Posts Tagged ‘経営 リスク’

企業不祥事と組織の問題 その3 ~日野自動車の排気ガス、燃費不正~

2022年3月4日、日野自動車株式会社(以降、日野自動車)は中型・大型トラック用エンジンの認証試験で不正があり、対処車種の出荷停止したことを発表しました。

さらに2022年8月3日の国土交通省の立ち入り検査で、小型トラック用エンジンで不正が発覚し、その結果、すべてのトラックが出荷停止になりました。

なぜこのようなことが起きたのでしょうか?
 

誰もが起こす可能性

この問題に関する記事の多くは日野自動車のコンプライアンス問題を言及しました。

しかし日野自動車が発表した第三者機関の調査報告書を読むと、コンプライアンス体制を構築するだけでこの問題は防ぐことができないのではと感じました。

むしろ日野自動車で起きた問題はどの会社でも起きる可能性があります。

もし自分が日野自動車の担当者と同じ立場に置かれれば、自分も不正を行ったと思います。

この問題の本質は何なのでしょうか。
 

ディーゼルエンジンの排出ガス規制と排気ガス浄化技術

この問題が起きた背景に、ディーゼルエンジンの排出ガス規制(以降、排ガス規制)が短期間に目まぐるしく強化されたことがあります。
 

排ガス規制の変遷

ディーゼルエンジンを使用する大型車の排ガス規制は1974年に導入され、その後順次強化されました。

2009年から適用された「新ポスト長期規制」では
NOx 40~65%
PM 53~64%
と大幅に低減し、

「排出ガスをガソリン車と同レベルにする」

という世界で最も厳しい水準でした。

そのため表に示すようにNOx(窒素酸化物)とPM(粒子状物質)は劇的に引き下げられました。


注1)
NOx(窒素酸化物)
一酸化窒素(NO)と二酸化窒素(NO2)など窒素酸化物の総称で、高温で燃える際に空気中の窒素と酸素が結びついて発生し、人体に悪影響を与えます。
PM(粒子状物質)
ディーゼルエンジンの排気ガスに含まれる粒子状物質の総称で、黒煙(スス)や、燃え残った燃料や潤滑油の成分、軽油燃料中の硫黄分から生成される物質などが含まれます。呼吸器系へ沈着し、人の健康に影響を及ぼします。

注2)
表の値は1台の上限値、カッコ内の値は型式当たりの平均値です。規制が平均値としたのは、エンジンの特性にはばらつきがあるためです。そのため個々のエンジンが規制の上限値をオーバーしても、型式当たりの平均値が規制をクリアすれば出荷できる仕組みです。

表 排気ガス規制の変遷

段階NOx
(g/kwh)
PM
(g/kwh)
CO
(g/kwh)
NMHC
(g/kwh)
短期規制
(E規制)
1994年
直噴:7.80
副室 : 6.80
0.7
(0.96)
7.4
(9.20)
2.9
(3.80)
長期規制
(E5規制)
1997年
4.5
(5.8)
0.25
(0.49)
7.4
(9.20)
2.9
(3.80)
長期規制
(E6規制)
2003年
3.88
(4.22)
0.18
(0.35)
2.22
(3.46)
0.87
(1.47)
長期規制
(E7規制)
2005年
2.0
(2.7)
0.027
(0.036)
2.22
(2.95)
0.17
(0.23)
ポスト新長期規制
(E8規制)
2009年
0.4
(0.7)
0.010
(0.013)
2.22
(2.95)
0.17
(0.23)
ポスト新長期規制
(E9規制)
2016年
0.7
(0.9)
0.010
(0.013)
2.22
(2.95)
0.17
(0.23)

注)
括弧なしの値は型式当たりの平均値を意味し、括弧内の値は1台当たりの上限値を意味します。
E9規制の場合、上限値 0.7g/kWhとは、これを超えるエンジンは出荷できないことを意味します。
対して平均値 0.4g/kWh は、型式当たりの平均値がその規制値内であれば良いです。

 

図 NOx規制の変遷

図 NOx規制の変遷

このように1994年から2016年の22年間に規制は6回も引き上げられました。

それに伴いメーカーは22年間に6回、規制に適合した車種(エンジン)を開発し、国の認証を受ける必要がありました。

その規制は世界トップクラスの厳しいものでした。

しかもディーゼルエンジンの排ガス浄化は技術的に難しい点があったのです。
 

排気ガス浄化技術

排気ガスに含まれる主な有害物質は、NOx,CO,HCの3種類です。

ガソリンエンジンは、三元触媒を使用すればNOx, CO, HCを同時に低減できます。


注)
CO(一酸化炭素)
エンジンの排気ガスに含まれ、無色・無臭・無刺激で非常に毒性が強く、濃度が上がると吐き気やめまいなどの中毒症状が進み、最悪の場合、死に至ります。

HC(炭化水素)
未燃焼燃料が大半で空気中の窒素酸化物(NOx)や紫外線と反応して光化学スモッグの原因となり、濃度が高くなると眼や喉などの痛みを引き起こします。

ディーゼルエンジンの排ガス浄化の問題

ディーゼルエンジンは、混合気中の燃料が希薄なため、三元触媒の効果が低いという欠点がありました。一方、燃料の不完全燃焼は起こりにくいため、HC, NMHC(ノンメタン炭化水素)はほとんど発生しません。

従ってディーゼルエンジンの課題はNOxとPMの低減でした。

しかし、PMは燃焼温度を上げて燃焼効率を高めれば減少する一方、NOxは増加します。つまりNOxとPMはトレードオフの関係にあります。そのためNOxとPMを同時に浄化・低減するのは困難でした。

そこで排ガス中のNOxを窒素に還元するNOx触媒が開発されました。
 

ディーゼルエンジンの排ガス浄化技術

現在のディーゼルエンジンは、以下の4つの技術を組み合わせて排気ガスを浄化しています。

  • 酸化触媒(DOC)によりCO, NMHC(非メタン炭化水素), PMを浄化
  • ディーゼル微粒子補足フィルタ(DPF)で黒煙の元となるPMを除去
  • NOx触媒でNOxを窒素に還元
    (尿素SCRと、尿素を使用しないHC-SCRの2種類)
  • エンジンの改良(燃料噴射制御、高過給・インタークーラー, EGR)

図 後付けの排気ガス浄化技術

図 後付けの排気ガス浄化技術

ここでNOx触媒には、尿素水を排気ガス中に噴射する尿素SCRと、軽油を使用してHCを生成してNOxを還元するHC-SCRがあります。HC-SCRは尿素水タンクが不要ですが、その分軽油を消費するというデメリットがあります。

さらに排ガス規制に加えて燃費規制も強化されました。
 

燃費規制

 
大型車の燃費は、2015年度までに達成すべき燃費基準が2005年に設定されました(2015年度目標)。
 

エコカー減税制度

2015年度燃費基準を達成し排気ガス低減した場合、エコカー減税制度のもとで自動車取得税、自動車税、自動車重量税の軽減が受けられました。

表 排気ガス規制の変遷

2015年度目標取得税自動車税
(自家用)
自動車税
(営業用)
重量税
+15%以上非課税非課税非課税免税
+10%以上75%軽減1%0.5%75%軽減
+5%以上50%軽減2%1%50%軽減
目標達成 3%2% 

しかしこの燃費も排ガス浄化とトレードオフの関係にあり、両方をクリアするのは技術的な困難さがありました。

一方トラック用の大型ディーゼルエンジンの国の認証方法は、乗用車と違いエンジン単体で行います。
 

認証試験方法

エンジンの測定方法

トラックは車両のバリエーションが多く、重量もさまざまなため種類が非常に多く、乗用車のように車両をシャシダイナモメーターに載せて測定するのは困難でした。

そのためエンジン単体をテストベンチ(以降、ベンチ)上で運転し燃費を測定します。試験方法は、国連欧州経済委員会で「重量車排出ガスの測定方法 Ⅱ WHDCモード法」(通称 WHDC)が決められ、日本も2016年のE9規制からWHDCが導入されました。

その一方で、排ガスの浄化能力は、時間と共に劣化します。
 

排気ガスの測定

排気ガスの測定はWHDCによって測定されますが、排ガス浄化装置が劣化すれば規定値を超える可能性があります。そこで規定された走行キロ数を走行後、排ガスが規定内に入っていることを確認する「劣化耐久試験」を行います。

この劣化耐久試験では、一定のキロ数を走行後、排ガス浄化能力の低下を示す「劣化補正値」を計算します。国土交通省の形式指定を受ける際、この劣化補正値を提出します。
 

劣化耐久試験

劣化耐久試験ではベンチ上で規定走行キロ数に相当する時間エンジンを稼働させます。その際、外挿法を使用して運転時間(キロ数換算)を実際の走行距離の1/3にします。

例えば12トンを超える大型車の場合は、規定走行キロ数65万キロですが、外挿法を使えば走行キロ数は21.7万キロです。この距離はベンチでは2,022時間の運転時間に相当します。

外挿法により劣化耐久試験を行う場合、車種区分ごとに排気ガスを測定するタイミングが規定されています(法規が定める測定点)。劣化補正値は、慣らし運転後の排気ガス測定値と規定距離走行後の排気ガス測定値との差から計算します。

この劣化耐久試験中は、排気ガス性能に関する装置は交換してはならず、やむを得ず交換した場合は交換部品を保管しなければなりません。

劣化耐久試験は1回の試験に2,000時間以上かかるため、もし再試験になれば開発日程に大きな影響を与えます。厳しい開発日程の中、失敗は許されない状況でした。
 

再生試験

排気ガス浄化装置には、稼働に伴い劣化した浄化能力を定期的に修復する機能(再生と呼ぶ)を持つものがあります。

WHDCに従って排気ガス中の各成分の平均排出量を計算する際は、「再生調整係数」を用いて再生機能を考慮した平均排出量を計算します。

この再生調整係数のうち、排気ガスへの重みづけをする係数が「Ki値」、燃費への重みづけをする係数が「Kf値」です。
 

燃料消費率試験

新型自動車の形式指定の際、大型ディーゼル車の場合、燃費もベンチ上で測定します。この測定方法はTRIAS08-003-02「燃料消費率試験(重量車)」に規定されています。

ベンチ上で燃料消費率から燃費を計算する場合、等燃費マップを使用します。等燃費マップは2015年度目標に対応したJH15モードと、2025年度目標に対応したJH25モードがあります。


注) TRIAS 日本での新型自動車の試験方法。交通安全環境研究所(独立行政法人)の自動車審査部が作成している基準で、クルマの認可、認定制度において、保安基準に適合しているかどうかを審査する場合に、技術基準と合わせて規範とされる試験方法。

このような環境の中、開発担当者は数年毎に強化される規制に合わせて、新たな製品を出さなければなりませんでした。
 

排気ガス浄化に関する変遷

ディーゼルエンジンは三元触媒の効果が低いという欠点のため、ガソリンエンジンに比べて排ガス規制は遅れていました。

しかし1999年に当時の東京都知事がディーゼルエンジンの排気ガス強化を打ち出したのを皮切りに、国もE6規制(2003年)からE9規制(2016年)まで段階的に排ガス規制を強化しました。

これに対し日野自動車はターボチャージャー、EGRなどエンジン関係、さらに触媒(DOC)、DPF、尿素(HC)-SCRなどで対応しました。

これらの付加装置は時間の経過とともに排ガス浄化機能が低下します。そこで日野自動車ではE6(2003年)から劣化耐久試験が行われるようになりました。

当初は法規が定める固定劣化補正値を使用していました。しかし法規が変わって劣化耐久試験での実測値が使用できるようになったため、その後は実測した劣化補正値を使用しました。

この時、可変ターボチャージャーを使用した場合は、ノズルが摩耗すればNOxは減少する傾向にあるため、劣化補正値を0としました。

「劣化補正値は実測値を使用する」としつつも劣化補正値を0としていたことが、劣化耐久試験を軽視する一因になりました。しかも劣化耐久試験自体が新しい制度の試験のため、試験方法に精通した人材は限られていました。

この排ガス規制はE6規制(2003年)、E7規制(2005年)、E8規制(2009年)と短期間に頻繁に改訂されました。それに伴いベンチ上での試験も増えました。
 

トラック用エンジンでの燃費不正

大型車用E13Cエンジンの問題

E13Cエンジン以前には、E5規制対応の大型エンジンとしてK13C(排気量13Lターボチャージャー付)にコモンレール噴射システムを搭載したものを1998年に販売しました。

しかしK13CではE6規制に対応するのは困難でした。そこで1997年から新たなエンジンE13Cの開発を開始しました。

このE6, E7規制あたりから、認証テスト用ベンチのスケジュールに余裕がなくなってきました。劣化耐久試験はベンチ上で2,000時間以上も運転するためです。

試験日程はギリギリの状況で、予想外のトラブルが発生すれば計画通りに排ガス測定ができない状況でした。

その結果、法規が定める測定点で測定できず、かなりずれた時点で測定したり、測定自体ができないことが起きていました。さらに劣化耐久試験を途中で中止したり、劣化耐久試験自体ができないといった事態も起きていました。

その結果、法規で定められた時点で測定したように試験データを書き換えたり、データがない場合は他の試験データを流用して不正なデータを提出しました。

さらに劣化耐久試験の結果、劣化補正値が0にならないこともありました。しかしパワートレーン実験部では「劣化補正値は0」と認識していたため、ゼロと記載してそれ以上の追求はしませんでした。

このようにデータを改ざんして何とか日程に間に合わせた中で、次の開発が始まります。
 

E7規制(2005年)

E7規制対応のE13Cエンジンは、E7規制に対応するため、可変ターボチャージャーやEGRバルブの制御の変更で排ガス性能を高める計画でした。

燃費は2015年度燃費目標が国から発表されたため、E7規制対応のエンジンが2015年度燃費目標に適合するか検討されました。

しかし2005年11月の会議でパワートレーン実験部は、E7規制対応のエンジンの燃費は2015年度目標に対し6~7%未達と報告しました。

これに対し技監(元副社長)から「車型を限定していずれかの車型で2015年度目標をクリアすること、TRIASをよく勉強するように」と指示がありました。

当時技監の指示は「必達」の意味でした。

再度検討したところ新型の12段トランスミッションの車型(12段車型)では、燃費が約2%改善するため、未達は5%と判明しました。

しかしパワートレーン実験部は役員に12段車型では2015年度目標の達成見込みがあると報告してしまいました。しかし残り5%を改善する具体的な方法はありませんでした。

こうして追い詰められたパワートレーン実験部は、2006年4月に国の認証立ち合い試験の準備を進める中、燃費は、有利な値が出るようにTRIASで認められている±2%の誤差の範囲内で測定機器を調整することを行いました。

注) ±2%は、測定誤差や測定器の誤差があっても目標値を保証するためのマージンです。その範囲内でも測定器を調整することはデータの改ざんでした。

こうしてエンジン回転計、燃料流量計の表示を操作することで認証立会試験は合格しました。

公正であるべき測定器の値を操作することは許されることではありません。しかし、一度行うともう歯止めがかかりませんでした。

2回目の認証立ち合い試験では2%の範囲を超えて値を操作して合格しました。

こうしてE7規制対応E13Cは、2015年度目標を達成する性能がなかったのにも関わらず、達成したことになってしまいました。

このことをパワートレーン実験部以外は誰も知りませんでした。そして以降の開発は2015年度目標を達成したことを前提に進められました。
 

本来は技術者として、「技術的にできていないことはできていない」と報告すべきでした。しかし上司に報告しても「何とかしろ、できるはずだ」のため追い詰められた担当者に残された方法は改ざんしかありませんでした。
 

E8規制(2009年)対応

2007年E8規制に対応するため、E13Cエンジンにコモンレールシステムの変更と、尿素SCRを新たに追加する開発を開始しました。

燃費については、さらなる改善を行い尿素SCRで悪化した分をカバーして、前回のE7規制のエンジンと同等の燃費を目標としました。しかし2008年3月の会議で、燃費目標はE7規制+3%に引き上げられました。

パワートレーン実験部では、様々な燃費改善策を行って、開発したエンジンはE7規制+3.2%を達成しました。しかし元々のエンジンはE7規制対応時にデータを改ざんしていたため、E7規制を満たしていませんでした。

しかしこれを知っているのはパワートレーン実験部のみであり、+3.2%は不十分でさらなる燃費改善が必要とは言い出せませんでした。そのため2010年2月の国の認証立会試験ではE7と同様に、測定器を操作して有利な数値を示しました。

また排ガスについては劣化耐久試験の日程が厳しいため法規が定めた時点で測定ができず、適正な劣化耐久試験ができませんでした。そのため過去の試験データを参考にデータを捏造して認証申請しました。

