叡智の三猿

〜森羅万象を「情報セキュリティ」で語る

当サイトは、アフィリエイト広告を使用しています。
トップ > 矛盾 > 「共有」と「必要最小限」

「共有」と「必要最小限」

矛盾 SCM(サプライチェーンマネジメント) 個人情報の保護・プライバシーの配慮 情報の機密性(暗号化・アクセス制御) DX(デジタルトランスフォーメーション)

2005年に施行された「個人情報保護法」は、事業者が個人情報を安全に管理するための安全措置を講じる義務を定めてます。この安全管理措置は、情報セキュリティの組織的、人的、技術的な対策を求めてます。会社は、外部からのサイバー攻撃や内部不正など、情報セキュリティを取り巻く様々なリスクから、個人情報を守らなければいけません。

もちろん、「個人情報保護法」が施行される以前も、情報セキュリティの重要性は認識されてました。

でも、わたしから見ると、そのときに求めらていた管理レベルは、いまよりはるかに低かったと思います。システムにログインする際に、IDやパスワードを入力するのは、むかしから行われてますが、ある種、形式的なものでした。

123456 や 生年月日など、簡単なパスワードを設定するのは、当たり前でしたし、そんな簡単なパスワードさえも、付箋紙🔖に書いて、パソコンの隅に貼る社員も普通にいました。

そんな、ゆるゆるな情報セキュリティマネジメントが通用していた時代、黒船の如くやってきたのが「個人情報保護法」でした。当時、わたしが務めていた会社では、パスワードだけでもこんなルールが適用されました。

  • パスワードは、英字、数字を織り交ぜ、6桁以上。
  • パスワードは、3ヵ月毎に強制的に変更。
  • 一度、使ったパスワードは、3回変更するまで再利用不可。

個人情報を適切に管理できない会社は、取引が出来なくなるとされ、社員もナーバスになってました。

「個人情報保護」から、話しは少しそれます。

わたしはサプライチェーンマネジメントのシステムを構築するITエンジニアです。当時、あるアパレルメーカーのシステムを手掛けてました。

アパレルのサプライチェーンは下記のような流れです。ここで「どんな商品をいくつ作るか」を決めていたのは、主に川中に位置するアパレル商品メーカーです。

アパレルのサプライチェーン

川上である素材から消費者までの流れをたどると、ひとつのアパレル商品をつくるのに、非常にたくさんの企業が製造に関与します。仕事柄、サプライチェーンの各工程の製造現場をみて、社員からも話を聞きました。そこで働く社員は、個々の技術に於いて、誇りをもって働いていることがひしひしと、伝わってきました。服を作る仕事というのは、芸術です。生糸は細くて切れやすく、丁寧さが要求されます。縫製は、一針ひと針に心を込め、丈夫で着心地の良い一着になるよう、細かな部分も手を抜けません。

職人は長く大切に着てもらえるような洋服を考えてます。

しかし、ファストファッションが台頭してきたことで、「良いものをつくる」という「良いもの」の、定義が変わってきました。それは「丈夫で着心地の良いもの」が「良いもの」ではなく、「売れるものが良いものである」という発想です。いくら、質がよくても、売れないものは売れません。在庫がたまり、返品処理に追われます。

アパレルメーカーも消費者である「顧客」をより重視するようになりました。

モノづくりをするうえで、消費者の視点、ニーズを優先的に考え、マーケティングに反映する発想を取り入れました。そのためには、顧客の消費行動や、要望をサプライチェーンに携わる企業が把握し、そこから商品開発やアフターフォローの体制を構築します。サプライチェーン全体が最適化することで、最終的には顧客の満足度向上に繋げていくことを目指しました。

店舗で直接消費者と相対している従業員と、顧客から遠い、サプライチェーンの上流にいる従業員では、顧客に対する温度感に差があります。サプライチェーン全体を最適化するには、その差を埋める必要がありました。アパレルメーカーはECサイトを作っていたので、そこに訪問した顧客の属性(年齢、性別、地域など)や、購買履歴が、顧客を知るうえで役に立つと考えられました。無駄な生産を減らすため、限定的な生産量に抑えた新商品をECで先行販売し、そこでの反応から、繰り返し生産を行うかの判断をするような企画が出ました。

アイデアとしてはとてもいいのですが、社員からこんな疑問がぶつけられました。

ECで買ったお客さんの情報を販売に関わってない人が知ることは「個人情報保護法」的に問題にならないのですか?

これは、もっともな問いかけでした。ミーティングに参加した社員は、どう答えていいか分からず、お互い顔を見合わせるばかりでした。

2005年、当時は「個人情報保護法」がどこまで事業活動に影響するかが、よくわかってなく、誰もが適切な答えを持ち合わせていませんでした。

「個人情報保護法」では、個人情報の取り扱いは利用目的を明確にして、それに必要な範囲で管理することが求められています。販売や発送に関係ない、たとえば製造部門の人が顧客情報を見ることは、「目的外利用」に該当する可能性があります。

顧客情報が関係のない人に広がると、誤って外部に漏れる可能性も高くなります。もし、個人情報の漏えいが起きたら、企業としての責任が重くなります。

サプライチェーンマネジメントの視点では「情報」は、出来るだけ共有化されることが重要ですが、情報セキュリティマネジメントの視点では「情報」は、必要最小限に取り扱うことが重要です。

一目して、辻褄が合わないことをうまくバランスを取る必要があります。

あれから20年の月日が流れましました。

そしていまもなお、バランスはDX化が進化を遂げるなかで、解決されない重要課題です。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー