連載最終回である今回は、X社との共同開発終結後、自社開発を行う際にJ社が取るべき対策について解説する。

自社開発時の対策

　J社の情報コンタミリスクは、X社と共同開発を行ったα技術に類似するβ技術を自社開発することによって格段に高まる。自社開発へと舵を切ることで、J社はX社の（元）パートナーから、競合へと変貌を遂げるためである。

　今回および次回（最終回）は、取引先との契約締結後にとるべき情報コンタミ対策について解説する。

仮想事例の設定

　ここでは日本の大手メーカー「J社」と米国のベンチャー企業「X社」に関する事例を仮想し、J社がとるべきコンタミ対策について解説する。事例の概略は以下の通り。

　今回は、取引先との契約締結に際しての情報コンタミ対策について解説する。

秘密保持契約の締結に際して

　取引先との関係構築に際しては、秘密保持契約（NDA）を締結するのが一般的である。あらゆるNDAは第三者への開示を制限するが、加えて、自社内での使用を制限する目的外使用禁止義務等を伴うNDAも数多く存在する。

外部情報の受領リスク

　企業は、個人事業主からの発明提案、ユーザーからの製品改良提案など、日々多くの情報提供を受けている。

　通常、秘密保持契約等を締結せずに、一方的に提供される情報は守秘義務等を伴うものとはみなされない。しかし、契約書面を取り交わさずとも、当該時のやり取りや当事者の関係から、守秘義務が発生したとみなされる場合があることに留意が必要である_*1。

秘密情報リスク対策の整理

　秘密情報に関するリスクは、以下の通り整理される。

　本連載では、すでに全対象者に関するアウトバウンドリスク対策および従業員（転職者）に関するインバウンドリスク対策について解説した。今回は、取引先および外部者を介して入手した外部秘密情報に関するインバウンドリスク、いわゆる情報コンタミネーションリスクについて解説する。

　今回は、外部者を介しての自社秘密情報の漏えい・不正使用リスク対策について解説する。

　外部者とは、これまでに見てきた従業員、取引先以外のあらゆる者を指し、工場への不法侵入者やサーバーへの不正アクセス行為者に加え、工場見学者、メンテナンス業者などを含む。

　取引先に関する秘密情報リスクは、自社の秘密情報が取引先を介して漏洩・不正使用される「アウトバウンドリスク」と、取引先から受領した秘密情報を自らが不正使用等する「インバウンドリスク」に大別される。今回は、取引先に関するアウトバウンドリスク対策について論じる。

面談・誓約書対応

　退職する従業員に対しては、面談および誓約書への署名を通して、守秘義務等に違反した場合に法的措置をとる意思があることを示し、営業秘密の持ち出しや不正使用を未然に防止することが重要となる。

　自社（X社）の従業員Yが退職する場合、X社はY氏と面談を行い、以下の事項について確認を行う。

　従業員に向けた情報管理対策は、①採用・入社時、②在職時、③退職時に分けることができる。

　在職時の対策は前回紹介した「7つの骨子」が柱となることから、今回は採用・入社時、次回は退職時の対策について解説する。

　今回は、情報管理対策の基本について解説する。

営業秘密の秘密管理性要件

　情報管理においては、情報漏洩を未然に防止することに加え、万が一漏洩した場合でも、営業秘密として保護され、法的救済が得られるよう、平時から対策を講じておくことが重要となる。

　営業秘密とは、非公知かつ有用で、秘密性を保持すべく合理的措置が取られている情報を指す。合理的措置が取られていたかはケースバイケースで判断され、当該情報の価値、漏洩リスク、対策費用等に加え、権利者の組織規模も考慮される。例えば、情報管理において大企業に求められる対策レベルは、中小企業のものよりも高いとされる_*1。

　連載第2回の今回は、企業の情報管理義務および対策指針について解説する。

企業の情報管理義務

　企業およびその役員らは、自社が保有する秘密情報を適切に管理する法的義務を負っている。

　従業員が他者の営業秘密を不正取得・使用・開示した場合、雇用主である法人およびその経営陣にも法的責任が及ぶことがある。例えば、競合他社（X社）から転職してきた技術者（T氏）が、無断で持ち出したX社の営業秘密を新たな職場（Y社）で使用した場合、T氏による不正使用をY社が知っていた、または知るべき状況にあったとされる場合、Y社さらにはY社の役員らも法的責任を問われうる_*1。

情報価値の高まり

　社会の情報化が進む中、情報価値の高まりが顕著となっている。

　今日、S&P500（米国に上場する主要500銘柄の株価指数）の市場価値の約9割は無形資産が占めるとされる（図1）。無形資産は、企業ブランド、顧客基盤、ソフトウェア、データ、さらには特許やノウハウなどからなり、データ・情報を「21世紀の石油」と評価する声も聞かれる中、情報価値の向上が無形資産価値の高まりを牽引している。