また再生試験も実施しませんでした。認証申請時は再生試験で得られるKf、Kiの値は捏造して提出しました。

燃費や排気ガス浄化性能に影響するKf、Kiの値は、開発時にすでに決定されていました。パワートレーン実験部の担当者は、再生試験を実施してもKf、Kiが目標値をクリアできる自信はなく、データを捏造するしかありませんでした。
 

常態化するデータ改ざん

その後E8規制対応燃費改善モデル、E9規制対応と開発が進みますが、E7規制対応時に測定器を操作して燃費に下駄を履かせたため、報告される燃費と実際の燃費の乖離は拡大しました。データの改ざんは一度始めたら後戻りが利かず、打ち出の小槌となってしまいました。

このデータ改ざんは、大型車用E13Cエンジンのみならず、大型車用A09C、中型車用A05C、マイクロバス用N04C、建機など特殊自動車用エンジン(オフロードエンジン)にも見られました。違反発覚後は大型のエンジン、及びトラックが出荷できない状態となってしまいました。
 

都合の良いデータを選択

マイクロバス用N04Cエンジンは、トヨタのマイクロバス コースター用のエンジンです。それまで国内の小型トラック向けのN04Cエンジンが酸化触媒にHC-SCRを使用したのに対し、コースター用のN04Cはすでに開発したEuro6対応の小型バス用エンジン(尿素SCR)を採用しました。

このN04Cをトヨタに提案する際、HC-SCRのKf値を用いて燃費を計算するミスをしてしまいました。その結果、燃費は実力よりも良い数値でした。

燃費については、トヨタの担当者から、「燃費基準値の達成度合を引き上げなくてもよい旨の意見」がありました。しかし日野自動車は「燃費基準値の達成度合いを引き上げることは可能」と主張しました。

しかし実験データを元に燃費をシミュレーションしたところ、目標値を満たしませんでした。そこで本来はアイドリング運転開始から20~30分経って、燃料消費量が安定してから測定すべきですが、アイドリング運転開始からもっと短い時間で測定して、都合の良いデータを取得しました。

それでも目標値に到達しなかったため、複数回測定したデータの中から良いデータを恣意的に選択しました。

こうした問題に対し、第三者機関による調査報告書は以下のように述べています。
 

調査報告書が指摘する問題

この日野自動車の不正に対し、調査報告書では下記の3つを真因としています。

  1. みんなでくるまをつくっていない
  2. 世の中の変化に取り残されている
  3. 業務をマネジメントする仕組みが軽視されている

① みんなでくるまをつくっていない

  • 個々の役職員が「みんなでくるまづくりをしよう」という意識が希薄
  • セクショナリズム
  • ・パワートレーン実験部が孤立
  • ・プロジェクトの責任者が全体を俯瞰できていない
  • ・プロジェクト責任者が劣化耐久試験の内容をよくわかっていなかった
  • ・人材が固定化し、他の部署の経験が乏しい
  • ・批判的精神を持った建設的な議論が欠如
  • 能力やリソースに関する現場と経営陣の認識に乖離
  • 法規やルールの動向を把握し、その内容を社内に展開する仕組みがない
  • 品質保証部門や品質管理部門の役割が十分理解されていない

② 世の中の変化に取り残されていること

  • 上位下達の強すぎる組織、パワーハラスメント体質
  • 過去の成功体験に引きずられていることや「撤退戦」を苦手とする風土
  • 日野の開発プロセスに対するチェック機能が不十分であった

③ 業務をマネジメントする仕組みが軽視されていたこと

  • 開発プロセスの移行可否の判定があいまいであった
  • パワートレーン実験部が、開発業務と認証業務の双方を担当していた
  • 規定やマニュアル類の整備、データや記録の管理が適切になされていない
  • 役員クラスと現場の間に適切な権限分配がなされていない

    調査報告書はこのように述べています。 しかしこの背景には日野自動車の置かれた状況がありました。  

日野自動車の置かれた状況

 日野自動車は、売上高1兆4,597億円、連結従業員33,850名の大企業です。

その一方、年間販売台数は15万台(2021年度)で、このうち国内が58,158台です。

この中に10トン、4トン、2トンの3車種があり、車種の中でエンジンの型や車体など多様なバリエーションがあります。また建機など特殊自動車用エンジンも用途別に多様なバリエーションがあります。

このように車種が多様なため劣化耐久試験などに多くの試験や評価が必要になりました。こういった事業環境の変化に対して、人材や設備は十分ではありませんでした。

パワートレーン実験部ではベンチのやりくりに苦労していました。

必要な劣化耐久試験をしないまま認証立会試験に臨むこともありました。劣化耐久試験をしない(コンプライアンス違反の)リスクを考えれば、ベンチやテスト人員を倍増するべきでした。

なぜそうしなかったのでしょうか。 報告書には、この問題は指摘されていません。  

経営判断に問題はなかったのか

段階的に強化される規制や多様な種類のエンジンのため、増加する開発をこなせるように、それに合わせた開発環境が必要でした。そのために伴い経営者は、

  • 排ガス規制、燃費規制など事業環境の変化を調査
  • 必要なリソース・体制の整備
  • 幅広い車種や地域での展開が自社の身の丈に合わなければ、一旦は車種や地域を縮小

    この判断は経営者しかできません。当時の経営者は、この時の状況をどのように見ていたのでしょうか。  

ものづくり企業として適切な体制・組織になっていない

報告書にもあるようにパワートレーン実験部が、開発も評価(認証)も共に行えばモラルハザードが起きます。

  • 開発は、開発計画を立てた部署が最後まで責任をもって管理
  • 評価検証を行う部署は、外部の視点・考え方で客観的な評価

    本来はこうした分権体制が必要です。評価検証する部門は、自社の良心として最後の関門の役割があります。  

技術をマネジメントできていたのだろうか

開発は暗闇の中で答えを探すようなものです。解決案があっても必ずしもうまくいくとは限りません。 かといって容易に実現できる目標では他社に負けてしまいます。 そこで

  • どのくらい背伸びをすればいいのか
  • 失敗した時どのくらい開発期間が長くなるのか
  • あるいはできないという結論になった場合、どうするのか

    こういった開発課題と自社の技術力の目利きが必要です。 それには過去の経験にとらわれず、最新の技術や規制を学び、現場の声に真摯に耳を傾ける必要があります。

    さらに開発がうまくいかない時、プランB、プランCを用意する(部下にさせる)必要があります。(これは多くの日本人に苦手なことですが)  

リーダーの役割

こういった判断、開発のマネジメントは、リーダーの役割です。

日野自動車のエンジンは多くのバリエーションがありますが、大別すればE13、A09、A05(J05)、N04の4種類のエンジンです。この4種類のエンジンが日野自動車を支えているのです。

もし1機種でも開発に失敗すれば大変なことになります。 にもかかわらず、燃費改善目標5%はどのような根拠から決めたのでしょうか。

これまでも様々な改善を行ってきた燃費を「もっとがんばれ」と言えば5%も良くなるのでしょうか。

開発のリスクを減らすため、開発仕様を決める前に事前に検証を行う企業もあります。

開発期間の短さを考えれば、そのような取組も必要ではなかったでしょうか。 タイトな日程のためそれもできず、ぶっつけ本番で「うまくいくだろう」と進めれば、かえって時間とお金を浪費します。

こうした技術のマネジメントはできていたのでしょうか。  

指示命令に対し、現場から上司へのフィードバックの機能不全

もしパワートレーン実験部の「できません」という報告に対し、上司が事実を謙虚に受け止め、他の部門も巻き込んで解決に当たれば、結果は変わったかもしれません。

現場で起きている事実に最も精通しているのは、現場の担当者です。

上司からの指示に対し、担当者は実際に現場で起きたことを上司に正しく報告します。 上司はこの情報を的確に受け止め、適切に判断しなければなりません。

それには時には目標の修正や日程の変更などの痛みを伴います。 「なんとかしろ」と言った上司は、現場の情報を的確に受け止めていたのでしょうか。

結果的にこの問題はパワートレーン実験部、ひいては担当者の問題に矮小化されてしまいました。 追い詰められた担当者に残ったのは不正しかありませんでした。

こういった管理、組織の問題は他の企業でも起きています。 これについては別のコラムでお伝えします。 

参考文献

「調査報告書」2022年8月1日日野自動車(株)特別調査委員会    

中小企業でもできる簡単な原価計算のやり方

製造原価、アワーレートを決算書から計算する独自の手法です。中小企業も簡単に個々の製品の原価が計算できます。以下の書籍、セミナーで紹介しています。

書籍「中小企業・小規模企業のための個別製造原価の手引書」

中小企業の現場の実務に沿ったわかりやすい個別製品の原価の手引書です。

中小企業・小規模企業のための個別製造原価の手引書 【基礎編】

基本的な計算方法を解説した【基礎編】と、自動化、外段取化の原価や見えない損失の計算など現場の課題を原価で解説した【実践編】があります。

ご購入方法

中小企業・小規模企業のための
個別製造原価の手引書 【基礎編】
価格 ¥2,000 + 消費税(¥200)+送料

中小企業・小規模企業のための
個別製造原価の手引書 【実践編】
価格 ¥3,000 + 消費税(¥300)+送料

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」日刊工業新聞社

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」


普段疑問に思っている間接費・販管費やアワーレートなど原価と見積について、分かりやすく書きました。会計の知識がなくてもすらすら読める本です。原価管理や経理の方にもお勧めします。

書籍「中小製造業の『原価計算と値上げ交渉への疑問』にすべて答えます!」日刊工業新聞社

書籍「中小製造業の『原価計算と値上げ交渉への疑問』にすべて答えます!」


仕入先企業からはわからない発注先企業の事情を理解して、どのように値上げ交渉をするのか、自らの経験を踏まえてわかりやすくまとめました。値上げ金額や原価計算についてもできるだけわかりやすく書きました。


セミナー
原価計算と見積、価格交渉のセミナーを行っています。

会場開催はこちらからお願いします。 オンライン開催はこちらからお願いします。  

簡単、低価格の原価計算システム

数人の会社から使える個別原価計算システム「利益まっくす」

「この製品は、本当はいくらでできているだろうか?」

多くの経営者の疑問です。「利益まっくす」は中小企業が簡単に個別原価を計算できるて価格のシステムです。

設備・現場のアワーレートの違いが容易に計算できます。
間接部門や工場の間接費用も適切に分配されます。

クラウド型でインストール不要、1ライセンスで複数のPCで使えます。
利益まっくすは長年製造業をコンサルティングしてきた当社が製造業の収益改善のために開発したシステムです。
ご関心のある方はこちらからお願いします。詳しい資料を無料でお送りします。    

経営コラム ものづくりの未来と経営

人工知能、フィンテック、5G、技術の進歩は加速しています。また先進国の少子高齢化、格差の拡大と資源争奪など、私たちを取り巻く社会も変化しています。
そのような中

 ものづくりはどのように変わっていくのでしょうか?
未来の組織や経営は何が求められるのでしょうか? 

経営コラム「ものづくりの未来と経営」は、こういった課題に対するヒントになるコラムです。

こちらにご登録いただきますと、更新情報のメルマガをお送りします。
(登録いただいたメールアドレスは、メルマガ以外には使用しませんので、ご安心ください。)

経営コラムのバックナンバーはこちらをご参照ください。
 


企業不祥事と組織の問題 その2~工学倫理と問題を起こす組織~

企業不祥事は社会に大きな損失を与え企業の存続に関わります。

これに対しコンプライアンスとコーポレートガバナンスについて、企業不祥事と組織の問題 その1で説明しました。

一方技術者は自らが関わった技術が誤って使われれば社会に多大な損害をもたらします。そこで技術者には高い倫理観が求められます。それが工学倫理です。
 

技術者の帽子を脱いで経営者の帽子をかぶりたまえ

 

1986年スペースシャトル・チャレンジャー号が発射直後に爆発しました。

事故の原因は、打ち上げの日の気温が低かったため、Oリングのシールが不十分になり、そこから燃料が漏れ出したためでした。

打ち上げの前日、Oリングメーカーのチオコール社の技術者ボイジョリーは、明日の打ち上げは低温のため燃料が漏れる危険があると主張し、打ち上げの延期を提言しました。

しかし副社長メーソンは

「君は技術者の帽子を脱いで経営者の帽子をかぶりたまえ」

と説得しました。

その結果は、悲惨な結末になりました。

技術者は、技術の専門家として高い倫理観を持ち、技術者の帽子を決して脱いではならないことをこの事故は示しています。
 

工学倫理と技術者倫理

 

技術の進歩に従い、技術が誤って使われると、多くの人が多大な被害を及ぼします。チャレンジャー号では、低温でのシール性の低下と燃料漏れというリスクに対し、正しく評価しなかったため、4名もの命が失われました。

そこで今日では技術者や科学者には高い倫理観が求められ、技術者倫理や工学倫理の教育が取り組まれています。

では、この倫理とは何でしょうか?
 

倫理とは

「倫理」とは、社会生活における人間の行為に関する規範の体系です。

一般生活における倫理は、

  • 人の物を盗まない
  • 公共物を壊さない

など、日常の中で守るべき普遍的な道徳的規範です。
 

技術者倫理

これに対し、技術者には技術者固有の自律的な行動規範があります。

それは技術者の仕事が一般の人には分かりにくいためです。

もし技術者の行動が道を外れても、専門外の人には見抜くことができません。

それだけに技術者は、自らの行動を厳しく律しなければなりません。

技術者が技術者倫理を意識して技術を正しく使うことで、専門外の我々はは安心して日常生活を送ることができます。
 

倫理と法

ただし倫理はあくまで自律的な規範です。

高い倫理を備えた人でも、うっかりミスをすることもあります。その結果、重大事故が発生すれば、人や社会に被害が及びます。

つまり倫理のみではすべてをカバーできません。

そこでこのような過失に対するのが、法の役割です。法には強制力があります。

対して倫理は他から強制されるものではありません。

そのため倫理では制御しきれないものを法がカバーします。倫理が自律的であるのに対して、法は他律的な規範です。

ただし法も完全ではありません。法はすべてを完全には押さえることができず、必ず抜け穴があります。この法の抜け穴に対しては、自律的規範である倫理が必要です。

つまり倫理が法をカバーします。

このように倫理と法は互いに補完関係にあります。下図のように倫理の落とし穴を法が埋め、法の抜け穴を倫理で埋めます。

図 倫理と法の補完関係

図 倫理と法の補完関係

経営倫理

一方、多くの技術者は組織の中で仕事をします。そこで技術者個人だけでなく、組織の倫理観である経営倫理も重要です。

倫理とは誠実さと想像力

技術者個人の倫理観は、職業に対する誠実さと顧客への信頼を大切にすることです。

  • 顧客が自社の製品をどのように使用するのか、
  • 問題がある製品を出荷すればどのようなことが起きるのか、

それに対する豊かな想像力が必要なのです。
 

乗客を見て責任を痛感した運転士

寝台特急をけん引するJRの電気機関車の運転士の話です。

深夜の運行は強い眠気に襲われる時があります。機関士は列車が駅で停車した時に車内を巡回しました。

お弁当を広げている老夫婦、お母さんに抱かれ気持ちよさそうに眠る赤ちゃん、彼はたちどころに目を覚ましました。自分がこの人たちから安心感と命を託されていることを実感したのです。そして責務の重大さを痛感しました。

最後の番人

ある自動車部品メーカーの検査員の話です。

取引先にサンプルとして出荷する製品の寸法が図面公差から外れていました。納期が迫っているため、経営者は検査員に検査結果に良品として合格印を押すよう指示しました。

しかし若い検査員は

「図面に記載された公差はそれなりの実績や根拠が合って記入されたはずであり、実物が公差から外れていれば、たとえそれが1/1000mmオーバーでも、そのリスクについて判断する根拠がない

と考えました。

わかっている唯一の基準は

「図面公差通りの製品を合格とすれば安全が確保できる」ということです。

「自分が図面と安全の最後の番人である以上、印を押すわけにはいかない」
と主張しました。

経営者は仕方なく製造方法を見直して設備も改善しました。その結果、高い品質が評価されて採用になりました。
 

それでも起きる不正や事故

 

一方、このように企業倫理、技術者倫理の大切さがわかっているのにも関わらず、今でも不正や事故は起きます。

これについてペインは

「数えきれないほど多い企業の不正行為の原因をたどっていけば、

むしろ非現実的な目標達成への圧力、誤ったインセンティブ制度、管理不良、不注意な雇用、不適切な教育訓練、そして倫理的なリーダーシップの欠如に行きつく。

組織風土こそが企業犯罪の最大の原因であることが明らかになっている。」

と述べました。

なぜなら企業の内部でも、各組織の目標は相反するからです。
 

経営倫理と組織のコンフリクト

企業には、様々な部署があります。そして各部署の業務は目指すことが異なります。例えば顧客の要求・仕様を元に設計・製造する企業では以下の3点が必要不可欠です。

●営業 
受注するためには少々無理な顧客の要求も受入れる。
納期通りに製品を納入する。

●製造 
納期、コストを守って製造する。
仕様から外れても使用上問題なければよい。

●品証 
無理な仕様で受注すれば結果的に仕様を満たさず顧客に迷惑をかけてしまうから受注はできない。
仕様から外れたものは品質を保証できないので出荷できない

図 健全な対立構造

図 健全な対立構造

このように組織の目標は相反します。品質を維持し顧客の信頼を得るには、品証は時には他の部署と喧嘩して自らの主張を通さなければなりません。

経営者は、品質保証部門は他の部署と独立させ、強い権限を与えなければいけません。

ところがタテ型組織では、上からの強い圧力が問題を起こします。
 

タテ型組織の問題

問題が起きる組織の特徴を以下に示します。

  • 官僚機構型(縦型)の大規模な組織
  • 現場とトップの間に複数の階層の中間管理職があり意思伝達がスムーズでない

図 問題を生み出しやすい、タテ型組織の特徴

図 問題を生み出しやすい、タテ型組織の特徴

こういった組織は以下の問題点があります。

  1. 情報が階層の上に伝わりにくく、情報が歪曲・制限される
  2. 負のフィードバックが利きにくい
  3. 派閥主義が横行する
  4. 緊急時や突発事件への対応が弱い
  5. 規則や法律より上下関係が重視される
  6. 組織が閉鎖的になりやすい

 
こういった組織では管理より監視の傾向が強くなります。
 

一望監視社会

このようなタテ型組織は、官僚機構だけでなく、軍隊、学校、病院もそうだといえるでしょう。また多くの企業もタテ型組織です。

このタテ型組織に対し、ミシェル・フーコーは「軍隊、学校、病院、工業は全く異なった分野だが運営方法と技術は同じだ」と指摘しました。

  • 1箇所から全体が眺め渡せるような閉鎖空間の中に規則的に人を配置
  • 時間を細分化し、細かな規則を課して行動を制御
  • 理想的な身振りに近づくように訓練
  • 成長を段階化し、発達を規格化した管理

これにより一人で効率よく多ぜい管理できます。フーコーはこれを「一望監視社会」と呼びました。

図 一望監視型(パノプティコン型)刑務所の例、プレシディオ・モデーロ(Wikipediaより)

図 一望監視型(パノプティコン型)刑務所の例、プレシディオ・モデーロ(Wikipediaより)

こういったタテ型組織では多様性が否定されます。またそれでよいと考える経営者もいます。

金太郎飴は悪くない

タテ型組織の価値観について、元トヨタ自動車会長 奥田碩氏は以下のように述べています。
以下引用
「『トヨタは金太郎飴だ』とよく言われるんですね。組織の上から下まで、同じ質問を誰にしても、同じ答えしか返ってこない。それは『金太郎飴』みたいなもので、会社としてまずいことだと。そんなふうに言われだしたのは、ここ十年以前のことだと思うんです。

会社の中を見ていると私は『金太郎飴というのは結構悪くないよ』と思うんです。

金太郎飴型の組織というのは、リーダーが『右向け右』といったら百名の部下が右を向いて走れる。『左向け左』と言ったら、左を向いて走れる。そういう同質性を持っているんです。

ここで一番大事な話は、リーダーがしっかりしていなきゃいかんということです。リーダーが理念を持って、的確な指示のもとに部下に仕事をさせる。指示を受けた部下たちは、金太郎飴的に仕事をする。

そうすれば、非常に強い企業ができるんだと私はいつも言っています。」

変化の激しい今日、リーダーの判断は常に正しいのでしょうか?

こういったタテ型組織の強い集団主義は、経営が不振に陥ると企業倫理の意識を弱め、モラルハザードを引き起こします。

経営が危機的な状態に陥ると、人々の心が内向きになり、企業倫理を犠牲にしてでも組織を守ろうとする気持ちが強まります。その結果、モラルハザードを引き起こし、コンプライアンス違反を起こします。

それは企業が人の集団だからです。そこには独自の文化、風土があります。

人が企業風土をつくる

そもそも企業は人の集団です。創業以来、長年企業のメンバーが集団として活動することで、その活動に応じた「理念」と「風土」を形成します。

この中で理念は成文化され、建前として一人歩きをします。

対して風土は不文律として黙認されます。

そして企業の中にダブルスタンダードを形成します。

この企業風土は、独創的な開発体制、教育やノウハウの共有、品質などプラスの面と、以下のようなマイナスの面があります。

  • 縦割り組織の中で周囲への無関心
  • 一方通行や硬直・形骸化したマネジメント(管理)
  • 部署間、指揮命令系統間での風通しの悪さ
  • ヒラメ人間やイエスマンの蔓延
  • 事なかれ主義と責任所在の分散化
  • 社外環境や住民への無関心
  • 密室経営と一方的管理
  • 職場での馴れ合いと排他主義

これらがコンプライアンス違反の温床ともなりえるのです。

原発の手抜き工事

2000年2月、関西電力美浜原子力発電所3号機の過去の建設工事で手抜き工事があったことが発覚しました。

美浜原子力発電所は1976年に運転を開始しました。この発電所を建設する際、原子炉格納容器内や遮蔽壁のコンクリートの強度は、210kg/cm2という最も厳しい基準でした。そのため水分の少ない固練りの生コンをポンプ車で型枠に流し込む工法が採用されました。

しかし当時開発されたばかりのポンプ車でのコンクリート圧送は、問題が多発しました。コンクリートを送る配管が途中で詰まってしまい、作業はしばしば中断したのです。

しかしコンクリート業者はゼネコンとは出来高払い契約だったため、作業が頻繁に中断しては採算が取れません。そこでコンクリートに大量の水を加えた「不法加水」で流動性を良くして作業しました。

当時の関係者によれば
「炉心部でも関係なく水はジャブジャブ入れていた。自分でも100リットル以上は普通に入れていた。」
と証言しました。
別の技術者は
「最初は注意したが改まらず、どうしようもなかった。現場で自分一人が文句を言えばつまはじきにされた。」と話しています。

しかも通産省に提出したサンプルは正規の含水率で捏造していました。

「最高レベルの安全性」「絶対安全」な原発の足元では、このような手抜き工事が常態化していました。

こうした不正を起こす企業文化・組織風土は他の業界でもありました。

それが日野自動車、三菱自動車のデータ改ざんです。これについては別のコラムでお伝えします。

参考文献

「工学倫理」堀田源治 著 工学図書株式会社
「なぜ企業不祥事はなくならないのか」國廣正、五味祐子 著 日本経済新聞社
「それでも企業不祥事が起こる理由」國廣正 著 日本経済新聞社

 

経営コラム ものづくりの未来と経営

人工知能、フィンテック、5G、技術の進歩は加速しています。また先進国の少子高齢化、格差の拡大と資源争奪など、私たちを取り巻く社会も変化しています。そのような中

ものづくりはどのように変わっていくのでしょうか?

未来の組織や経営は何が求められるのでしょうか?

経営コラム「ものづくりの未来と経営」は、こういった課題に対するヒントになるコラムです。

こちらにご登録いただきますと、更新情報のメルマガをお送りします。
(登録いただいたメールアドレスは、メルマガ以外には使用しませんので、ご安心ください。)

経営コラムのバックナンバーはこちらをご参照ください。
 

中小企業でもできる簡単な原価計算のやり方

 
製造原価、アワーレートを決算書から計算する独自の手法です。中小企業も簡単に個々の製品の原価が計算できます。以下の書籍、セミナーで紹介しています。

書籍「中小企業・小規模企業のための個別製造原価の手引書」

中小企業の現場の実務に沿ったわかりやすい個別製品の原価の手引書です。

基本的な計算方法を解説した【基礎編】と、自動化、外段取化の原価や見えない損失の計算など現場の課題を原価で解説した【実践編】があります。

ご購入方法

中小企業・小規模企業のための個別製造原価の手引書 【基礎編】

中小企業・小規模企業のための
個別製造原価の手引書 【基礎編】
価格 ¥2,000 + 消費税(¥200)+送料

中小企業・小規模企業のための
個別製造原価の手引書 【実践編】
価格 ¥3,000 + 消費税(¥300)+送料
 

ご購入及び詳細はこちらをご参照願います。
 

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」日刊工業新聞社

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」
普段疑問に思っている間接費・販管費やアワーレートなど原価と見積について、分かりやすく書きました。会計の知識がなくてもすらすら読める本です。原価管理や経理の方にもお勧めします。

こちら(アマゾン)から購入できます。
 
 

 

セミナー

原価計算と見積、価格交渉のセミナーを行っています。

会場開催はこちらからお願いします。

オンライン開催はこちらからお願いします。
 

 

簡単、低価格の原価計算システム

 

数人の会社から使える個別原価計算システム「利益まっくす」

「この製品は、本当はいくらでできているだろうか?」

多くの経営者の疑問です。「利益まっくす」は中小企業が簡単に個別原価を計算できるて価格のシステムです。

設備・現場のアワーレートの違いが容易に計算できます。
間接部門や工場の間接費用も適切に分配されます。

クラウド型でインストール不要、1ライセンスで複数のPCで使えます。

利益まっくすは長年製造業をコンサルティングしてきた当社が製造業の収益改善のために開発したシステムです。

ご関心のある方はこちらからお願いします。詳しい資料を無料でお送りします。


企業不祥事と組織の問題 その1 ~コンプライアンスと内部統制~

多くの自動車メーカーでデータ改ざんなどの不祥事が起きています。これに対しコンプライアンス軽視など企業の問題が指摘されています。

本当にコンプライアンスを強化すれば、不正は防ぐことができるのでしょうか?

企業不祥事と組織の問題について考えました。
 

コンプライアンス

 
コンプライアンスとは何でしょうか?

コンプライアンスは直訳すると「法令遵守」です。

他にも多様な意味があります。社会規範や社会道徳、会社のステークホルダー(利害関係者、株主、経営者、従業員、顧客、取引先など)の利益や要請にかなうこともコンプライアンスに含まれます。

コンプライアンスが問われるようになったのは、1990年代に粉飾決算など不正な会計処理が多発したためでした。
 

きっかけは粉飾決算や不正融資の多発

1990年代バブル経済が崩壊し、粉飾決算や不正融資が多発しました。1997年には山一證券が巨額の損失を隠ぺいする不正な会計処理を行い、巨額の簿外債務を計上し、経営破綻しました。

これをきっかけにより公正な企業会計が求められるようになりました。つまりコンプライアンスは、最初は企業の粉飾決算や不正会計など、主に上場企業の会計処理に関する法令遵守を目指したものでした。

今日ではインターネットやSNSの普及により、企業の不正行為は短時間に拡散し、経営に大きな影響を与えます。そのためコンプライアンスの重要性がより高まっています。

コンプライアンスと似た言葉にコーポレート・ガバナンスがあります。これはどう違うのでしょうか?
 

コンプライアンスとコーポレート・ガバナンスの違い

 

コーポレート・ガバナンスは企業統治と訳され、経営者を監視・監督する仕組みのことです。コーポレート・ガバナンスは経営者の暴走や不正を防ぎ、株主利益の最大化を目指します。

つまりコーポレート・ガバナンスは株主のための制度です。

コンプライアンスは、経営者から見た、従業員の会社業務に対する制度です。

コーポレート・ガバナンスは、取締役会から見た経営者の経営に対する概念を指します。ここでいう取締役会は、株主を代表して経営の監視をする機関です。取締役会の位置づけが日本企業とは異なっています。取締役会が経営者を罷免することもあります。

コーポレート・ガバナンスは、株主から経営を任された経営者が自己保身や自身の利益のために不正を行い、株主を損害を与えることを監視することを指しています。株主のための制度です。

図 コンプライアンスとコーポレート・ガバナンスの違い

図 コンプライアンスとコーポレート・ガバナンスの違い

企業のコンプライアンスに関するリスクは「コンプライアンス・リスク」と呼ばれます。

これはどのようなものでしょうか?
 

コンプライアンス・リスク

 

金融庁の

「コンプライアンス・リスク管理に関する 検査・監督の考え方と進め方」

によれば

コンプライアンス・リスクとは

「ビジネスと不可分一体で、往々にしてビジネスモデル・ 経営戦略自体に内在する場合が多く、その管理は、まさに経営の根幹をなすものである。」

と示されています。なんだかよく分かりません。これは以下の具体的な内容を見れば分かります。代表的なコンプライアンス・リスクは以下の5つです。
 

(1) 労務リスク

  • 長時間の時間外労働による労働基準法違反
  • ハラスメント(パワハラ・セクハラなど)
  • 非正規社員に対する差別的な取扱いや不合理な待遇差

 

(2) 契約リスク

  • 契約内容が法令に違反していたり、自社に不利な条文が含まれていたりするリスク

 

(3) 情報漏えいリスク

  • 営業秘密の情報漏えいを防ぐため、営業秘密を明確にし、管理体制とルールを構築
  • 個人情報の紛失・漏えいを防ぐため個人情報保護法のルールに従った個人情報の取得
  • 個人情報が漏えいしないための管理体制を構築

 

(4) 法令違反リスク

法令遵守が問題になることが多い法令は以下のものです。

  • 消費者契約法
  • 独占禁止法
  • 下請法
  • 景品表示法

 

(5) 不正会計リスク

企業の業績を良く見せるために利益を水増ししたり、脱税目的で売上を隠したりする不正会計は、企業の存続にかかわる重大な違法行為です。以下のリスクを負うことになります。
 

金融商品取引法違反

財務諸表などの虚偽記載には「10年以下の懲役または1,000万円以下の罰金」、会社にも「7億円以下の罰金」が科せられます。また役員は株主に対して損害賠償責任を負います。

役員の任務懈怠責任

役員が意図的な不正会計や見逃しにより会社に損害を与えた場合、会社に対して任務懈怠に基づく損害賠償責任を負います。

役員の第三者に対する損害賠償責任

役員の故意または過失により不正会計が行われ、第三者に損害を与えた場合、役員は当該第三者に対して損害賠償責任を負います。たとえば、粉飾した決算書で金融機関から融資を受け返済不能になれば、役員が支払いを求められることもあります。

このように経営者や従業員はコンプライアンスに違反すれば、刑事責任や民事責任が問われます。

では、このコンプライアンスを守るために、企業はどのような取組が必要でしょうか?
 

コンプライアンス遵守のための対策

 

コンプライアンス遵守のためには企業は以下の4つの取組が必要です。

(1) 法改正情報を常に収集

法務担当者は、コンプライアンスに関する法改正の情報を常に収集し、法改正に合わせてコンプライアンス体制を変更します。また法務担当者は各部門と連絡を取り日常業務の中でコンプライアンス・リスクを見つけたら直ちに検討します。
 

(2) 社内規程やマニュアルを作成・刷新する

業務が法令等に沿った形で行われるには社内規程やマニュアルの整備が不可欠です。
 

(3) ハラスメント相談窓口や内部通報窓口を設置

コンプライアンス違反を早期に発見するため、ハラスメント相談窓口や内部通報窓口を設置します。
 

(4) 過剰なノルマで成果に対する圧力をかけない

過剰なノルマを達成しようとして社員が法令違反行為を行います。過剰なノルマを課さないように管理職に適切な教育を行います。

このような体制があってもコンプライアンス違反が起きます。なぜでしょうか?

それは会社の視点と社会の視点に違いがあるためです。
 

会社の視点と社会の視点

 

現実には、組織の中では正しい行為も、社会的には厳しい批判を受けることもあります。逆に社会的には問題のない行為が組織の中では問題になります。これは図のようなマトリックスになります。

図 会社の視点と社会の視点

図 会社の視点と社会の視点

社会の視点

社会の視点で見た拒絶行為とは、法律や道徳規律で禁止・やってはいけないとされている行為です。コンプライアンスとはこの拒絶行為を行わないことです。

推奨行為とは、すでに世の中にあり、多くの人から良いことだと認められていることです。

これに対して許容行為とは、やめろとはいわれないがあまり推奨されない行為や、多くの人から非難されるものの、法律には違反していない行為です。

会社の視点

この規範が会社では異なることがあります。

自社のコンプライアンス体制を構築する際、こういったマトリックスで分類し、組織での価値判断を明確にした上で、優先順位をつけて取組みます。

このコンプライアンスを遵守するために、内部統制が求められます。この内部統制とは何でしょうか?
 

