CSR（企業の社会的責任）と個人情報漏えい事件

昨年秋、経済産業省のCSR担当の方が来社されました。弊社のCSRについて考え方を聞きたいという内容でした。先日もある業界のトップ企業の方が、CSRの導入を検討しているということで来社されました。片や、最近個人情報の漏えい事故に関して連日のようにニュースになったり、鳥インフルエンザに関しては自殺者まで出たり・・・と、企業活動も思わぬところに落とし穴があり業績がいいというだけで企業の持続性を保証するものではないということを身にしみて考えさせられるこの頃です。
今回は、CSRと個人情報漏えいに関して触れたいと思います。

私の体験から感じるCSR（企業の社会的責任）のとらえ方

現在、CSRに関しては多くのセミナーが行われており、専門家が解説に当たっております。興味の中心は、ISO化の動き、JIS化の動きからはじまり、CSRの概念や結果としての企業にもたらす経営インパクトではないでしょうか。特に経営者は、株主を気にするあまり、ブランドやSRI等の期待をフックにCSR活動を開始する傾向が強いですね。

果たしてそのような考え方でCSR活動は成果を達成できるのでしょうか？また成果とはブランドやSRIでしょうか？

率直に私の経験を申し上げます。
弊社は、ISO9001（品質）、ISO14001（環境）、BS7799、ISMS（情報セキュリティ）、プライバシーマーク（個人情報保護）、JISｚ9920「ISO10002」（苦情対応）、・・・等の国際規格を比較的早く導入してきました。振り返ってみればその目的は、ブランドやSRIというプラス側面とは程遠く、やらなければ会社はいつか足をすくわれて潰れてしまうというもっぱらマイナス側面を削減するためといったほうが正しいといえます。
結果として成果は出ましたが、しかし、「果たしてこれで十分か？」と自問し、悩んだ経緯があります。

なぜか？
確かに、マネジメントフレームワークが企業活動全体を覆い、権限と情報伝達システムが機能し、PDCAが機能し内部監査で問題があれば継続的改善に導く仕組みはすばらしいものがありました。
しかし、最後に残った疑問とはその機能を使う「人」の問題です。この人の問題に着手しなければいままで構築してきた全てのマネジメントフレームワークはいつか崩壊するという危機感です。

組織は、マネジメントフレームワークがない限り効果的に機能することはありません。しかし、いくらすばらしいマネジメントフレームワークを構築しても、それを使うのは多くのスタッフであり、最後の判断は「個」だということです。
いくら個人が倫理感を持ち、常識をわきまえていても、企業の姿勢がそうでなければ、個はそれに従うことになるでしょう。また逆に企業が顧客企業や社会対する姿勢がいかにすばらしいものであっても、個々に理解していただき、実践していただかなければ絵に描いた餅になるでしょう。

これらを実践するためには、企業が社会に対していかなる姿勢で臨むのかを定義し、社会や顧客企業様、さらに従業員に開示し、コミットメントしなければなりません。また定義された姿勢を実行フェーズに落とし込み、教育し、実践し、問題を改善できなければ意味がありません。そこにやはりマネジメントフレームワークでない限り、制御できないものととらえています。
たまたま当時高氏が開発したECS2000にめぐりあい、KPMGにコンサルティングをお願いして１年かけて構築したものが弊社のCSRのはじまりです。

当時規格を読んで感動した一節があります。「最も大切なことは、社内に自浄メカニズムと主体的改善メカニズムを持つこと」。

個人情報漏えい事件が後をたちませんが、ハードやソフトでカバーしようと思っても限界があります。なぜならば、95％は、「人」による漏えいだからです。

情報社会が進化すればするほど、CSR（企業の社会的責任）を明確にし、それを実行し改善し、それらが社風として行動規範として、共通言語にまで浸透しなければ、これらの事故は防ぎようがないように思えます。
CSRの実践は、「ゴールなきマラソン」と覚悟を決めて取り組んでこそ、思わぬ効果が出てくるものかも知れません。