実学・企業法務(第78回)
第2章 仕事の仕組みと法律業務
同志社大学法学部
企業法務教育スーパーバイザー
齋 藤 憲 道
Ⅴ 情報システム
1990年頃からマイクロソフトのWindowsが本格的に普及し始め、1990年代半ば以降にインターネットがビジネス用途で企業に浸透して、それまで行われていた経営情報の大型コンピュータ処理からパソコンを中心とする経営情報の作成・処理・蓄積のシステムへの転換が進んだ。
現在では、技術・製造・営業・人事・経理等の専門業務の大半がコンピュータ化されている。コンピュータがなければ、設計・デザイン・発注・仕入れ・生産・在庫・輸送・仕入代金支払・売上代金回収・給与計算・給与振込・決算等の業務処理がほとんどできない。また、通信・蓄積する電子データや電子メールの量は、膨大である。
万一、顧客や取引先等の個人情報の漏洩が発覚すると、企業が行う個々の情報流出被害者への損害賠償は少額でも、それに被害者数を乗じた損害賠償額合計は巨額になる。その上、再発防止に向けて、高度な情報セキュリティシステムを導入するための大規模投資が避けられない。こうして、情報流出のリスクは、極めて大きなものとなる。
電子情報が漏洩した企業及びそれを漏洩させた担当者は、民事訴訟で多額の損害賠償を請求等されるだけでなく、行政処分や刑事処罰の対象にもなる。
今日、企業で電子情報の管理の中心的役割を果たしている情報システム部門は、企業の生産性向上と情報セキュリティ管理の両分野で重要な役割を担っている。
〔情報システム〕生産・販売・在庫管理、技術、人事、経理、その他の情報
情報システムの目的は、(1)広義では、企業経営に必要な情報を管理し、必要な情報を、必要とする者に提供することであり、(2)狭義では、コンピュータを維持管理し、情報を主管部門の求めに応じて処理することである。
情報システムの一つの例として、製品の生産・販売業務を次に少し詳しく観察する。
この業務は、(1)指定する特性・品質の製品を、(2)指定する時期に、(3)指定する量だけ、(4)効率的に生産し、(5)完成品を指定された場所・時期に納入して、完結する。
これを実行するために、材料管理・生産計画・工程管理(機械設備・作業員・歩留まり等)・品質管理(材料・工程・完成品・搬送中等)・出荷管理等が行われる。
良品を生産計画通り生産するためには、標準の動作や所要作業時間等を設定して、品質・原価・納期を設計段階で作り込むことが重要である。
ただし、在庫は可能な限り少なくしたい。材料・仕掛品・完成品等の在庫は、生産・販売活動において物品の流れを円滑にし、次の工程の待ち時間を無くすのには有用だが、保管費用増加・経時品質劣化に伴う価値低下・市場販売価格低下・所要資金の増加等のマイナスの影響が大きく、経営全体の観点で見ると、可能な限り少ない方が良い。このため、費用削減・資金圧縮等を実現するさまざまな管理方法が導入されている。
これらの管理の仕組みは、コンピュータシステムに組み込まれ、自社の工場・営業所等だけでなく、仕入先や販売先とも可能な範囲で接続されて、企業の系列全体で資金効率の最大化を図っている。
- (注) 在庫リスクを自ら負担する見込生産と、発注者の指定納期に従うことを優先する受注生産とでは、管理の発想や手法が大きく異なり、それぞれに適した方法が採用される。
また、開発・デザイン・設計等の技術部門でも、コンピュータシステムが新製品開発や設計の有力な武器になっている。例えば、新薬開発(創薬)では、候補物質の化学反応や副作用リスクを、大容量解析が可能なスーパーコンピュータを用いて高速・高精度にシミュレーションする技術の開発が進んでおり、創薬の早期化と低コスト化が期待されている。
事務部門でも、人事部門が行う給与計算、所得税・住民税の計算と給与からの控除、年末調整の計算や、経理部門が行う入出金計算や請求書作成及び銀行処理、個々の固定資産の減価償却計算、決算書作成(単独、連結)等の業務は、コンピュータがなければ作業が混乱して停止する。
上記の業務を支える情報システムは、目には見え難いが、経営を左右する大きな役割を果たしている。
〔情報セキュリティ管理〕
企業には、顧客・取引先・製品や製造の技術・コスト・経営計画・社員等に関する多種類の価値ある情報が存在する。この情報は、ハッカー、コンピュータウィルス、作業員の故意または過失による操作等によって外部や関係ない者に流出することがないように管理する。
情報を保護する主な目的には、(1)自社の財産を守る、(2)他社とのトラブルに巻き込まれない(他社から秘密保持義務を負って預かった情報の流出等)、(3)情報を適切なルールに則って社内で共有し、積極的に活用して業務効果を上げる、(4)情報セキュリティを自社のブランド・イメージの一部にしてセキュリティ関連事業を拡大すること等がある。
情報セキュリティ管理の仕組みを構築・維持するためには、システムの目的を明確に決め、守るべき情報の範囲と、守る水準を定めることが必要である。
顧客の個人情報、新製品に関する情報、製造ノウハウ等の技術情報等が競争相手に流出すると損害が極めて大きいので、多くの企業等がこれらを重点的に守る仕組みを構築している。
情報の媒体には、紙・写真・試作品・電子記録媒体等があるが、情報量が膨大な電子情報は流出すると被害が大きいので、内部者による流出への対策と、外部からのサイバー攻撃等への対策を併せて行う必要がある。
〔電子情報の証拠保全〕
業務で用いる情報は、対象・保存期間・紛失防止策・管理責任者等を定め、保全体制を整備して所定の期間蓄積し、後日、その情報に関係する紛争が生じた場合に、証拠にする。
裁判等において証拠になる情報の管理水準については、極めて厳格に行なうことが求められる米国の訴訟手続が参考になる。
- (注) 米国の民事訴訟におけるディスカバリー(開示手続)では、膨大な証拠収集作業が生じ、かつ、証拠能力が厳しく追求されるが、審理(トライアル)前のプリトライアル段階で原告と被告の双方が相手方の証拠・争点を認識できるので、裁判の大半は審理前の和解で終結する。
米国の裁判で、eメール・電子記録媒体等の多様かつ大量の電子証拠の開示(e-ディスカバリー)は、(1)日常の情報管理体系の確認、(2)開示対象の範囲の特定、(3)保全、収集、改ざん・破棄の回避措置、(4)データを審査用に加工、(5)審査・開示対象の特定、(6)提出用データ作成(指定様式に対応)、(7)提出・説明、等の厳格な手続きを経て行われる。
企業では、訴訟時の証拠開示手続きに対応できるレベルの情報管理システムを構築したい。
なお、米国司法省等による情報開示要求においても、訴訟におけるディスカバリー同様の厳格な手続きが求められることがあるので注意する。