内部統制

 

内部統制(Internal Control)とは、

「適切な業務執行を行うための内部的な体制やシステム」

のことで、次のようなものがあります。

  • 組織形態の整備
  • 社内規程・業務マニュアルの整備
  • 社員教育のシステムの構築
  • 内部統制についての相談先

ただし規則やマニュアルを定めただけでなく、決めたことを確実に運用し、評価・改善する体制が必要です。

この内部統制とは具体的にはどのようなものでしょうか?
 

(1) 内部統制の6つの基本要素

①統制環境

「内部統制に対する経営者や従業員の意識」のことで6つの基本要素で最も重要です。「ルールを守る意思がない」、「ルールの重要性を理解していない」このような経営者や社員にはどんなシステムを作っても効果がありません。

②リスクの評価と対応

あらかじめリスクを分析し、リスクを排除する対応策をとっておきます。

③統制活動

適切な業務のための手順のことです。例えば横領を予防するためには、現金を扱う「決裁」手続きや預金残高を定期的に確認・報告させます。

④情報と伝達

経営者からの命令・指令が確実に伝わることです。正しく伝わらなければ適切に機能しません。現場で起きていることが経営者に正しく伝わらなければ、経営者は適切に対処できません。

⑤モニタリング

内部統制が機能しているかどうか定期的にチェックする仕組みです。例えば内部監査などをことです。

⑥ITへの対応

IT化している業務・作業も、人による業務と同様に、内部統制を考えます。

この内部統制に関する法律が日本版SOX法です。
 

(2) 日本版SOX法

日本版SOX法とは、「金融商品取引法」の一部を指します。これは財務報告の信頼性を確保するために内部統制を構築し、その内部統制の整備状況や運用状況などを評価・報告することを企業に義務づけるものです。

日本版SOX法に対応するには以下の取組が必要です。

(1)内部統制を構築

内部統制を構築する過程で、以下の3点の書類を作成します。

  • 業務記述書
  • フローチャート
  • リスクコントロールマトリックス(RCM)
(2)内部統制の整備状況を評価

内部統制が有効かどうか定期的にチェックし、不備があれば、速やかに改善します。そして内部統制が有効かどうかを評価します。

(3)内部統制の運用状況を評価

内部統制が適切に運用されているかどうか評価します。

(4)内部統制報告書の作成

内部統制の整備・運用状況を評価し、それらを内部統制報告書らまとめられます。年に一度、有価証券報告書と共に金融庁へ提出します。

(5)監査を受ける

内部統制報告書は公認会計士または監査法人により監査を受けます。監査結果は、監査人が「内部統制監査報告書」にまとめます。

(6)内部統制報告書と内部統制監査報告書を公表

内部統制報告書と内部統制監査報告書は、決算とともに公表しなければなりません。

このような考え方や法規制まであるのに、なぜ問題が起きるのでしょうか?
 

あってはならないという呪縛

 

例えコンプライアンス体制や内部統制を構築しても、それは形をつくったにすぎず、コンプライアンス体制や内部統制の効果は、実際の業務を行う社員次第です。いくらルールや決まりで縛っても、それを遵守しようという企業風土がなければ形骸化します。

大企業はJ-SOX法に従って内部統制報告書と内部統制監査報告書の作成が義務付けられています。それは財務報告の信頼性を確保するために内部統制です。しかし規則や法令に違反する問題が起きています。

なぜでしょうか?

それは「あってはならない」という呪縛が、企業がリスクを分析し、問題や事故を予測して前もって対処することを妨げるからです。なぜなら「あってはならない」ことは考えられないからです。

こうして「あってはならない」という呪縛が問題を拡大させてしまいます。
 

あってはならない事故を隠蔽

2003年2月19日運航していた名鉄バス(路線バス)に軽自動車が追突しました。この時、バスの運転手が免許更新を怠り、無免許運転だったという「あってはならないこと」が発覚しました。

そこで役員の判断で別の運転手を身代わりに立てて無免許運転を隠蔽しようとしました。これは「犯人逃避罪」にあたり2年以下の懲役、または20万円以下の罰金で、無免許運転より重い罪です。

この隠ぺい工作は発覚し、重大な刑法犯として名鉄は家宅捜査を受けました。そして役員は逮捕されました。名鉄は「あってはならないこと」という呪縛にとらわれ、犯罪行為に手を染めてしまったのです。

原発の「あってはならない」

原子力発電所は事故が起きれば甚大な被害が発生します。そのため国や電力会社は「原発は絶対安全」と主張してきました。しかしどんな安全な設備にも故障や事故のリスクは存在します。しかし原発では、それらは「あってはならないこと」なのです。

2000年7月、ゼネラル・エレクトリック・インターナショナル社(GEI)から派遣された技術者が東京電力 福島第一原子力発電所、福島第二原子力発電所、柏崎刈羽原子力発電所の点検作業を行いました。その後、彼は通商産業省に以下の告発文書を送りました。

  • 原子炉内のシュラウドにひび割れ6つと報告したが自主点検記録が改竄され三つとなっていた
  • 原子炉内に忘れてあったレンチが炉心隔壁の交換時に出てきた

この告発を受けて、原子力安全・保安院(以下保安院)は調査しました。しかし東電は「記憶にない」、「記録はない」と調査に非協力的なため調査は難航しました。2002年2月、GEIが保安院に全面的に協力した結果、東電はようやく不正を認めました。そして南直哉社長以下5人が引責辞任しました。

会見で南社長は、福島第一1号機で日本の法律では許可されていない「水中溶接」で傷を修理したことを認めました。「言い訳になってしまうが、どんな小さな傷もあってはならないという基準が実態に合っていない。」と述べました。
 

「あってはならない」が分析・対策を妨げる

ハインリッヒの法則によれば1件の重大事故の背後には、29件の軽微な事故があり、その背後には事故には至らない「ヒヤリハット」が300件あると言われています。

事故に限らず、危機的な状況をもたらす重大な法令違反もその背後には数多くの小さな不正が存在します。しかし「あってはならない」という精神は、問題を客観的に認知・分析して対策することを妨げます。

そして何かまずいことを起こしてしまったとき、社員は「とても言い出せない。隠すしかない」という精神状態に追い詰められてしまいます。これはその後次々と起こった企業不祥事に見られるものです。
 

ボヤで騒げ

経営者は、不正や事故は自社でも起きることを社内に浸透させ、些細な不正や事故を直ちに報告する健全な感覚を社員に持たせなければなりません。ある企業のトップの口癖は「ボヤで騒げ」でした。
 

マスコミの姿勢も問題

一方「絶対安全」はありえないのに、それを求める消費者やマスコミの姿勢にも問題はあります。現代の製品やサービスでも100%安全はありません。飛行機事故の確率もゼロではないのです。100%安全を求めるならば飛行機には乗らないことです。

現実には、私たちは利便性と危険(リスク)を秤にかけて、どちらかを選択します。にもかかわらず多くの利用者はそれを忘れています。そして事故が起きるとパニックになって過剰反応します。

むしろより安全・安心を求めることで、規制を強化し非効率な社会になっています。
 

規制強化で安全性が高くなった時代

図に示すように、もともと安全のレベルが低かった1960~1980年代は規制を強めることで安全レベルを上げることができました。

図 規制コストと安全レベルの関係

図 規制コストと安全レベルの関係

しかし一定以上の安全レベルに達した今日では規制を強めても効果は乏しくコストばかりが増えます。経済性、効率性を考えてどこまでコストをかけるべきかどうか、本来は吟味しなければなりません。

一方コストを考慮しない行政機関の手続きなどは、どんどん煩雑になっていき、利用者に負担をかけています。

一方技術者はコンプライアンス以外に倫理観も求められます。

それは自らがかかわる技術や製品に重大な問題があれば、人命や社会に多大な損失を与えるからです。そのため技術者は、技術の専門家として決して不正をしない高い倫理観が求められます。

これが工学倫理です。

これについては別のコラムでご紹介します。

参考文献

「組織不正の心理学」蘭 千壽、 河野 哲也 著 慶応義塾大学出版会
「日本再生への道」奥田碩、安藤忠雄 著 NHK出版

 

経営コラム ものづくりの未来と経営

人工知能、フィンテック、5G、技術の進歩は加速しています。また先進国の少子高齢化、格差の拡大と資源争奪など、私たちを取り巻く社会も変化しています。そのような中

ものづくりはどのように変わっていくのでしょうか?

未来の組織や経営は何が求められるのでしょうか?

経営コラム「ものづくりの未来と経営」は、こういった課題に対するヒントになるコラムです。

こちらにご登録いただきますと、更新情報のメルマガをお送りします。
(登録いただいたメールアドレスは、メルマガ以外には使用しませんので、ご安心ください。)

経営コラムのバックナンバーはこちらをご参照ください。
 

中小企業でもできる簡単な原価計算のやり方

 
製造原価、アワーレートを決算書から計算する独自の手法です。中小企業も簡単に個々の製品の原価が計算できます。以下の書籍、セミナーで紹介しています。

書籍「中小企業・小規模企業のための個別製造原価の手引書」

中小企業の現場の実務に沿ったわかりやすい個別製品の原価の手引書です。

基本的な計算方法を解説した【基礎編】と、自動化、外段取化の原価や見えない損失の計算など現場の課題を原価で解説した【実践編】があります。

ご購入方法

中小企業・小規模企業のための個別製造原価の手引書 【基礎編】

中小企業・小規模企業のための
個別製造原価の手引書 【基礎編】
価格 ¥2,000 + 消費税(¥200)+送料

中小企業・小規模企業のための
個別製造原価の手引書 【実践編】
価格 ¥3,000 + 消費税(¥300)+送料
 

ご購入及び詳細はこちらをご参照願います。
 

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」日刊工業新聞社

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」
普段疑問に思っている間接費・販管費やアワーレートなど原価と見積について、分かりやすく書きました。会計の知識がなくてもすらすら読める本です。原価管理や経理の方にもお勧めします。

こちら(アマゾン)から購入できます。
 
 

 

セミナー

原価計算と見積、価格交渉のセミナーを行っています。

会場開催はこちらからお願いします。

オンライン開催はこちらからお願いします。
 

 

簡単、低価格の原価計算システム

 

数人の会社から使える個別原価計算システム「利益まっくす」

「この製品は、本当はいくらでできているだろうか?」

多くの経営者の疑問です。「利益まっくす」は中小企業が簡単に個別原価を計算できるて価格のシステムです。

設備・現場のアワーレートの違いが容易に計算できます。
間接部門や工場の間接費用も適切に分配されます。

クラウド型でインストール不要、1ライセンスで複数のPCで使えます。

利益まっくすは長年製造業をコンサルティングしてきた当社が製造業の収益改善のために開発したシステムです。

ご関心のある方はこちらからお願いします。詳しい資料を無料でお送りします。


ハッキングから会社を守る1~情報セキュリティ・個人情報保護法の課題~

頻発するセキュリティ事故

 

2022年3月1日トヨタ自動車は国内14工場の生産を停止しました。

原因は仕入れ先の小島プレス工業のサーバーがウイルスに感染したため部品供給のめどが立たなかったからです。
 

子会社の脆弱なセキュリティが発端

発端は小島プレス工業の子会社が外部との通信に使用していた機器にセキュリティ上の脆弱性があったことです。

2月27日にそこからウイルス(ランサムウェア)が侵入しました。

その結果、小島プレス工業の約500台のサーバーのうち、受発注や電子カンバンに係るサーバーまでが感染しました。トヨタも100人態勢で支援に乗り出しましたが、28日中には復旧のめどは立ちませんでした。トヨタは週明け3月1日の生産ラインを停止することを決定しました。

たった1台の機器の脆弱性のためトヨタの受けた損害は数億円にもなりました。
 

数億円に達したトヨタの損害

3月2日の午後、小島プレス本社に一人の作業服の男性がいました。トヨタの社長 豊田章男氏でした。トヨタがこの事態をどれほど重く見ていたかがわかります。トヨタのサプライチェーンは6万社もあります。そのうち1社でもセキュリティが破られればどうなってしまうのか、今回の事件は示しました。

今では企業と多数の取引先がネットワークで結ばれ、リアルタイムで情報をやり取りしています。これにより生産の効率は上がり、発注の無駄も減りました。一方それと引き換えに、一旦ネットワークに問題が起きれば、サプライチェーン全体に影響が及ぶようになったのです。
 

内部による情報漏洩

 
ただし情報漏洩事件に限れば、外部からの不正な侵入よりも内部の者による漏洩の方が多いのです。

理由のひとつは、通信販売が発達したためです。顧客名簿の価値が高まり、社内の顧客名簿を名簿業者に売れば多額のお金が入るようになりました。

もうひとつの理由は、設計図面など技術情報が電子化されたことです。膨大な図面や技術情報もUSBひとつで簡単に持ち出せるようになりました。
 

ベネッセの顧客情報流出事件

2014年7月「進研ゼミ」や「こどもちゃれんじ」を運営するベネッセコーポレーションで顧客情報が流出しました。

2014年6月ベネッセコーポレーション(以降、ベネッセ)の複数の顧客に身に覚えのない企業からDMが送られてきました。顧客は個人情報が漏洩したのではないかと思いベネッセに相次いで問い合わせしました。ベネッセで調査した結果、合計3504万件の顧客情報が漏洩したことが判明しました。同社は6月30日、警察に顧客情報漏洩の疑いがあることを報告しました。

名簿が数百万円で売却

調査の結果、同社がデータベースの運用や保守管理を委託していたシンフォームの39歳のシステムエンジニアが顧客情報を持ち出したことが判明、7月17日警察に逮捕されました。彼は派遣会社からシンフォームに派遣され、ベネッセのデータベースの管理を行っていました。そのため顧客情報に容易にアクセスができました。警察の調べに対して「金がなくて生活に困っていたため、名簿業者に売却した。売却の総額は数百万円になった」と供述しました。

失った100億円と90万人の顧客

委託先の派遣社員が数百万円のお金欲しさに起こした個人情報の流出は、ベネッセ100億円以上の損失をもたらしました。この事件が原因で同社は90万人以上の顧客と社会的な信頼も失いました。

一方、昔から企業が所有する技術やノウハウを盗み出す産業スパイはありました。今はUSB 1個で大量の設計情報も持ち出せるため、漏洩リスクは高くなっています。
 

ヤマザキマザックで設計情報が漏洩

2012年3月27日、愛知県警はヤマザキマザックのサーバーから設計情報を漏洩させたとして、同社社員で中国籍の唐博容疑者を逮捕しました。一方、唐容疑者は容疑を否認しています。

アクセス権のない設計情報を大量に複製

唐容疑者は約10年前に来日し日本の大学を卒業後、正社員としてヤマザキマザックに入社しました。事件当時は販売部営業係に所属し、社内の営業部員へ工作機械の説明する業務を行っていました。唐容疑者は設計情報へのアクセス権はありませんでした。

ところが1月から3月にかけ、唐容疑者は相当数の工作機械の図面を私物のハードディスクに複製していました。おそらく何らかの不正な方法でアクセス権を取得したとみられます。そして3月12日に「中国に住む父親の体調が悪い」として退職を申し出ました。しかし大量のデータをダウンロードしているのを見た同僚が不審に思ったことで事件が発覚しました。
 

いたずらから始まった連邦裁判所への不正侵入

 
アメリカのコンピューター好きなティーンエイジャーの2人、マットとコスタは、電話システムのハッキング「フリーキング」でハッキングの技能を高めていました。

そんな二人はある晩、携帯電話会社の中継局に出かけ、ゴミ箱漁りをしていました。そこでゴミ箱から「すべての中継局と電子認識ナンバー(ESN)」を書いたメモを見つけました。このデータを使い、自分の携帯電話に特別なファームウェアを入れるとどこでも無料で電話をかけることができるようになりました。(当時インターネットの接続はLANでなくモデム経由のダイヤルアップ接続でした。)

連邦裁判所のコンピューターに侵入

2人は無料となった通信を使い、ウォー・ダイヤラーを行ってコンピューターに手当たり次第に電話をかけさせました。そこで偶然、連邦地方裁判所のモデムの番号を見つけました。連邦地方裁判所のコンピューターのユーザー名はpublic、パスワードもpublic、あまりにも単純でした。

2人はこの連邦地方裁判所のコンピューターを経由して、このコンピューターが使用しているOSメーカー(仮にA社)のコンピューターにトロイの木馬を送りました。そして、そこに接続されている多くのコンピューターの情報を引き出すことに成功しました。その中にボーイングのコンピューターのログイン情報がありました。
 

オープンになっていたボーイングのネットワーク

ある日、マットとコスタがボーイングのネットワークに侵入した時、彼らの前にUNIXのshellが現れました。どうやらボーイングの社員がそれまでサーバーにアクセスしていたコンピューターをログアウトせずに放置したようです。難なくファイアウォールを突破した2人はボーイングのネットワーク内を自由に行き来しました。

セキュリティ研修中にハッカーの侵入を発見

その頃ボーイングのコンピューターセキュリティの専門家ドン・ボーリングは、ボーイングの社員と連邦法執行官らに情報セキュリティの研修を行っていました。

研修中、ドンは情報システム担当者から、何者かがパスワードをクラックした痕跡があるという報告を受けました。マットとコスタの仕業です。ハッキングの痕跡を印刷するとユーザー名の多くが判事(judge)という文字で始まっていました。

青ざめる判事、逮捕される2人

ドン・ボーリングは研修に参加していた法執行官に向かってユーザー名のリストを見せました。ユーザー名は、連邦地方裁判所の判事のコンピューターでした。こうして連邦地方裁判所へのハッキングが判明し、法執行官たちの顔は真っ青になりました。

その結果、FBIはマットとコスタの電話番号を逆探知しました。そして所在を突き止め、2人を逮捕しました。
 

誰が攻撃者するのか?

