中小企業の「断る権利」
中小企業のうち「小」に属する企業は何をしたらよいか?
中小企業の中には社員10人が2台のPCを使っているなどという場合がある。しかし、そのような企業でも大切な情報資産を持っているのだ。会社規模は小さくとも、得意先が5000件あり、顧客と良い関係を結べているなら良質な情報資産を持っていることになる。
今後、クラウドコンピューティングの利用が進み、便利で信頼性が高いものが実現すれば、ITの利用形態はクラウドに置き換わっていくだろう。中小企業はSLAなどの点も含めて厳格に契約を結び、セキュリティまで含めて全て依存するというのは1つの手段としてありうる。とはいえ、クラウドを使いこなすのにも一定のITの知識が必要だ。
中小企業は認識を変えていく上でどこに注目すべきだろうか?
サプライチェーン上の情報資産は分類されるべきだ。自社が所有しているものと、自社で預かっているもの――この2者は明確に、厳しく区別されなければならない。
自社が所有する情報は、その価値を自社でコントロールすることが可能だが、自社が預かる情報は極めて限定的にしかコントロールできない。自前の資産は漏洩しても自社にしか迷惑はかからないが、預かり資産だとそうはいかないのだ。
預かり資産の場合、サプライチェーンの中で詳細な「取扱説明書」が付属していれば良いのだが、必ずしもそういう状況にはない。中小企業にとって、この点が大きな問題だといえるだろう。これはITの利用や活用というよりも、むしろ業務フローにかかわることだ。
大企業は中小企業に対してどう対応していけば良いか?
セキュリティの問題が大きく変化していくなか「中小企業は情報を守る責任を押し付けられてはいないか?」とさえ考えられる部分がある。サプライチェーンの上では、中小企業は重要な情報を受け取らない権利もあるのではないか。
個人情報保護法が施行されてから、大企業が情報管理について神経質になっているのはわかるが、一種のヒステリックになっていないかと思われる一面すら見受けられる。
中小企業に責任を押し付けるのではなく、発注する側の責任の取り方というものもある。現在、JASAはNTTコミュニケーションズの協力を得て、サプライチェーン上の情報管理の基準、監査のあり方の規範を策定しているところ。
そこで出てきた議論は、まず発注側がしっかりすべきだというものだ。流れのなかで上位に位置する発注側が「取扱説明書」を整備しておくべきなのではないか、という話をしている。