【ニューヨーク発】エンロンやワールドコムの事件に代表されるように、企業の犯罪や社員の背任など、想定される事態に対する対応策の制定は、米国の大企業ではもはや必須とされ、多くの企業で危機管理マニュアルが制定されている。そして、マニュアルの整備状況などを契約条項に追記するほどの徹底ぶりだ。そうしたマニュアルの作成に関して、異変が起きている。

 非常時の対策マニュアル制定作業について米国では近年、大幅な変更を強いられることとなった。それはITの普及と高度化による影響だ。米国企業には情報開示義務(ディスクロージャー)の概念が普及しており、情報を意図的に隠したり必要な情報を公開しなかった場合には法的な処罰を受けることも珍しくない。そのため、何らかのトラブルがあった場合に備え、企業としての広報活動や声明の内容まできちんと取り決めをしておく必要がある。ただITによって管理・保存されることが多くなったため、これらの扱いに関して新たな問題発生の可能性が出てきた。

 最近はフィッシング詐欺などに代表されるネット犯罪の蔓延と、サーベンス・オクスリー(SOX)法の制定などによって増え続ける義務が企業を圧迫し続けており、多岐にわたる危機管理対策が必要となってきた。特にSOX法に抵触する「IT関連分野における社内規定の不備」は、重くのし掛かっていくと見られている。そのための対策は急務であるにもかかわらず、作業は遅々として進んでいないケースが多い。

 大手企業のほとんどは損害賠償に備えて企業保険に加入している。そして各保険会社は加入者である企業側に対して厳しい契約条項を設定するのが一般的で、それらは危機管理対策と軌を一にするケースが多い。しかし、近年増えてきたIT絡みのトラブルに関しては、具体的な対処法やその範ちゅうなどが曖昧なままだ。

 技術的な解決が可能な分野は対処も楽だが、情報の漏えいなどはその大部分が従業員管理の一環となり、その対応が多岐にわたることがマニュアル制定の作業を困難にしている。危機管理のスキルを売り込むIBMやデル、ヒューレット・パッカードといったIT大手企業も、自社の製品や技術に問題が生じた場合の対応策を制定せねばならなくなってきている。加えて自社内の危機管理マニュアルも制定しなければならないため、作業量が一挙に増え、制定がますます遅れることとなる。もちろん、それらにかかる莫大なコストも迅速な作業を妨げる大きな要因である。

 問題の複雑さは、企業保険を扱うAIGやGEICOといった保険会社にも影響を及ぼしている。ある大手保険会社の社員は「具体的にどのような条項を盛り込めばばよいのか結論は出ないままだ。これまでは裁判の時に争点になった項目などを中心に検討すればよかったが、IT関連の場合はそのような悠長な考えでは現実に追いつかず、そのため作業はますます遅れている」と、マニュアルの制定がまだ難しい段階であることを認めている。「事故を未然に防ぐ目的からも、どこかの時点で見切り発車をせざるを得ないのだが、それさえ困難」という。マニュアル作成の参考となるケースがまだ少ないことがネックになっているわけだ。制定が進まず、企業が保険会社と契約を結ぶ前に新たなトラブルが発生するケースも多く、問題をさらに大きくしてしまうこともしばしばだという。

 ITに関連するリスクマネジメントについては、トラブルとなったケースを下敷きにしつつ、動向を注意深く見守ること以外に、今のところ有効な方法はないようである。
田中秀憲(ジャーナリスト)