攻撃者のタイプ

コンピューターに不正に侵入するハッカーは、全員が犯罪目的ではありません。このハッカーは以下の3つに分類されます。

  1. 政治的、経済的な利益を求める 例 ランサムウェア
  2. 個人の利益のためにデータを盗用 例 顧客名簿の販売
  3. 愉快犯 例 マットとコスタ

図1 ハッカーにもタイプが存在する

図1 ハッカーにもタイプが存在する

①の政治的、経済的な利益のために行われるのは、特定の国や企業へのサイバー攻撃や身代金目的の攻撃です。

②は個人の利益のためのデータの盗用や販売です。内部の者の犯行が多数を占めます。

企業の持つ顧客リストは高い価値があります。ベネッセコーポレーションから流出した顧客リストは複数の名簿事業者が購入し、その名簿はある通信教育の企業が購入していました。こうして犯人は数百万円の利益を得たのです。

③の愉快犯は、マットとコスタのように自らのハッキング能力を磨くために行うものです。

侵入が困難なシステムほど彼らは侵入を試みます。侵入すること自体が目的なので、苦労は厭いません。むしろ侵入が困難なほど挑戦意欲が掻き立てられます。
 

サイバー空間固有の犯罪

企業や個人から情報や企業秘密のような価値のあるものを盗み出す窃盗や強盗は、サイバー空間以外の現実世界にもいます。ただし現実世界にはサイバー空間のような③はいません。会社や住宅に侵入して何も盗ってこなければ、リスクを冒す価値がないからです。

しかしサイバー空間のハッカーたちは「自分の技術を試すため」侵入自体が目的です。

しかし何もしなくても、重要な情報がある部屋をハッカーが自由に出入りする状態は安全とはとても言い難いのです。
 

攻撃手段

では攻撃者はどのような攻撃手段を取るのでしょうか?
代表的な攻撃手段を示します。

注) 使われる用語の意味
ウイルス : プログラムやパソコンに寄生して広がり、システムの挙動に悪影響を及ぼすプログラム
ワーム : 単体で増殖を繰り返し、ネットワークを介して広がり、パソコンや情報に悪影響を及ぼすプログラム
トロイの木馬 : 侵入先のコンピューターで、コンピューターの使用者が意図していない操作を秘密裏に行うプログラム
スパイウェア : 感染先に保存されている情報を盗み、外部に送信するプログラム

 

① 身代金目的のランサムウェア

ネットワークなどを通じて感染を広げるマルウェア(悪意を持ったソフトウェア)の一種です。「ランサム」(Ransom)は英語で「身代金」を意味します。

図2 ランサムウェアの仕組み

図2 ランサムウェアの仕組み

ランサムウェアに感染すると、コンピューターのファイルが暗号化されて復元できなくなったり、端末が起動不能または操作不能になったりします。
前述の小島プレスの子会社が感染したのもランサムウェアです。
 

② 取引先を装う標的型攻撃メール

取引先からのメールと全く同じように見えます。実はこれが攻撃メールなのです。担当者や部署名、連絡先も正しく、メール本文の内容もおかしくありません。日本語も不自然でなく、相手のURLも合っています。ところが添付ファイルがウイルスであったり、メール内のURLをクリックすると問題のあるサイトに誘導されてしまいます。

これは攻撃者は攻撃対象を決めて、攻撃対象から不審に思われないように攻撃メールを送ってくるからです。

この標的型攻撃メールでは、攻撃者は事前に何らかの方法で顧客から攻撃者へのメールを取得しています。もし標的型攻撃メールの攻撃を受けても被害に遭わないようにするには、例え顧客から来たメールでも「不用意に添付ファイルを開かない」、「見覚えのないURLがメールにあってもクリックしない」といった注意が必要です。
 

③ データベースを改ざんするSQLインジェクション

第三者がSQLコマンドを悪用してデータベースに不正にアクセスして、情報の搾取や改ざん、削除を行う手法です。

具体的には、攻撃者はウェブサイトのお問い合わせフォームなどに不正に情報を引き出すSQL文を入力します。例えば、氏名を入力するフォームに「山田太郎」と入力する代わりに「山田太郎+SQLスクリプト」を入力します。このSQLスクリプトを使い、データベースを改ざんしたり削除します。

ECサイトや会員制のウェブサイトは個人情報がデータベースに格納されています。これらはSQLインジェクション攻撃でデータ漏洩の被害を受けやすいのです。あるいはブラウザの画面コントロールに使用されるJavaScriptでも、不正なJavaScriptコマンドを入力するJavaScriptインジェクション攻撃があります。
 

④ アップデートのタイムラグを衝くゼロデイ攻撃

OSやアプリケーションなどソフトウェアのバグを衝く攻撃です。

アプリケーションやOSのバグは、「脆弱性」と呼ばれ、攻撃者に狙われます。攻撃者はこのバグ(脆弱性)を衝いて悪意あるプログラムを実行します。

メーカーはバグを発見すると随時バグを修正した修正パッチを提供します。しかし修正パッチが配布されてもユーザーが修正パッチをインストールするまで時間がかかります。その間に攻撃者が脆弱性を衝いて侵入します。これが「ゼロデイ攻撃」です。あるいは攻撃者自身がアプリケーションやOSの脆弱性を発見すれば、メーカーも知らないため、大きな被害が出ます。

過去のゼロデイ攻撃の例にWannaCryがあります。これはWindows10の脆弱性を衝いたランサムウェアで自己増殖機能を持っていました。2017年には世界中のセキュリティが脆弱な端末が感染しました。

インターネット・エクスプローラーやグーグルクロームのようなブラウザも多くの脆弱性が発見され、そのためアップデートが頻繁に行われています。

2021年にインターネット・エクスプローラーで脆弱性が見つかり、攻撃者が脆弱性を悪用したWEBサイトを作成し、バンキングマルウェア(オンラインバンキングの認証情報を狙い、不正送金を目的としたマルウェア)やランサムウェアに感染させました。

(インターネット・エクスプローラーはすでにサポートが終了しているため、使用すれば脆弱性を攻撃されるリスクがあります。)
 

⑤ パスワードのハッキング

パスワードは以下の方法でハッキングされます。

ネットワークにつながるPCや機器の端末のどれかに脆弱性があり、攻撃者が侵入すれば、攻撃者はその端末のキーボード操作などを盗み見るソフトをインストールしてしまいます。そして端末がサーバーに接続するパスワードをハッキングしてしまいます。

あるいはパスワードをハッキングするソフトを使います。例えば攻撃者がネットワークに侵入するとサーバーが外部と接続するポートを調べます。もし解放されているポートがあれば、それを足掛かりに侵入します。サーバーに侵入するにはサーバーのパスワードが必要です。しかしパスワードをハッキング(クラッキングともいう)するツール(パスワードクラッカー)やパスワードクラッカーの辞書ツールは闇サイト(ダークウェブ)で容易に入手できます。攻撃者はこういったツールを使って総当たり攻撃を行います。

何万回試行してもコンピューターが自動で行えばそれほど時間はかかりません。もし事前にパスワードがpassword○○○○(4桁の数字)と分かっていれば、パスワードのハッキングは極めて容易になります。そしてハッカーたちは後述のソーシャルエンジニアリングの手法を使ってこういった情報を入手します。
 

何を守らなければならないか?

 
かといってセキュリティをいたずらに強化すれば、業務のスピードは低下し、顧客サービスも低下します。そのため情報セキュリティは何を守らなければならないのかを明確にします。

また自社の秘密の漏洩は内部によるものの方が多いのです。社内の人間による機密情報の持ち出しをシステムで完全に防ぐこと困難です。

企業秘密防衛の本の中には防衛策として訴訟が書いてあるものもあります。しかし訴訟は漏洩した後の話です。
 

守るべきものは大きく分ければ以下の2つです。

  1. 顧客情報(中には個人情報)
  2. 自社の機密情報

こうした背景から関心が高まってきたりが「情報セキュリティ」です。

この情報セキュリティとはどのようなものでしょうか?
 

情報セキュリティと関連する法律

 

情報セキュリティ

情報セキュリティとは、JISによれば「コンピューターやインターネットを安全に、安心して使うための対策」のことです。これは以下の3つを維持することです。

  1. 情報にアクセスできる人の制限
  2. 情報の欠損の防止
  3. 情報が必要な時に問題なく使える状況

図3 何らかの攻撃を受けた企業 (総務省の「平成30年度情報通信利用動向調査」引用)

図3 何らかの攻撃を受けた企業 (総務省の「平成30年度情報通信利用動向調査」引用)

総務省の「平成30年度情報通信利用動向調査」によれば企業の約半数が何らかの攻撃を受けています。多いのはウイルスメールや標的型メールですが、不正アクセスや情報漏洩、ホームページ改ざんの被害を受けた企業もあります。
 

① 情報セキュリティの7要素

情報セキュリティの要素は以下の7点があります。

  1. 機密性
  2. 完全性
  3. 可用性
  4. 正真性
  5. 責任追及性
  6. 信頼性
  7. 否認防止

 

(1)機密性(Confidentiality)

機密性とは認められた人だけが情報にアクセスし、操作できるようにすることです。このアクセス制限には、

  • コンピューターの操作ができないようにする
  • 情報そのものを見られないようにする
  • 情報を見られても書き換えられないようにする

などがあります。これらが不十分な場合、情報の改ざんや漏洩が発生します。
 

(2)完全性(Integrity)

情報が正確で改ざんや削除などが行われていない状態を指します。完全性の維持には、

  • 情報にアクセスできる人を制限する
  • 情報の閲覧権限と編集権限を使い分ける
  • 情報に行われた操作のログを残す

などが必要です。
 

(3)可用性(Availability)

情報へのアクセスを認められた人が、必要な時に問題なく情報を見たり、操作できることです。Webサイトがダウンしないようなサーバーの管理など、サービスが正しく提供されるための対策です。

この機密性、完全性、可用性は7つの情報セキュリティの中でも最も重要な内容なため、それぞれの頭文字をとって「情報セキュリティのCIA」とも呼ばれています。
 

(4)真正性

情報を使用する人が間違いなく本人であること、情報そのものも偽物ではないことを確かめます。特定の人しかアクセスできないように、情報システムにログインする際はIDとパスワードを入力するようにします。
 

(5)責任追跡性
誰が情報にアクセスしたのか明確にすることです。アクセスログの記録は責任追跡性の維持に効果的です。
 

(6)信頼性

情報に対し行った操作が正しく、正しい結果が返ってくることや、システムに故障がないことなどです。
 

(7)否認防止

情報の製作者が後で否定することで悪意ある改ざんや破壊を行っても責任を逃れることができないようにすることです。文書ファイルにデジタル署名をつけて制作者を明らかにしたり、情報の変更記録のログが残るようにします。
 

② 情報セキュリティへの脅威は?

脅威は人的脅威、技術的脅威、物理的脅威の3点です。

(1)人的脅威

人のミスや悪意のある行動を指します。ミスにはシステムの誤操作などもあります。例として

  • メールの誤送信やサーバー内のデータの削除
  • パソコンやSD・USBメモリーの紛失
  • システムの脆弱性の見落とし

などです。

悪意のある行動は、情報漏洩やデータの改ざんなどです。IDやパスワードなどを不正に聞き出すソーシャルエンジニアリングは悪意のある人的脅威です。
 

(2)技術的脅威

不正なプログラムなど、技術的に生まれる脅威です。例えばコンピューターウイルスなどです。
 

(3)物理的脅威

情報システムやコンピューターに、物理的に発生する脅威を指します。

  • 機材の老朽化
  • 故障、地震・台風などの自然災害や事故による機材破損
  • 機材の意図的な破壊、盗難
  • パソコンやサーバーがある施設への不正侵入

物理的脅威の防止には機材の定期的なメンテナンスや自然災害を想定した環境整備、パソコンのID・パスワードの認証設定などが必要です。
 

③ 具体的な情報セキュリティ対策1 技術的対策

具体的な情報セキュリティ対策のうち、技術的対策を以下に示します。

【ファイアウォール】

インターネットを経由した不正アクセスに対し、ネットワーク階層を守るセキュリティ機器です。許可された機器やIPアドレスの信号のみを通信可能とし、それ以外の機器からの通信を遮断します。さらに攻撃者がネットワークのポートをスキャンして、ネットワーク上の開放ポートを探るのを防止します。

【IDS(不正侵入検知システム)/IPS(不正侵入検知システム) 】

攻撃者の中にはネットワークサーバーの脆弱性を衝いてDos攻撃などを仕掛ける場合があります。これはファイアウォールでは防げないため、IDS/IPSは通信パターンを調べて異常なパターンの通信を排除します。

【WAF(ウェブ・アプリケーション・ファイヤウォール) 】

Dos攻撃のような明らかに異常なパターンの通信に対し、SQLインジェクション攻撃は通信パターンは正常ですが、不適切なコマンドをウェブアプリケーションに送信する攻撃です。そのためIDS/IPSは検知できません。WAFはウェブアプリケーションの送られるデータ検査することでSQLインジェクションやJavaScriptインジェクション攻撃から防御します。

図4 様々な階層での防御方法

図4 様々な階層での防御方法

【ユーザー認証】

IDとパスワードでアクセス制限をかけるのに加えて、メールアドレスや携帯電話番号を使用した二段階認証も行うことで不正アクセスを防ぎます。
 

④ 具体的な情報セキュリティ対策2 物理的対策

物理的脅威に対してアクセス制限をします。許可された人のみがパソコンやサーバーを使えたり、機材のある建物にアクセスでき、他の人はアクセスできないようにします。

【離席ロック機構】

パソコンなどから一定時間離れる場合、自動的にロックがかかるようにします。組織内で運用する場合は、「〇分経ったらスリープ状態になる」など基準を設けます。

【筐体管理】

パソコン自体が管理されてなく紛失してもわからない職場もあります。そこでパソコンそのものにも破壊や盗難の防止策を施します。本体のカバーが開けられたことを通知する警報設置や、ワイヤーから切断されたときにブザーが鳴るケンジントンロックなどがあります。
 

⑤ 具体的な情報セキュリティ対策3 人的対策

従業員に対して情報セキュリティ教育を行います。

情報を扱う人に対する教育として、パソコン、SD・USBメモリーの取り扱い方法や個人情報の扱い方、情報を使用する際のモラル教育を行います。

これらの対策は相互に効果を高める効果があるため、一つだけに注力しても効果は高くありません。そこで技術的対策、物理的対策、技術的対策を組み合わせることが重要です。

図5 対策と機能の組み合わせ

図5 対策と機能の組み合わせ


 
 

事故対応

情報セキュリティ事故(インシデントという)が起きた時、対処方法を決めておかなければ、初動対応を誤り、被害を拡大させてしまいます。事故対応だけでなく、情報セキュリティに関して問題が発生した時の責任者と連絡方法を決めておきます。

図に例を示します。

図6 事故対応の流れ

図6 事故対応の流れ


 

参考) 情報セキュリティに関する認証制度
【ISMSマーク】

国際規格(JIS Q 27002: ISO/IEC 27002)に従ってすべての情報資産がセキュリティの適切な運用ができているか審査し認証が付与されます。認証にはJIS Q 27002: ISO/IEC 27002が定める要求事故に適合し、情報の機密性・完全性・可用性の維持がなされていることが必要です。

【プライバシーマーク】

個人情報の取り扱いが適切な法人や組織に付与されます。ISMSマークと違いプライバシーマークは個人情報のみを対象としています。
 

情報セキュリティ関連の法律 

サイバーセキュリティ基本法

2014年成立し、2015年1月から施行されています。サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念や国の責務、サイバーセキュリティ戦略をはじめとする施策の基本となる事項を規定したものです。