背景

　昨今の日本企業のグローバル化には目を見張るものがある。例えば、多くのメディアで取り上げられ話題となったが、2015年における日本企業の海外企業の合併・買収は、M&A助言会社のレコフ（東京・千代田区）の調べでは、保険業界の大型買収を背景に2015年11月9日現在で10兆44億円に達し、過去の年間最高額を更新したと伝えている。円安傾向の中で日本企業がリスクテイクに舵を切り始めていることの証左にみえるが、このような日本企業の社風・カルチャーに深刻な影響を与える規模の買収が続く中で、買収後のグループ経営管理をどのように進めていくかが、日本企業の今後の更なる飛躍の鍵を握っていると言っても過言ではない。

　留意すべきは、一方でいわゆる日本的経営なるものがどこまでグローバル市場で通用するのか、日本的良さを残しつつ、どこまでマルチカルチャーを融合させていくのか、的確な判断と着実な実行が求められているということである。これはまさにグローバリゼーションリスクにいかに対応するかという日本企業にとっては極めて重要な経営課題への対応であり、巨額投資へのより良いリターンを確保するには、トップダウンを軸にした全社的対応への工夫が不可欠となる。

ガバナンスと内部統制のかなめ

　今、ガバナンスの強化が日本再興戦略の一丁目一番地として、攻めのサイドが強調されている。ガバナンスは、法令違反や不正などからの企業価値の毀損を防ぐ守りのサイドが重視されてきたが、今後は攻守のバランスが重要となる。本来ガバナンスとは、組織のあり方や今後の方向性を指し示す羅針盤である。時には組織が誤った方向に進まないように毅然たる規律を提供し、時には新たな視点を提供して組織的な価値をいっそう高めていくところに意義がある。

　組織目的を達成するには、価値創造を目指して果敢なリスクテイクやイノベーションが不可欠である。ステークホルダーが想定するリターンを確保するには、適切なガバナンスと内部統制が欠かせない。内部統制が機能するには、Tone at the topというトップの姿勢が最も大切である。トップの倫理観は内部統制では全社的統制環境のようかなめであり、トップの姿勢は社員の日々の行動に鏡となって顕れ、組織の未来を方向づけるのである。

　2014年10月21日、COSO（米国トレッドウェイ委員会支援組織委員会）は、2004年に発表したERM統合フレームワーク（2004年ERMフレームワーク）の改訂プロジェクトを立ち上げると発表した。その後の動きについて、2015年7月に、カナダ・バンクーバーにおいて開催されたIIA国際大会においてCOSOチェアマンであるBob Hirth氏より明らかにされた現時点の改訂の状況と今後の見通しについて、以下に整理を試みた。

改訂の背景

　COSOは、2004年ERMフレームワークが多くの経営者に幅広く受け入れられているとの認識のもと、企業における不確実性への対応能力の向上に資するために、また、ステークホルダーバリューの向上を推進するためにいかに多くのリスクを受け入れるべきかを検討するために、新たな環境の変化の中でERMフレームワークの改訂を進めようとしている。COSOは、今回の改訂により、企業がERMプログラムを通して、増大する経営環境の複雑さに対応していっそうの価値創造の達成が可能となることを期待している。さらに、今回の改訂では、さまざまなツールも開発し、リスク情報の開示や、ERMの評価や適用状況のモニタリングに役立てようとしている。

ITは事業に直結する重要資産

　今日の経営環境において、ほとんどのビジネスモデルはテクノロジなしでは機能しえない。それはつまり、ほとんどの企業がテクノロジ・ビジネスであると言っても過言ではないということを示している。革新的なテクノロジは、市場において差別化をもたらす一方で、破壊をもたらす要素でもある。テクノロジの進歩によって、ビジネスモデル価値の半減期は急速に短くなっている。また、これまではテクノロジに依存するとは考えられていなかった産業が、今やテクノロジによって変質しつつある。例えば、最近では、タクシーの変革やウーバー（Uber）の台頭が挙げられる。オンライン予約や、モバイルデバイスによってタクシーの現在位置を把握し、どこからでもタクシーを呼び、ユーザー登録情報を管理できるということは、重要な差別化要素となる。ここで大事なことは、テクノロジはもはや単なる手段ではないということである。

　プロティビティが開催したラウンドテーブルやお客様企業の経営陣との対話の中で、ITリスクがよくわからないとの声をよく聞く。さらに、全米取締役協会が行った2013-2014年の公開会社ガバナンス・サーベイによると、取締役が経営者から提供を受ける情報の中で、ITは質と量の両面で最も満足度が低い分野とされている。

