及びグループ会社のトップ、CSR推進者、労働組合幹部約500人が出席し、代表執行役社長の西田厚總氏はこの中で「生命・安全、法令遵守をすべての事業活動において最優先する」という東芝グループのCSR方針をあらためて徹底していくことを強調した。
また今回のインタビューにおいて南氏が重要性を語っている「監査」について、従来経営監査の自己点検(セルフアセスメントプログラム)で遵法状況を確認していたものを2006年度からは国内グループ会社を含めて遵法のみならず「CSR」にも範囲を拡大して実施している。
この他にも、海外現地法人でのCSR推進状況を把握するために、連結対象の海外グループ会社にCSR調査を実施するとしており、東芝においてCSRが如何に重要視されているかがよく分かる。
|
このページのトップへ
消費者の皆様が意図しないところで情報が流れていたり、それを利用して悪質な勧誘活動があったり、最近本当に多いですよね。
殆どの企業が個人情報保護の問題について、真面目な姿勢で取組んでいると思うんですよ。
しかしその一方で、一部の心無い業者によって消費者に対し、余計な不安感を募らせ、信頼感を失わせてしまっている。これは本当にやるせない気持ちになります。
個人情報保護法は「個人情報取扱事業者に対して適切な取扱いをするように」、ということを定めたものですが、今後は消費者の皆様の期待にもっと応えられるような運用が出来ることを期待しています。企業と消費者、この関係が社会全体で、健全で良い方向に進んでいければと思いますね。
【東芝の個人情報保護体制について】
冒頭でも説明したが、東芝は2001年4月26日にプライバシーマーク取得を果たしており、今年春には3度目の更新を迎える。
同マークの取得には、個人情報保護マネジメントサイクル(PDCAサイクル)が適切に稼動していること、従業員に対して教育を行い、きちんと確認をとっていること等が必須条件となる。
また、2年毎の更新の際にもそれらが厳格に審査されることから、その取得は非常に難しいとされている。
東芝はその体制を6年以上もの間、維持し続けていることになる。 |
このページのトップへ
個人情報保護を含めCSRについてはかなり早い段階から取組んできましたが、個人情報含め、情報資産を守るという広い意味で、きっちりと整備して不安のない事業活動、あるいはお客様から不安を抱かれないサービスの提供を目指して、体制やルール作りをしております。
ある一部の部門もしくは一部の人間が熱心にやっていても、全体で見たときにしっかりと結果が出ていないのではやはりダメですからね。
そうならないためにも、海外も視野に入れたグループ全体で、一定水準以上の体制を維持し続けていけることを目指しています。 |
|
最近私は、企業のCSR報告書をよく読むようになりました。CSR報告書というものは、第一印象としてはどうしても硬いイメージがあるが、これが読んでみると意外と面白い。企業の個性を様々な角度から読み取ることが出来、その企業が何を大切にしているか、ということが少しずつ分かってくるのである。
さて、東芝のCSR報告書。
「人と、地球の、明日のために。」東芝が掲げている言葉を直接感じ取ることが出来た気がします。是非一度、皆さんもご覧になってみてください。 |
| 次回個人情報リレーインタビュー |
2007/04/22 予定 |
日本通運株式会社
個人情報管理部 次長 小倉 信行氏 |
このページのトップへ |
トップページ