具体的な戦略は「内閣サイバーセキュリティセンター(NISC)」や他の法律にゆだねられます。
 

特定電子メール法

短時間のうちに無差別かつ大量に送信される広告や宣伝メールなど、いわゆる「迷惑メール」を規制し、良好なインターネット環境を保つために2002年に施行されました。2008年に法改正が行われ、オプトイン方式の導入や罰則の強化も盛り込まれました。

特定電子メールとは、

「営利を目的とする団体および営業を営む場合における個人」

である送信者が

「自己又は他人の営業につき広告又は宣伝を行うための手段として送信する電子メール」

で、(総務省のガイドラインでは)

「電子メールの内容が営業上のサービス・商品等に関する情報を広告または宣伝しようとするもの」

であれば特定電子メールに該当します。その場合、企業が顧客や見込み客にメールマガジンなどを配信する場合は注意が必要です。この場合、「広告または宣伝」とそれに関するウェブサイトへの誘導の有無で「特定電子メール」に該当するかどうかが決まります。
 

罰則

特定電子メール法に従わず「オプトイン方式」や「送信者の表示義務」を守らず、「送信者情報を偽った電子メールの送信 」や「架空電子メールアドレスあての送信」を行った場合は最高「1年以下の懲役又は100万円以下の罰金」、法人では「行為者を罰する他、法人が3000万円以下の罰金」が科せられます。

オプトイン方式

特定電子メールを送信する際、受信者から事前に同意を得ることです。
一方「オプトアウト」とは、受信者側が特定電子メールを「もう入りませんよ、送らないでください」と受信を拒否することです。オプトアウトの通知が来た場合、送信者は特定電子メールの送信を停止しなければいけません。
 

不正アクセス禁止法

2000年に施行され、サイバー犯罪の深刻化等の事態を受け、2012年に改正された法律です。改正で、フィッシング行為や識別符号(IDやパスワード)の不正取得・不正保管が禁止され、不正アクセス行為に関する法定刑の引き上げが行われました。

不正アクセス禁止法では、不正アクセス行為や不正アクセスを助長する行為、他人の識別符号(IDやパスワード)を不正に取得する行為が禁止されています。
 

個人情報保護法

個人情報とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報を指します。

生年月日や電話番号は、それ単体では特定の個人を識別できませんが、氏名と組み合わせると特定の個人を識別でき個人情報に該当します。

要配慮個人情報とは、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないように取扱いに配慮すべき情報です。例えば、人種、信条、社会的身分、病歴、犯罪歴、身体障害・知的障害などの障害などが要配慮個人情報に該当します。「要配慮個人情報」の取得は、本人の同意が必要です。

氏名だけでも個人情報に該当します。企業が個人情報を取得する場合は、あらかじめ利用目的を公表(ホームページ等)する、あるいは取得後速やかに利用目的を本人に通知、又は公表する必要があります。また、取得後利用目的を変更する場合は、本人の同意が必要です。
 

個人データとは、個人情報を検索可能なように分類、整理したものを指します。

顧客が記入したアンケートは個人情報であっても個人データではありません。アンケートを表に整理し、エクセルに入力して顧客を検索できるようにしたものは個人データになります。

個人情報は安全管理の義務は生じませんが、個人データは安全管理が必要です。

安全管理の措置は、個人情報保護委員会「個人情報保護法ガイドライン(通則編)」の「8(別添)講ずべき安全管理措置の内容」に具体的に示されています。

ただし中小事業業者(従業員100人以下)ではそこまでの、そこまでの措置は困難なことから必要な最低限の措置が示されています。
 

個人情報保護法の概要
① 組織的安全管理
  • 組織体制の整備
  • 個人データの取扱いに係る規律に従った運用
  • 個人データの取扱状況を確認する手段の整備
  • 漏えい等の事案に対応する体制の整備
  • 取扱状況の把握及び安全管理措置の見直し

中小規模事業者の場合、個人データを取り扱う社員が複数いる場合は責任者を決めておきます。個人情報保護法に従って社内で定めたルールに従い個人データを取り扱っているか、責任者が確認します。

また、情報漏えい等が発生したときの連絡体制を決めておきます。個人データの取り扱いについて、責任者は年に1回は点検し、必要に応じて見直します。
 

人的安全管理措置

従業者に個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければなりません。具体的には以下の2点です。

  • 個人データの取り扱いの留意事項について、従業者に定期的な研修等を行う
  • 個人データの秘密保持に関する項目(懲戒等)を就業規則等に盛り込む

図7 機密情報の人的リスク

図7 機密情報の人的リスク


 

③ 物理的安全管理措置

物理的安全管理措置として、次に掲げる措置が必要です。

  • 個人データを取り扱う区域の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち運ぶ場合の漏えい等の防止
  • 個人データの削除及び機器、電子媒体等の廃棄

 

中小規模事業者が個人データを記録したパソコンやUSBメモリ、個人データが記載された書類などを管理する場合、少なくとも次の対応を行います。

  • 個人データを取り扱う従業者以外の者が、のぞき見などをできないようする
  • 施錠できるところに保管し、盗難されないようにする
  • 持ち運ぶときは、パスワードを設定する
  • すぐに情報が漏えいしないように封筒に入れた上で鞄に入れたりする
  • 廃棄するときは、廃棄したことを責任者が確認する

 

④ 技術的安全管理措置

これは前述の情報セキュリティと重複する部分が多くあり、以下の安全管理措置対策が必要です。

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報システムの使用に伴う漏えい等の防止

 

中小規模事業者は技術的安全管理措置として、少なくとも次の対応が必要です。

  • 個人データを取り扱うパソコンと、それを使える従業者を決めておく
  • 個人データを扱うパソコンには、ID・パスワードの認証を設定しておく(ID・パスワードの共有はしない)
  • OSは常に最新にしておく
  • セキュリティ対策ソフトなどを導入する
  • メールで個人データの含まれるファイルを送信するときは、そのファイルにパスワードを設定する

図8 個人情報の種類と管理方法

図8 個人情報の種類と管理方法


 

不正競争防止法

営業秘密は、企業が持つ秘密情報の中で、「不正競争防止法」により保護の対象となる秘密情報を指します。社員が営業秘密を持ち出した場合、民事上・刑事上の措置をとることが可能です。
 

① 営業秘密の3要件
1.秘密管理性

秘密管理性とは、情報を秘密として管理されていること。適切に管理されていなければ保護の対象となりません。

2.有用性

事業活動における製品やサービスの生産・販売・研究開発などに役立つ、事業者にとって有用な情報であること。

3.非公知性

非公知性とは、公然と知られていないこと。一般的に入手することができない状態にあること。
 

② 企業に必要な営業秘密の管理

紙やデータディスクは「秘」「社外秘」「Confidential」などの記載をし、秘密とすべき情報であることを表示します。情報を使用する者について制限を行ったり、使用に際して一定の承認行為を設けます。

該当する紙や媒体を、鍵がかけられる棚などの収納設備に収納し、鍵を管理する取扱責任者を置きます。
 

③ 「営業秘密」を漏えいさせた者への罰則

10年以下の懲役または1,000万円以下の罰金が科せられます。
 

④ 営業秘密の漏えいの原因は「人」

原因の多くは「人」です。従業員、退職者、取引先や共同研究している関係企業、それ以外の第三者などが含まれます。
過去の事例では顧客情報がもっとも多く、次いで設計図や製造装置の情報が多いです。これらの漏えいの多くは人を介して行われていました。

原因が従業員の場合、管理ミスによる事故と悪質な行為の2つがあります。管理ミスによる事故で多いのは、営業秘密が記載されたメールの誤送信、営業秘密が入ったバッグの置き忘れなどです。

悪質な行為としては、高額な報酬との引き換え、転職先への営業秘密の持ち出しなどが挙げられます。
 

⑤ 営業秘密の漏えい防止と管理方法

IT化による情報の取り扱い手法の変化や業務の外部委託化、雇用の流動化などのため情報漏えい事故は後を絶ちません。営業秘密の漏えいを招かないためには、状況に応じて適切な管理を行う必要があります。

1.物理的管理
  • 生体認証による出入管理

部外者の侵入による営業秘密の流出を防ぐため、出入管理が必要です。社員証の場合、紛失やなりすましの恐れもあるため、生体認証の方がより効果的です。

  • 防犯カメラの設置

内部者による情報漏えいの犯行を防ぐには、防犯カメラの設置も効果的です。営業秘密を保管している場所に防犯カメラを設置し、常時監視していることを周知するとともに、万が一漏えいが発覚した場合にすぐ状況を確認できる環境を作りましょう。

図9 防犯カメラの設置は効果的

図9 防犯カメラの設置は効果的


 

  • 機密文書集荷、廃棄処理

機密文書を廃棄する際は、内容の流出を避けるため、機密文書専門の廃棄処理サービスを活用します。
 

2.技術的管理

パソコンやモバイル機器、記憶媒体などのIT資産を適正に管理することは、意外に大変です。具体的には、パソコンやモバイル端末から、それらにインストールされたソフトウェアなどのバージョン・ライセンスに関する情報を一元管理できることが理想的です。

3.組織的管理

営業秘密を適切に管理するためには、以下の5つの措置が必要です。

  • 組織体制を整えること
  • 規程とその運用を整備すること
  • 情報の取扱状況を把握できる手段を整えること
  • 安全管理の見直しや改善
  • 事故や違反への対処

これらの項目の実施により、「組織的安全管理措置」を行うことができます。

4.人的管理

従業員が適切に情報を取扱い保護できるために、機密保持契約を結んだり、社内規程などについて教育や訓練を行ったりすることを「人的管理」と言います。
 

アメリカのトレード・シークレット法

アメリカも同様に企業や個人が不正な手段で企業秘密を取得したり、漏洩することを禁じています。現在は統一トレード・シークレット法として各州が州法として採用することを勧告し、現在41の州が採用しています。

この中でトレード・シークレットは以下のように定義されています。

製法、様式、修正、プログラム、考案、方法またはプロセスなどの情報で

  • 一般には知られていない
  • 現実的または潜在的な経済価値を有している
  • 秘密性を保持するために合理的な努力がなされているもの

またトレード・シークレットに対する侵害行為として

  • 当該トレード・シークレットが不正手段(窃盗、買収、詐欺、守秘義務違反、その他教唆、電子的手段やその他のスパイ行為など)によって取得されたことを知っている者が、そのトレード・シークレットを取得・使用・開示する行為

が定められています。
 

事例 Apple

Appleが、企業秘密を盗んだとして自社の自動運転車チームの元メンバーを刑事告訴しました。Appleの訴えにより、元社員のXiaolang Zhang被告が中国への逃亡を図ろうとしたところ、2018年7月7日にサンノゼ空港で逮捕されました。

Appleの知的財産の窃取に関して米連邦捜査局(以下、FBI)の事情聴取を受け、同氏は罪を認めています。Zhang氏は2015年からAppleで働き、同社の自動運転車プロジェクトで、センサデータを分析する回路基板の設計とテストを担当しました。

2018年4月に休暇を取得して中国に戻り、その後職場に戻り、Appleを退職してXMotors(小鵬汽車)という中国の自動運転車のスタートアップに転職すると上司に告げました。

その際に上司が疑念を持ち、AppleのNew Product Security Teamに連絡したところから、不正行為が明らかになりました。
 

米国における営業秘密等の保護

連邦経済スパイ法 EEA(Economic Espionage Act of 1996)

1980年代初頭のIBM ソフトウェアの窃盗事件の発生、その後の米ソ冷戦構造で軍事技術情報をめぐるスパイ事件の増加という背景と、民事規制では十分ではないという観点から、営業秘密の不正取得等に関して制定された連邦法です。

EEAは、以下の2つの犯罪を禁止しています。

◆外国政府に便益を与えるための経済スパイ:合衆国法典第18巻(EEA)第1831条

本条は、所有者の許可なく営業秘密を取得もしくは他人に譲渡し、又は、その他の方法で所有者から営業秘密を奪うことを禁止しています。

◆営業秘密の不正取得・不正開示: 合衆国法典第18巻(EEA)第1832条

本条は、営業秘密の窃取、獲得、破壊又は伝達に関する同様の行為を禁止していますが、外国主体の便宜に関する規定の代わりに、所有者以外の者の便益のために営業秘密を不正取得するという被告人の意図を要件としています。
 

注意が必要なのは未遂及び共謀でも同じ罰則が科せられることです。

またFBIは不正取得の疑いがあれば、覆面捜査も行います。例えば捜査員が、営業秘密に興味があるふりをして近づいたりします。営業秘密を所有する企業が調査を手助けすることも多いです。海外企業と事業提携を行う場合、提携企業がライバル企業の営業秘密を不正に取得すれば、自社もアメリカでの刑事事件に巻き込まれる恐れがあります。
 

参考文献

「ハッカーズ」ケビン・ミトニック、ウィリアム・サイモン 著 インプレスジャパン
「欺術」ケビン・ミトニック、ウィリアム・サイモン 著 ソフトバンク・パブリッシング
「実務に役立つ改正個人情報保護法速攻対応」 (株)シーピーデザインコンサルティング著 学研
「機密情報の保護と情報セキュリティ」畠中伸敏 著 日科技連
「社長のための情報セキュリティ」日経BPコンサルティング情報セキュリティ研究会 著 日経BPコンサルティング
「サイバー攻撃からあなたの会社を守る方法」藤原礼征 著 中経出版
 

経営コラム ものづくりの未来と経営

人工知能、フィンテック、5G、技術の進歩は加速しています。また先進国の少子高齢化、格差の拡大と資源争奪など、私たちを取り巻く社会も変化しています。そのような中

ものづくりはどのように変わっていくのでしょうか?

未来の組織や経営は何が求められるのでしょうか?

経営コラム「ものづくりの未来と経営」は、こういった課題に対するヒントになるコラムです。

こちらにご登録いただきますと、更新情報のメルマガをお送りします。
(登録いただいたメールアドレスは、メルマガ以外には使用しませんので、ご安心ください。)

経営コラムのバックナンバーはこちらをご参照ください。
 

中小企業でもできる簡単な原価計算のやり方

 
製造原価、アワーレートを決算書から計算する独自の手法です。中小企業も簡単に個々の製品の原価が計算できます。以下の書籍、セミナーで紹介しています。

書籍「中小企業・小規模企業のための個別製造原価の手引書」

中小企業の現場の実務に沿ったわかりやすい個別製品の原価の手引書です。

基本的な計算方法を解説した【基礎編】と、自動化、外段取化の原価や見えない損失の計算など現場の課題を原価で解説した【実践編】があります。

ご購入方法

中小企業・小規模企業のための個別製造原価の手引書 【基礎編】

中小企業・小規模企業のための
個別製造原価の手引書 【基礎編】
価格 ¥2,000 + 消費税(¥200)+送料

中小企業・小規模企業のための
個別製造原価の手引書 【実践編】
価格 ¥3,000 + 消費税(¥300)+送料
 

ご購入及び詳細はこちらをご参照願います。
 

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」日刊工業新聞社

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」
普段疑問に思っている間接費・販管費やアワーレートなど原価と見積について、分かりやすく書きました。会計の知識がなくてもすらすら読める本です。原価管理や経理の方にもお勧めします。

こちら(アマゾン)から購入できます。
 
 

 

セミナー

原価計算と見積、価格交渉のセミナーを行っています。

会場開催はこちらからお願いします。

オンライン開催はこちらからお願いします。
 

 

簡単、低価格の原価計算システム

 

数人の会社から使える個別原価計算システム「利益まっくす」

「この製品は、本当はいくらでできているだろうか?」

多くの経営者の疑問です。「利益まっくす」は中小企業が簡単に個別原価を計算できるて価格のシステムです。

設備・現場のアワーレートの違いが容易に計算できます。
間接部門や工場の間接費用も適切に分配されます。

クラウド型でインストール不要、1ライセンスで複数のPCで使えます。

利益まっくすは長年製造業をコンサルティングしてきた当社が製造業の収益改善のために開発したシステムです。

ご関心のある方はこちらからお願いします。詳しい資料を無料でお送りします。


危機管理とBCP~企業経営の本当のリスクと、それに備えるリスクマネジメントとは?~

日本は地震、豪雨や台風による水害や土砂崩れなど、災害が多い国です。

災害は時には企業に大きなダメージを与えます。災害の規模によっては事業の継続が困難になることもあります。

この時、万が一に備えた事業継続計画(Business Continuity Plan : BCP)があれば、災害を乗り越え事業をスムーズに再開できます。

ただし自然災害以外にも事業リスクあります。つまりBCPだけでは万全ではありません。

ではどうすればよいのでしょうか。事業のリスクとは何でしょうか?

企業経営の危機管理についてまとめました。
 

リスクとリスクマネジメント

危機や危機管理に関して、リスクマネジメント、クライシスマネジメント、リスクアセスメントなどの言葉があります。

これはどのような意味でしょうか?

