雨上がりのクレマチス
- 山崎行政書士事務所
- 1月29日
- 読了時間: 7分
企業におけるISMS(ISO27001)およびプライバシーマーク(Pマーク)取得をテーマとし、法務部員の視点で描いたフィクション小説です。企業名・登場人物はすべて架空のものです。あくまで創作としてお楽しみください。
第一章 降り出した雨
波多野法子(はたの のりこ)は、SES企業「クレマチステクノロジー」の法務部に所属している。社内では数少ない法学部出身者ということで、契約書のレビューやコンプライアンスチェックなど、雑多な業務を一身に背負う立場だ。
梅雨真っただ中のある日、総務部長の冬木から声がかかった。
「法子さん、ちょっといい? うち、いよいよISMSとPマークを取ることになりそうなんだ。法務にも協力してほしい」
突然の大仕事に、波多野は戸惑う。実は法律知識はそれなりにあるものの、情報セキュリティや個人情報保護の認証スキームにはあまり詳しくない。だが、法務部が関わる以上、会社の規程や契約周りを整備し、トラブルを未然に防ぐという重要な役割を担わなければならない。
外はしとしとと雨。法子は窓の外を見やりながら、小さく息をつく。
「……分かりました。よろしくお願いします」
曇り空の向こうに、どんな嵐が待っているのか。そう思うと、胸の奥が少しだけざわついた。
第二章 法務部の立ち位置
クレマチステクノロジーは、SES事業を主軸にしている。社員の多くは顧客企業に常駐し、現場でシステム開発や運用に携わる。そんな会社だからこそ、法務部の影は少し薄い。契約書チェックとコンプライアンス研修が主な業務で、「ちょっと面倒な部署」というイメージを持たれがちだった。
しかしISMS(ISO27001)とPマークの取得プロジェクトが立ち上がると、状況は一変する。契約書・秘密保持条項・個人情報の取り扱いルール――法務の知見が不可欠な場面が多いのだ。
「ねえ法子さん、この契約先で扱うデータって個人情報に該当するのかな?」「顧客先での開発作業中に、不注意で情報流出が起きたら、責任はどこにあるんだろう?」
営業から、開発から、総務から、あらゆる部署から質問が殺到する。波多野は少しの戸惑いを覚えながらも、一つひとつ丁寧に調べ、回答し、必要な文面を整えていく。
第三章 雨脚が強まる
ISMSとPマークを取るにあたって重要なのは、情報資産の洗い出しとリスクアセスメントだ。クレマチステクノロジーでも、顧客先で開発中のシステム情報や、エンジニアのスキルシート、社内の人事データなど、さまざまな「情報資産」が存在する。だが、派遣形態ゆえに管理が曖昧になりがちなものも多い。
「常駐先のサーバにソースコードがあるんだけど、あれってうちの管理下にあるの? それとも顧客先の財産なの?」
波多野は契約書をひっくり返しながら答える。
「それは基本的に顧客に帰属することになっています。ただ、作業ログにはエンジニアの個人情報や開発のノウハウが含まれる可能性があるから、秘密保持条項で保護対象を明確化しましょう」
こうした煩雑なやり取りの中で、**法務的な観点(契約・責任範囲の明確化)とセキュリティ的な観点(管理策や運用ルールの整備)**が、少しずつ絡み合っていく。
プロジェクトを牽引しているのは総務部の冬木と、社内SEチームのリーダー・檜山(ひやま)。檜山はエンジニアとして技術力は高いが、法的な概念にはやや疎い。その分、法子に頼ってくることも多い。
「波多野さん、リスクアセスメントの資料で、契約リスクとか法的リスクも入れたいんだけど……相談に乗ってくれない?」「もちろん。契約違反や個人情報保護法違反につながるリスクは、洗い出して対策立てましょう」
雨の音はさらに強まり、法子の胸の高鳴りも加速する。彼女は自分が会社から頼りにされる存在になったことを、誇らしく感じていた。
第四章 すれ違う傘
プロジェクトが佳境に差しかかる頃、法子は新たな問題に気づく。それは、海外子会社との連携だ。クレマチステクノロジーは新興国にも開発拠点を持っており、現地のエンジニアを活用するケースが増えている。だが、海外拠点と日本企業との間では、個人情報の取り扱いに関するルールが異なることが多い。
「海外拠点から日本のお客様の個人情報を触る場合、個人情報保護法の“外国にある第三者への提供”に該当するんじゃないか?」
