個人データを、ビジネスを守る、IIJ

【論説】情報漏洩時の有事対応シリーズ③:貴社とあなたを守る適切な文書化の重要性


文書に残すことの重要性

「Not documented, Not done.」という言葉があります。「文書化(ドキュメンテーション)されてなければ、実施したことにはならない」という意味です。

社内外の関係者による検査、審査、監査、不正調査、捜査等が行われる過程で、通常、先ず情報収集目的のヒアリングが対象者に対して実施されます。その際、対象者の方からは、「会社の規程、マニュアル、手続きに沿って、私達は適切な対応をしており、問題ないかと思います」というのが、よく耳にする回答になります。次に調査担当者や当局が聞く質問は、「それでは、適切な対応を裏付ける資料や証憑類(文書化したもの)を見せて下さい」になります。ここでいう「文書化」とは、内部統制に関する文書化だけでなく、適切な対応が立証できるレベル感で体系的・合理的に整理された文書や電子データ等になります。「適切な文書化」が提示できない場合、例えばエビデンスの原本が添付されておらず、第三者への説明責任が果たせない場合、「私達は適切な対応をしており・・・」の信憑性は下がり、「適切に対応していない」と判断されてしまうケースが多々あります。「裏付けとなる資料はありませんが、毎日きちんと対応しています!」と弁明されることがあり、実際によく調べてみると、「適切に対応をしている」ケースが殆どではありますが、性悪説に立っている調査担当者や当局側としては、「Not documented, Not done.」の観点から、不適切とか不十分と判断せざるを得ないことがあります。このため「適切な文書化」の重要ポイントは、外形的に適切な対応が可視化されているか、相手に伝わるか、のようです。

平時の文書化と有事の文書化の留意点

何故「適切な文書化」が必要なのか?というと、一言でいうと、貴社と担当者を守るためになります。留意すべきポイントとしては、平時の文書化と有事の文書化では、目的と手法が大きく異なることです。具体的には、攻め重視か、守り重視かによってアプローチが異なってきます:

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事