そもそもリスクとは何でしょうか?
 

リスクとは

リスクとは、

「将来いずれかの時に起こる不確定な事象とその影響」

を意味します。

一方日本語ではリスクは

「何か悪い事が起きる可能性、予想通りにいかない危険、危機が起きる確率など『危険』や『危機』」

を指します。

【リスクの語源】

英語 risk の語源はラテン語の risicare で、「(悪い事が起こる可能性を承知の上で)勇気をもって試みる」という意味です。

このようにリスクは、様々な意味があります。また分野によっても定義が違います。
 

【経済学でのリスク】

経済学では、ある事象の変動に関する不確実性を指します。また金融理論では変動の大きさをリスクと呼びます。そして経済学では悪いことだけでなく良いこともリスクです。
 

【工学でのリスク】

工学分野でリスクとは「ある事象生起の確からしさと、それによる負の結果の組合せ」を指し、JIS Z 8115「ディペンダビリティ(信頼性)用語」で定義されています。この場合、リスクはマイナスの要因のみを指します。 
 

【リスクとハザード】

工学ではリスクと並んでハザードという単語も使われます。「リスク」と「ハザード」は同じ意味としても捉えられますが、リスクアセスメントの観点では以下の違いがあります。

  • ハザード :自然災害、停電、劣化などによる危険性又は有害性
  • リスク  :ハザードが悪影響をもたらす可能性

従って、ハザードがなければリスクは生まれません。
 

図1 危険性または有害性(ハザード)とリスクの違いとは

図1 危険性または有害性(ハザード)とリスクの違いとは


 

工学の分野では、製品やプロジェクトの信頼性を高めるために、リスクマネジメントを行い、リスクの影響を抑えます。
 

リスクマネジメント(工学)

JISの定義によればリスクマネジメントとは

「リスクについて,組織を指揮統制するための調整された活動」(危機管理)

とあり、ISO31000に規定されています。

ISO31000のリスクマネジメントのプロセスは以下の通りです。

  • コミュニケーション及び協議
  • 適用範囲,状況及び基準
  • リスクアセスメント (リスク特定、リスク分析、リスク評価)
  • リスク対応
  • モニタリング及びレビュー
  • 記録作成及び報告

 

1. リスクアセスメント

リスクマネジメントでは、最初に以下の手順に従いリスクアセスメントを行います。

  1. リスク特定
  2. リスク分析
  3. リスク評価 – 各リスクに対してリスクの度合いを評価

 

(1)リスクを特定
リスクを洗い出し、確認して記録します。リスクを特定するには、次のような方法があります。

  • 過去のデータ、または理論モデルに基づくチェックリスト、または分類法
  • 文献レビューや履歴データの分析などの証拠に基づく方法
  • HAZOP、FMEA、SWIFTなど、通常の運用からの逸脱の可能性を体系的に検討するチームベースの方法
  • 特定の状況下で何が起こるかを特定するためのテストやモデリングなどの経験的方法
  • シナリオ分析など、将来の可能性について想像思考手法
  • ブレインストーミング、構造化インタビュー、 監査などの専門家を引き出す方法

 

図2 工程FMEAの例

図2 工程FMEAの例


 

(2)リスク分析
特定したリスクを発生可能性(確率)も含めて分析します。リスク分析には以下のようなものがあります。

  • リスクの原因、リスクが推進される要因
  • 既存の管理手法(コントロール)の有効性の調査
  • 起こりうる結果とその可能性
  • リスク間の相互作用と依存関係
  • リスクの尺度の決定
  • 結果の検証と妥当性確認
  • 不確実性と感度(変動)の分析

リスク分析は、過去の事象(イベント)の確率と結果に関するデータを使用することがよくあります。
 

(3)リスク評価
リスクの推定レベルからとその結果から、リスクの重大性を評価します。そしてリスクの対処について決定を下します。
 

2.リスク対応

リスクの対応を選択します。以下はリスク対応の例です。

(1)リスク除去
リスクを生じさせる活動を行わないことでリスクを回避します。

(2)あえてリスクを取る
利益や事業機会を失わないために、あえとリスクがあることを容認します。しかしこの場合も安全を考慮するべきで、安全の低下を推奨するものではありません。

(3)リスク回避
リスク源を除去します。
例)人のミス(ヒューマンエラー)のリスクに対し、ポカヨケやチェックシステムを構築する。

(4)起こりやすさを変える
例)地震や洪水に対し、より安全な場所に会社を移転する。

(5)結果を変える
何らかの対処をすることで、問題は起きても深刻な事態にならないように結果を変えます。
例)火災が派生しても、スプリンクラーをつけることで火事になるのを防ぐ。

(6)リスク共有
例)契約、保険購入によってリスクを共有する

(7)リスク保有
リスクの情報を収集し、問題は小さいことから、あえてリスクをそのままとします。
 

リスクマネジメント(経営)

経営におけるリスクマネジメントは、組織運営に影響を与えるようなリスクに対し、損失を最小限に管理することです。
 

経営の2種類のリスク

経営のリスクは、大別すると「純粋リスク」と「投機的リスク」の2種類があります。

【純粋リスク】
企業に損害や損失のみをもたらすリスクのことで、以下のような要因が挙げられます。

  • 火災
  • 水害
  • 地震
  • 自動車事故
  • テロ

【投機的リスク】
「ビジネスリスク」とも呼ばれ、投資や金利変動、新商品開発など損失と利益のどちらの可能性もあるリスクのことです。例えば、以下のようなタイミングで発生します。

  • 為替変動
  • 金利変動
  • 新商品の開発
  • 事業の多角化

 

リスクマネジメントの手順

経営におけるリスクマネジメントは以下の手順で行います。

図3 リスクアセスメントとリスクマネジメント

図3 リスクアセスメントとリスクマネジメント


 

(1)リスクの特定
予測されるあらゆるリスクを列挙します。些細だと思うものも含め、抜けや漏れなくリスクを洗い出します。
 

例 上場企業が国内拠点で着目しているリスク

順位 リスク
1位 地震・風水害等、災害の発生
2位 人材流失、人材獲得の困難による人材不足
3位 法令順守違反
4位 製品/サービスの品質チェック体制の不備
5位 情報漏えい
6位 サイバー攻撃・ウイルス感染
7位 過労死、長時間労働等労務問題の発生
8位 市場における価格競争
9位 原材料ならびに原油高の高騰
10位 法改正や業界基準変更時の対応の遅れ

引用元│ 有限責任監査法人トーマツ「企業のリスクマネジメントおよびクライシスマネジメント 実態調査 2018年版」
 

(2)リスクの分析
各リスクのもつ影響度の大きさを評価します。

一般的には各リスクを頻度と影響度で分類してマトリクスにします。頻度を発生確率として、影響度を金銭的な損害として下記のようなマトリクスを作成します。

リスクの大きさ=影響度×発生確率
 

図4 リスクの大きさのマトリックス

図4 リスクの大きさのマトリックス


 

中には数値で表す(定量化)のが難しいリスクもあります。これは定性的リスクと呼ばれ、例えば、コンプライアンスリスクは、発生頻度とその結果の金銭的な影響の予測が難しく、影響度を数値化するのは困難です。こういった定性的リスクは、弁護士・公認会計士など専門家の意見や客観的な統計を使ってリスクの影響度を精査します。
 

(3)リスクの評価
リスク分析後、リスクマップと呼ばれる表を用いてリスクの重大さを可視化します。
 

表 リスクの大きさと対応の例

リスクの大きさ 重要度
9 優先的に対応
6 やや大 二番目に優先
4 三番目に優先
3 費用対効果を考慮して対応
2 費用対効果を考慮して対応
1 対応しない

 

各リスクをマッピングしていくことで、リスク全体を体系的に把握することができるほか、優先して対応すべきリスクの可視化ができます。
 

図5 リスクマップの例

図5 リスクマップの例


 

マトリクスでマッピングされた(分析された)リスクに対し、対応の優先順位をつけます。

リスクは数多く存在するため、そのすべてに対応することは不可能です。またリスクマネジメントに割けるリソースも限られています。

そのため、リスクに対し優先順位をつけます。

基本的には頻度と影響が大きいものを高い優先順位にします。
 

(4)リスクの対応と実施
優先順位に従って対策や低減措置を考えます。

その際、対策は大きく分けて、リスクコントロールとリスクファイナンスに区分されます。
 

● リスクコントロール
リスクによって発生し得る損失の頻度と大きさをコントロールします。回避する、損失防止・損失削減を行う、分離・分散を行うなどです。

例)事業撤退、リスクを生む要因を取り除くリスク発生頻度を軽減させるためのマニュアル策定、緊急対応時のルール策定など

● リスクファイナンス
リスクによって発生した損失を、金銭で補填する方法です。移転や、損失の許容などがこれに当たり、大きな経済的損失を補填することです。

例:損害保険加入など他社と合意に基づきリスク分散する、期間損益でのコスト吸収など損出を受容する
 

リスクコントロールとリスクファイナンスの詳細を以下に示します。

表 リスクコントロールとリスクファイナンシング

区分 手段 内容
リスクコントロール 回避 リスクを伴う活動自体を中止し、予想されるリスクを遮断する対策。リターンの放棄を伴う。
損失防止 損失発生を未然に防止するための対策、予防措置を講じて発生頻度を減じる。
損失削減 事故が発生した際の損失の拡大を防止・軽減し、損失規模を抑えるための対策。
分離・分散 リスクの源泉を1か所に集中させず、分離・分散させる対策。
リスクファイナンシング 移転 保険、契約等により損失発生時に第三者から損失補填を受ける方法。
保有 リスク潜在を意識しながら対策を講じず、損失発生時に自己負担する方法。

資料:リスク管理・内部統制に関する研究会「リスク新時代の内部統制」から中小企業庁作成
 

表 具体的なリスク対策方法

リスクへの対応方法 具体例
回避 活動を停止し、リスクを遮断する。事業撤退など
損失防止 発生しないよう予防策を講じる。研修やマニュアルの整備など
自社に損失を与える可能性のある取引先を避ける
損失削減 リスク発生時の損失を抑える。対応フローの整備など。
火災の損失を削減するために、スプリンクラーや防火扉を設置する
自動車事故での負傷による損失を削減するために、エアバッグを設置する、シートベルトを着ける
分離、分散 地震の発生確率を考えて、生産拠点を分散させる
金融機関の破綻に備えて、預金先銀行を複数確保する
リスクの源泉が集中するのを防ぐ
移転 ネットワークの停止時における損失を保険で補填する、ネットワーク保険に加入する
保険などで第三者から損失補填を受ける
保有(許容) 特に対策を講じず自社で損失を負担する。新入社員に業務を任せるなど

 

(5)対応のモニタリングと改善
対策を実施したら効果を評価します。効果が不十分であれば改善を行い、より質の高い対策にします。

さらに定期的にモニタリングを行います。社会や企業を取り巻く環境が変われば、リスクや対応策も変化するからです。
 

クライシスマネジメント

「クライシス(crisis)」の語源は「将来を左右する分岐点」です。

人あるいは組織がクライシス(危機的な事態)に直面したとき、対応によって将来が大きく変わります。

そこで組織が危機的な事態に直面したときの対応を管理するクライシスマネジメントを行います。これはクライシス(危機)をマネジメント(management)は「管理」することなので危機管理とも呼ばれています。
 

リスクマネジメントは、「危機を発生させない」ようにし、なおかつ「危機が発生した」場合も管理します。従ってリスクマネジメントは、クライシスマネジメントを含みます。ただし狭い意味のリスクマネジメントは、危機を発生させないための管理に限定します。

下図で、リスクマネジメントとクライシスマネジメントについて示しました。危機の予見力、回避力から再発防止力までがリスクマネジメントであり、危機が発生後の被害軽減力がクライシスマネジメントであることが分かります。
 

図6 リスクマネジメントとクライシスマネジメント

図6 リスクマネジメントとクライシスマネジメント


 

危機が発生した時は、以下の手順で対応します。

第一報

いつまでに(危機発生後何分以内に)、誰に報告するのか、何を (5W1Hにとらわれない)、深夜、休日はどうするのかなど、社内でルールを決めておきます。

この場合、自社にとっての危機は何か、どこまでを危機とみなすのか、誰もが同じ判断ができるようにしておく必要があります。

事実と状況の把握

正しい決定には、正確な情報が不可欠です。情報は「現地・現物・現実」の三現主義に徹して、人から聞いた情報を鵜呑みにするのではなく、自分の目で確かめるようにします。

情報はできる限り正確に、定量的に把握(何分、何kg、何個…)します。

状況の判断

論理的に予測し、データに基づいて判断します。問題は「こうなってほしい」とこちらの都合のいい結果にならないこともあります。予測が外れた場合のプランBを必ず用意しておきます。

また意思決定者が不在の場合、誰が判断するのか、代行者をあらかじめ決めておきます。

対応方針の決定

判断した状況に基づき、対応を決定します。

図7 初動対応の手順

図7 初動対応の手順


 

組織的な実行

メンバー全員で組織的に対応します。現場では想定外のことも起きます。その場合はメンバーが自ら判断しなければなりません。そこでリーダーからメンバーまで同じ情報を持ち、判断の根拠となる方針を全員が共有していることが必要です。

その場で判断が必要な場合、上からの指示がなくても現場がためらわず行動できるようにします。例え行動した結果がリーダーの考えと違っていても、リーダーは違っていたことを後から指摘してはいけません。
 

コラム 震災2日目 ヘリコプターで上空を視察

東日本大震災で福島第一原子力発電所の状況に対し、的を射ない東京電力の説明に業を煮やした菅直人首相は、ヘリコプターで福島第一原子力発電所に向かいました。

福島第一原子力発電所の後、ヘリコプターで宮城と岩手を上空から視察した菅首相は、津波に飲み込まれた市街を見て災害の規模を実感、自衛隊派遣を10万人に倍増しました。
 

コラム 初期消火が遅れたA社 加工工場火災

A社の部品加工工場で火災が発生しました。原因は設備から出た火花が木製の踏み台に引火したためでした。しかし初期消火が遅れたため、工場が全焼しました。初期消火が遅れた原因は「消火器を使うと叱られる」「始末書を書かされる」といったマイナス要因のため、現場には「消火器は使うものでない」という文化があったからでした。

高価な設備から出たわずかなボヤに対し、消火器をかけるのは勇気がいります。しかし、もし火が出た時、消火器を使わなければ火は工場全体に広がってしまいます。こういった状況では、
設備よりも工場、
工場よりも人命、
という優先順位をあらかじめ決めておかなければ、対応が遅れてしまいます。
 

企業経営のリスク

このように経営のリスクマネジメントについて述べました。純粋リスクと投機的リスクは

  • 純粋リスク : 内部要因によるリスク
  • 投機的リスク : 外的要因によるリスク

した方が分かりやすいでしょう。

内部要因によるリスクは、自社で防止策や改善が可能で、つまりコントロールすることができます。

外的要因によるリスクはコントロールできないため、起きてしまったらどうするかを考えるしかないものです。
 

企業広報戦略研究所が行った「危機管理力調査」の結果、直近2年間に起きた危機の件数のランキングを以下の表に示しました。

表 直近2年間に起きた危機の件数

順位 件数 内容
1 17 事故・火災の発生
2 12 欠陥商品の回収(リコール)
3 11 個人情報・顧客情報の漏洩
4 7 従業員によるSNSへの不適切な書き込み
5 5 労務上のトラブル(過労死、不当解雇等)
6 5 製品・サービスの表示偽装
7 4 地域住民とのトラブル
8 4 他社の知財の侵害訴訟
9 4 顧客が利用する情報システムのトラブル
10 3 談合・独占禁止法違反

 

これを参考に、自分なりに企業経営のリスクのうち、内的要因を以下の表にまとめました。

表 企業経営のリスク
表 企業経営のリスク
(赤枠はBCP、青枠は情報セキュリティマネジメントシステムでカバーする範囲)
 

このうち、自然災害は内的要因ではありませんが、物理的な損失が大きく事前に対処が必要なため、内的要因に含めました。外部要因は以下にまとめました。

表 その他外部要因のリスク

社外の企業 取引先、仕入れ先などの売掛金回収不能や、倒産・廃業
社会 新型コロナウイルスなどの感染症
原油、穀物など材料価格上昇と入手難
戦争・テロ・クーデター、デフォルトなどカントリーリスク
金融 リーマンショックのようなショックと信用収縮、金利上昇
為替(円高、円安)

 

このように企業経営のリスクを洗い出すと、一般的なBCPの内容よりも多くのことが含まれます。むしろ自然災害よりもそれ以外のリスクの方が頻度が高く、影響も大きいのです。

では、これに対しどのような対策があるでしょうか?