法務部の先輩・高瀬が、契約書を見つめながら渋い表情をする。
「日本の個人情報保護法では、国外へのデータ移転に条件があるのよ。相手国の制度が十分な保護を提供すると評価されているか、あるいは別途契約で保護策を担保する必要がある。ISMSやPマークの取得に向けても、ここをおろそかにはできないわ」
煩雑な手続きに、波多野も思わずため息をつく。傘を持たずに急な雨に降られたときのような、ぬかるんだ気持ち。それでも、彼女は足を踏みしめる。法務の仕事は、会社を守る重要な傘のようなもの。しっかりと差し出さなければならない。
第五章 雷鳴の中で
ISMSとPマークの運用ルールがほぼ固まった頃、内部監査が始まった。書類と実態が合っているか、各部署でのルール徹底度を確認する。SES特有の難しさ――派遣先と社内ルールの差異は徐々に解消されつつあったが、依然として問題点が残る。
社内待機中のエンジニアが使っているPCの暗号化設定が不十分
社外秘資料と公開可能資料が混在したフォルダ構成
個人情報を含む研修用データを無断でコピーしていたケース
冬木や檜山が頭を抱え、法子も法的リスクを指摘するレポートをまとめる。しかし、ここでの対立は避けられなかった。忙しいプロジェクトを抱える営業部や現場エンジニアからは、“法務は細かすぎる”という不満が噴出する。その言葉に、法子は一瞬、心が軋むのを感じる。けれども、会社として取得を目指す以上、譲れない部分があるのだ。
「細かいと思われても仕方ないです。けれど、きちんと整備しないと、のちのち大きなリスクになるんですよ」
窓の外で雷鳴がとどろく。大粒の雨がガラスを打つ。その時、隣で檜山が静かに言った。
「俺も正直、難しいルールだなって思うことがあるけど……法子さんが言ってることは正しいよ。大丈夫、僕がみんなを説得するから」
彼の言葉に、雨雲の隙間から小さな光が射したような気がした。
第六章 雨上がりの朝
連日連夜の対策と是正措置を経て、ついに外部審査の日が訪れる。ISMSの審査機関とPマークの認定機関、それぞれが書類審査と現場ヒアリングを実施する。法子も法務部代表として同席し、契約書類や社内規程の整合性について問われれば即座に答える。
「契約書の秘密保持条項と、情報セキュリティポリシーの関係性は?」「海外拠点への個人情報移転に関する社内ルールは?」
矢継ぎ早に飛んでくる質問。それでも、法子は表情を崩さずに的確に回答を続ける。震える心を支えるのは、自分がここまで全力で取り組んできた事実、そして周囲の仲間たちが積み重ねてきた成果だ。
審査終了後、審査員はこう告げた。
「全体として非常にレベルの高い管理体制だと感じました。細部まで詰められていますね」
誰もが安堵の笑みを浮かべる。雨上がりの空のように、社内の空気がすっきりと澄みわたる。
第七章 クレマチスの花のように
数週間後、クレマチステクノロジーにはISMS(ISO27001)認証とプライバシーマーク付与の知らせが届いた。社内は歓声と拍手に包まれる。まるで雨上がりに咲くクレマチスの花が、陽の光を浴びて鮮やかに輝くようだった。
法子はその報告を聞いた瞬間、思わず目を瞑った。長かった梅雨が、やっと明けるような感覚。気が付くと、隣には檜山の姿がある。
「ここまで来れたのは、法務がしっかり支えてくれたからだよ。ありがとう」「……いえ。私こそ、ありがとうございました」
どちらからともなく微笑む。その瞳の奥に、確かな充足感が宿っている。もちろん、これで全てが終わるわけではない。ISMSもPマークも、定期的な更新審査が必要だし、SESとしての特殊な環境が引き起こす課題は、この先も出てくるかもしれない。
それでも、クレマチステクノロジーは変わった。雨の季節を抜けて、社員それぞれが自分の責任を理解し、会社を守る意識をもつようになった。法子自身も、法務部の存在意義を改めて胸に刻む。会社を支える傘のような、晴れ間へ導く案内人のような――そんな存在になりたい。
ふと、廊下の窓から見える中庭には、クレマチスの花が風に揺れながら鮮やかに咲き誇っていた。雨上がりの空気の中で、凛とした姿が印象的だ。いつか、その花言葉のひとつである「旅人の喜び」のように、会社の誰もが安心して前へ進める未来を築きたい……。そんな願いを抱きながら、法子はまっすぐ前を見つめ、軽く背伸びをした。
コメント