　サイバー攻撃は、連日メディアの注目の的であり、企業の役員室においても高い関心事となっている。全社戦略や、リスクマネジメント、チェンジマネジメント、アクセスコントロールを通して、情報システムの機密性、信頼性や可用性は情報セキュリティの大きな課題となっている。

　リスクマネジメントにおける現実は、リスクとは決して排除できないものであり、リスクに対応する経営資源には限界があり、さらに困ったことにリスクは常に変化し続けるものであるということである。サイバー脅威とはまさにそのようなリスクでもある。だからこそ、迫りくる脅威を見極めるとともに、どこまで許容できるのかを見定め、組織の最も重要な情報資産、いわゆる“クラウンジュエル”に焦点を当てて、避けることのできないリスクに備えることが大変重要となる。

　現実には、クラウンジュエルに焦点を当てず、すべてのシステムや情報資産に同じレベルのリスク許容度を適用している企業が多い。つかみどころのないサイバーリスクに如何に経営の視点から効果的に対応するかが問われている。セキュリティの脅威はよくあるハッキングばかりではなく、攻撃側としては息のかかった契約社員を企業内部に送りこむだけで十分と考えるかもしれない。そこで、ITセキュリティに対処する上での三つのポイントについて整理してみる。

　サイバー攻撃の脅威、特定地域における政体の不安定さ、技術革新、規制と監視の強化、原油価格の変動、地政学上の衝突などが最近、経営者の間でホットな話題になっている。一方、企業のステークホルダーの最大の関心事は、そのような環境下、戦略遂行において企業が受け容れたリスクの特徴と大きさに係る透明性の拡大である。ガバナンスによるプレッシャー、激変する市場、熾烈な競争、要求をエスカレートさせる規制の流れ、破壊的な事象やダイナミックな経営環境の動きは、経営者に対して、企業のリスクエクスポージャーを評価し許容範囲にまで低減することを可能とする効果的なリスクマネジメント能力の整備、導入を迫っている。

　経営環境が激変する中で、経営者は価値創造を推進するためにリスクを取ることを期待されている。さらに、動くことも動かぬことも経営リスクであり、いずれのリスクに対しても適切に管理することが求められている。今回は2015年に日本企業が対処すべきトップ5リスクを取り上げ、留意点を整理する。

1.ガバナンスリスク

　最近の会社法改正により、社外取締役の設置が要請されることになり、設置しない場合には相当な理由の説明が求められることとなった。さらに、企業統治指針の策定に係る有識者会議では複数の社外取締役の設置を提示している。ここで注意すべきは社外取締役設置を推進する目的であり、設置そのものや人数が本質ではないということである。ステークホルダーの期待に応える経営を推進する上で、重要な意思決定・遂行・モニタリングの仕組みをどのように構築しているかの説明が求められているのである。重要な意思決定、つまり重要なリスクを受け入れるには、リスクを認識・優先順位付けし、リスクの源泉を特定して、適切な実行管理のプロセスを企業が備え、そのプロセスが事業環境の変化に応じて継続的に改善されているか、さらにそのことを誰が判断する仕組みとなっているかが説明できるかどうかである。経営執行陣は、設定した業績目標やリスク許容度に基づいて必要なリスク管理を遂行することを求められ、取締役会は、経営執行陣のリスクテイキングのオーバーサイトを通して、①企業戦略に起因するリスクやその戦略を遂行する際の経営執行陣のリスク選好の理解、②その戦略達成のための主要な前提条件に関する内外の有益な情報へのアクセス、③過剰なリスクテイキングとなりかねない行為の指摘、④重要リスクに係わる事項について経営執行陣への適時情報提供を行うことが要請されていると理解すべきであろう。ガバナンスリスク対応とは、取締役会においてリスクのオーバーサイトが実質的にいかに機能しているかである。

リスクカルチャーを強化する

　最近、リスクカルチャーという言葉を目にする機会が増えてきている。そこでは、リスクマネジメントの基盤として重要な役割を果たしていることから、しっかりと醸成すべきであるという論調が多い。リスクカルチャーとは不思議な言葉である。カルチャーという言葉からは、社風とか文化という言葉が思い浮かぶ。したがって、リスクカルチャーは企業の姿勢やあり方につながることから、現在、社内では一般的ではないかも知れないが、どの組織においても既に身近に存在しているともいえる。しかしながら、その重要性については誰もが理解するものの、具体的に何を意味し、改善が必要となれば何をどうすればよいのかについてはあまり理解されていないようである。

　今回は、企業のリスクマネジメントを着実に牽引するリスクカルチャーとはどのようなものなのか、望ましいリスクカルチャーへの成熟度を高めるにはどうすればよいのかを検討する際に考慮すべき事項について考察する。