具体的な対策

事故

① 人

人のリスクは、病気や事故、けがにより長期間出社できなくなる、あるいは亡くなってしまうことです。最悪の場合、業務が停止してしまいます。そして中小企業の最大の人のリスクは、経営者自身です。

他にも例えば見積や経理のような重要な業務を一部の社員のみが行っている場合、その社員が出社できなければ誰も替わることができません。そうなると他の社員が分からないなりに時間をかけてもしなければ業務が止まってしまいます。よくあるのが必要な書類やデータの保管場所が担当者しかわからないことです。

【リスクマネジメント】
社員の業務と担当をリストアップし、代替要員がいなければ、代替要員を育成します。資料やデータは他の社員も分かるようにします。業務に必要な書類やデータの保管場所をルール化し、それを全員で守ることです。個人のパソコンのマイドキュメントに業務のデータを保管するのは論外です。
 

② 業務

設備や工場の破損には、高額な修理費がかかるものがあります。

【リスクマネジメント】
事前に保険に加入します。交通事故も同様に保険でカバーします。一方保険でリスクをヘッジすることも重要ですが「設備を破損させない」、「交通事故を起こさない」教育を定期的に行う方がより大切です。
 

③ お金

社員による横領、不正支出、物品の不正持ち出しなどで会社に経済的な損失が生まれることがあります。

【リスクマネジメント】
任せっぱなしは危険です。人は魔がさすこともあります。不正があれば見つかるように定期的にチェックを行うと共に、社員への不正に対する教育が不可欠です。
 

④ 火災

火災の多くは、設備のメンテナンス不良や社員の火の不始末、漏電、放火などが原因です。一方近年は喫煙者が減少し社員の火の不始末による火災は減少しています。

【リスクマネジメント】
設備のメンテナンス不良や漏電による火災は、ある意味人災です。定期的な設備点検を行う、延長コードを使用しない、使い終わった機器のコンセントは抜いておく、コンセントや機器の周りのほこりは取り除くなど基本的な防止策を徹底します。

さらに火災発生時に迅速な初期消火ができるように、消火訓練を行います。そして必要な場合は
ためらわず消火器を使用できるように「消火器を使用した者を褒める」ようにします。

図8 消火訓練

図8 消火訓練


 

⑤ 通信障害

2) の災害で発生することもあります。有線の電話回線、無線の携帯回線が不通の場合、業務がどうなるのか、あらかじめ検討します。そういった場合も出社するのか、業務は継続できるのか等、万が一に備えた対策を講じておく必要があります。

【リスクマネジメント】
オフラインでできることと、オンラインでなければできないことを事前に洗い出しておきます。もし事前に準備を刷ればオフラインでも業務ができるのであれば、オフライン化を検討します。
 

⑥ インフラ故障

2) の災害で発生することもあります。トラブルで電気、水道、ガスが止まった場合、業務が遂行可能か、事前に検討しておきます。
 

災害

① 地震

後述のBCPでも詳しく記載します。広域災害のため、従業員とその家族の安全が優先されます。時間帯によって、出社すべきか、帰宅すべきか、判断が必要になります。また工場の被害が大きいと復旧に時間がかかります。

【リスクマネジメント】
BCPを策定します。その中で、優先すべき事項、そして出社待機すべき条件、早期退社すべき条件を決めておきます。
 

② 水害(大雨、台風、津波)

地震と同様、広域災害として対応します。特に局地的な豪雨により一時的に交通がマヒすることがあります。定時で退社したために道路が冠水して、水没や亡くなることもあります。豪雨が予想される場合は、早期退社するなど、社員の安全を優先するようにします。
 

③ 他 突風、雪害、噴火、異常低温・高温
突風(竜巻)、雪害、噴火、異常低温、異常高温により、工場や業務に支障が出る可能性があれば、検討しておきます。
 

品質問題

不良品が発生した場合の対処方法は、多くの企業ではルールが決まっています。もし責任者やリーダーが不在の場合は、どのように対処するか決めておきます。また社内で発生した不良は報告されないことがあるので、社内不良も報告するルールを策定しておきます。
 

情報漏洩

個人情報、顧客情報、営業秘密(図面、ノウハウも含む)

顧客の個人情報を扱う企業は個人情報の管理(規定)が必要です。また必要であれば顧客(企業)の情報も「営業秘密」として管理しなければなりません。同様に必要であれば、顧客の図面や支給品、自社の図面や治具などのノウハウも「営業秘密」として管理します。

【リスクマネジメント】
「盗もうと思う人間」に「盗めないように対策する」のはとても大変です。お金がかかり、日常業務の効率も低下します。

そこで「盗めないように対策する」よりも、「盗もうと思わないように教育すること」が大切です。

ただし簡単に盗めないような管理は必要です。もし魔がさして盗んだとしてもすぐに発覚するような管理体制を構築します。機密事項を機密として管理していなければ、機密を漏洩した社員を刑事告発できません。
 

SNSの書き込み

SNSの利用規定を策定し、業務に関する情報をSNSに上げないよう社員に教育します。

図9 内容によっては炎上も…

図9 内容によっては炎上も…


 

労務

① 長時間残業、過労死、健康問題(身体、心)

定期的な残業時間管理を行い、一部の社員だけが長時間残業にならない配慮をします。もし残業時間が多い場合は代休や振替休日を活用します。メンタルヘルスは周りからはわかりにくいため、本人から言いやすい仕組みも必要です。

【リスクマネジメント】
社員の残業時間の上限を規定します。上限が決まってなく、本人の判断、あるいは直属の上司の判断で長時間労働になるようであれば、そのような環境は改善します。
 

② セクハラ、パワハラ

セクハラ・パワハラは、会社の評判に大きく影響します。また訴訟問題に発展することもあります。

【リスクマネジメント】
セクハラ、パワハラに対するルールを決めて、社員教育を行い、ルールを運用します。セクハラ、パワハラは社員からは言い出しにくいため、告発制度を設けます。
 

③ 問題社員と不当解雇訴訟

問題のある社員を解雇した結果、不当解雇で訴訟されることがあります。

【リスクマネジメント】
解雇ルールを就業規則に入れ、社員に通達します。
 

情報システム

① システムトラブル、通信障害

自社のシステムがトラブルを起こした場合、あるいは通信障害で自社のシステムが使用できない場合に備え、代替方法を検討しておきます。

【リスクマネジメント】
情報システムの問い合わせ先、担当者を確認しておきます。古いシステムの場合、システムを開発した会社がなくなっていることがあります。
 

② ウイルス感染、ウイルス他者へ感染させた

社員が「ウイルスメールを開封してしまう」、「ウイルスメールを他に転送してしまう」トラブルが起きることがあります。

【リスクマネジメント】
ウイルス感染しないようにメール、WEB使用時のルールを策定します。またウイルス感染が判明した場合の処置を検討しておきます。会社によっては、見知らぬ人からのメールはすべて削除すると決めている会社もあります。
 

③ データ消失

データ消失により業務が停止、過去の資産を喪失することがあります。

【リスクマネジメント】
定期的なバックアップ(PC、データベース、サーバーのデータ)を行います。クラウドサービスを使用してクラウドにデータがある場合もバックアップを取るようにします。
 

知的財産

「ホームページや社外へ発信する文書が著作権を侵害してしまう」、「自社の製品やサービスが他社の商標や特許を侵害してしまう」などです。

【リスクマネジメント】
社員に著作権や商標などの知財教育を行います。ホームページやパンフレットが著作権のルールに抵触していないか確認します。画像はフリー画像を使用せず、購入します。
 

関係者とのトラブル

近隣住民とは同じ圏内で生活するため、トラブルになることがあります。会社から出る騒音のクレームや排気(炉や塗装設備など)や排水等の環境問題、配送車の路上駐車や社員の交通マナーなどがトラブルの原因として挙げられます。

【リスクマネジメント】
騒音、排気、排水は定期的に測定し、環境基準を満たすことを確認します。路上駐車は納入業者に文書で通達し、社員に交通マナーを教育します。近隣住民の代表者(町内会など)と定期的に連絡を取るようにします。
 

BCPについて

BCPとは

災害など緊急事態における企業の事業継続計画(Business Continuity Planning)を意味します。BCPの目的は自然災害やテロ、システム障害など危機的な状況に遭遇した時に損害を最小限に抑え、重要な業務の早期復旧を図ることです。内閣府は、2005年公表の「事業継続ガイドライン」でBCP策定を強く推奨しています。

BCPの構成

詳細は、中小企業庁ホームページ「中小企業BCP策定運用指針」を参照してください。

  • 基本方針
  • BCPの運用体制 組織と担当者
  • 中核事業と復旧目標 中核事業の情報 売上、顧客、復旧時間
    事業継続に係る各種資源の代替 
    代替生産する工場、応援要員、資金、必要な情報(プログラム)

  • 財務診断と事前対策計画 財務診断、保険、対策のための投資
  • 緊急時におけるBCP発動
  • 発動フロー 活動チェックと実施内容メモ書き
  • 退避 避難計画シート
  • 情報連絡 主要組織の連絡先、従業員連絡先、通信手段、主要顧客情報
  • 事業資源 中核事業に係るボトルネック資源、必要な供給品、供給業者、災害対応用具
  • 地域貢献 地域貢献活動チェックリスト

 

BCPの活用

国がマニュアル、書式をすべて提供しており、内容もシンプルにまとめられています。
災害時、迅速な対応ができるように、また必要な資金を計算し、不足すれば保険を活用できるよう、BCPを各企業が活用していく必要があります。

マニュアルは紙ベースになっていますが、緊急時に対応できるように必要なことはカードに小さくまとめる、又はチェックリスト形式にしておきます。

問題は、自然災害は滅多に起きず、大半の企業はBCPを規定しても一度も使うことがないことです。そのため時間の経過とともにBCPマニュアルが陳腐化します。災害に備え、定期的に訓練を行い、いつでも使える状態にする必要がありますが、それはとてもエネルギーがいる作業です。
 

コラム ハドソン湾の奇跡

2009年1月15日、ニューヨーク発USエアウェイズ1549便が離陸直後の渡り鳥の群れに遭遇、両方のエンジンが渡り鳥を吸い込んでしまいました。エンジンは2基とも停止、機体はハドソン湾に不時着水しました。乗客乗員155名は無事救助されました。

図10 ハドソン湾の奇跡(Wikipediaより)

図10 ハドソン湾の奇跡(Wikipediaより)


 

この時、エンジが停止してから不時着水までの時間はわずか3分。その間に、クルーはエンジン再始動を試みましたが、回復は見込めなかったので不時着水の準備に入りました。なぜ短時間にこれだけのことが手際よくできたのでしょうか? 

それはコックピットにエンジン再始動のチェックリストや不時着水のチェックリストが備わっていたからでした。これらのチェックリストは大半の飛行機では使われることはありません。しかし、もし必要な場合には確実に使えるように適切に準備されていました。
 

リスクマネジメントの必要性

このようにみていくと企業には様々なリスクがあります。しかも自然災害よりも確率の高いリスクも多く、こういったリスクに対応するには一般的なBCPでは十分ではありません。

しかもリスクはいつ顕在化するのか分かりません。

一度リスクマネジメントを行って自社の経営上のリスクを洗い出し、対策しておけば問題を未然に防止できます。
 

その一方、セキュリティ対策などは、何万人もの社員を抱える大企業と数十人の社員の中小企業では大きく異なります。

大企業は社員が多く中には問題社員がいる可能性もあるため、不正や情報漏洩できない仕組みが必要です。もし情報漏洩が起これば多額の損失が発生します。そのため、情報漏洩を防ぐためにコストがかかるのは仕方ありません。

しかし、中小企業はそこまでコストをかけられません。また過剰な管理をすれば管理コストが肥大化し、業務効率も低下します。

そのため、信用のおける社員の採用と社員相互の管理を基本とします。信用のおける人材を採用し、不正をすればどうなるのか、罰則も含めて教育します。その上で、社員が相互にお互い仕事を見ていて不正な兆候があれば直ちに管理者や経営者に報告するようにします。加えて会社に個人的な恨みを持たないように適正な処遇やコミュニケーションも必要です。
 

想定内の問題を防ぐ

このようにリスクを洗い出してみると、まだまだリスクを減らすことができることに気付きます。

  • 「ルールが決まっていない
  • 「いけないことを社員が知らない」

そのためうっかりやってしまうリスクもあります。

こういったことはルールや罰則が決まっていれば防ぐことができます。ルールを作る際はできれば関係する社員にも関与してもらい、アイデアを出すのと同時に

「リスクを低減し会社を守るのは社員である」

という自覚を持たせるようにします。
 

想定外の問題への対応

自然災害や事故などは、想定していなかったようなことが起きます。事前に策定した計画通りにはできず、計画があったとしてもうまく実行できません。むしろ災害や事故は想定外のことが起きるのです。
 

自分で考えて行動できる体制

想定外の事柄に対しては、関係する社員が現場で対処しなければなりません。

自然災害では、リーダーへの連絡が困難な時もあります。事前にマニュアルがあってもマニュアル通りにできないかもしれません。

目の前で起きていることを的確に把握し、正しい判断ができるように普段からトレーニングが必要です。

そして正しい判断をするためには、元となる方針が必要です。
 

BCPの参考書には、基本方針に

  • 人命(従業員・顧客)の安全を守る
  • 自社の経営を維持する
  • 供給責任を果たし、顧客からの信用を守る
  • 従業員の雇用を守る
  • 地域経済の活力を守る
  • 社会からの要望に応える

という例が掲載されていますが、

優先順位がありません。

 

実際はどれかを優先し、どれかを犠牲にしなければならないのです。

緊急時は時間も資源も限られています。

その中でどれを優先し、どれを切り捨てるのか、これが危機的状況において本当に必要な方針です。

 

参考文献

「戦略思考のリスクマネジメント」企業広報戦略研究所 著 日経BPコンサルティング
中小企業庁ホームページ「中小企業BCP策定運用指針」

 

 

経営コラム ものづくりの未来と経営

人工知能、フィンテック、5G、技術の進歩は加速しています。また先進国の少子高齢化、格差の拡大と資源争奪など、私たちを取り巻く社会も変化しています。そのような中

ものづくりはどのように変わっていくのでしょうか?

未来の組織や経営は何が求められるのでしょうか?

経営コラム「ものづくりの未来と経営」は、こういった課題に対するヒントになるコラムです。

こちらにご登録いただきますと、更新情報のメルマガをお送りします。
(登録いただいたメールアドレスは、メルマガ以外には使用しませんので、ご安心ください。)

経営コラムのバックナンバーはこちらをご参照ください。
 

中小企業でもできる簡単な原価計算のやり方

 
製造原価、アワーレートを決算書から計算する独自の手法です。中小企業も簡単に個々の製品の原価が計算できます。以下の書籍、セミナーで紹介しています。

書籍「中小企業・小規模企業のための個別製造原価の手引書」

中小企業の現場の実務に沿ったわかりやすい個別製品の原価の手引書です。

基本的な計算方法を解説した【基礎編】と、自動化、外段取化の原価や見えない損失の計算など現場の課題を原価で解説した【実践編】があります。

ご購入方法

中小企業・小規模企業のための個別製造原価の手引書 【基礎編】

中小企業・小規模企業のための
個別製造原価の手引書 【基礎編】
価格 ¥2,000 + 消費税(¥200)+送料

中小企業・小規模企業のための
個別製造原価の手引書 【実践編】
価格 ¥3,000 + 消費税(¥300)+送料
 

ご購入及び詳細はこちらをご参照願います。
 

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」日刊工業新聞社

書籍「中小製造業の『製造原価と見積価格への疑問』にすべて答えます!」
普段疑問に思っている間接費・販管費やアワーレートなど原価と見積について、分かりやすく書きました。会計の知識がなくてもすらすら読める本です。原価管理や経理の方にもお勧めします。

こちら(アマゾン)から購入できます。
 
 

 

セミナー

原価計算と見積、価格交渉のセミナーを行っています。

会場開催はこちらからお願いします。

オンライン開催はこちらからお願いします。
 

 

簡単、低価格の原価計算システム

 

数人の会社から使える個別原価計算システム「利益まっくす」

「この製品は、本当はいくらでできているだろうか?」

多くの経営者の疑問です。「利益まっくす」は中小企業が簡単に個別原価を計算できるて価格のシステムです。

設備・現場のアワーレートの違いが容易に計算できます。
間接部門や工場の間接費用も適切に分配されます。

クラウド型でインストール不要、1ライセンスで複数のPCで使えます。

利益まっくすは長年製造業をコンサルティングしてきた当社が製造業の収益改善のために開発したシステムです。

ご関心のある方はこちらからお願いします。詳しい資料を無料でお送りします。

 


メニュー 外部リンク