第392号コラム:佐藤 慶浩 理事 (株式会社日本HP チーフ・プライバシー・オフィサー)
題:「守れるルールだけが守られる」

マイナンバー制度の導入や個人情報保護法の改正などにより、企業などの組織でそれらに関連する法令等を遵守するための対策として、組織で規程を定める機会がある。呼び方は、規程や規則、規約などさまざまなので、ここでは「ルール」と呼ぶことにする。
ルールを決めて、そのルールを守るというのは、当然のことのように思うかもしれないが、実際に実現することに苦労することもあるのではないだろうか。ここでは、何らかの対策のためのルールの作り方とそれを守る組織環境を作る方法の一例を紹介する。

ルールの作成と遵守は対策を実施するための手段であり、対策を実施している環境を作るために、最初に必要になることであるが、以下の段階に分けて考えるとよい。

(1)組織が、ルールを文章として定めていること
(2)組織が、ルールを全員に対して教育していること
(3)全員が、ルールを理解していること
(4)全員が、ルールを遵守することについて納得していること
(5)組織が、ルールの遵守を全員が理解し納得していることについて把握していること

組織がルールを整備するときに、(1)と(2)は、どこでもやっているはずである。(5)についてもやっている場合が多い。しかし、(3)と(4)をどの程度丁寧に実施しているかに違いがあるように思う。

(2)で実施する教育の場面を、たとえば会議室に全員を集めて教育をする例で考えてみよう。教育の参加者が受講を終えたときに、「用語が難しくてわからなかったな」「実際にどうやってやればよいかわからなかったな」と思っていたら、(3)が達成されていないことになる。ルールは理解してもらわなければ意味がない。アンケートで言えば、全員が「よく理解できた」と回答されなければならない。「だいたい理解できた」では不十分なのである。ルールの教育は、ルールの説明ではないのだ。よく理解できたと全員が正直に思っていれば、(3)を達成したことになる。
次に、ルールをよく理解した人が、「理解したルールを守ろう」という気になっていなければ、(4)が達成されていないことになる。これは結果的にできるかできないかとは別のことだ。守る気になっているかが、ここでは大切だ。「ルールはわかったけど、自分の仕事ではできそうにないな」「ときどきならできそうだけど、いつもできそうにないな」などと思っていたら、最初から守る気がないということだ。理解したルールを守ることができそうかどうかを自問してもらう必要がある。その上で、全員が守る気があれば、(4)を達成したことになる。

その上で、(2)、(3)、(4)について全員が達成していることを把握することにより、(5)を達成することができる。全員の教育受講確認を記録として残すことが(5)の目的だと誤解している場合があるが、それは十分ではない。それは、事故の事後に責任の所在を明確にする目的の手段でしかない。むしろ、事故の予防である、ルールを守る環境作りのためには、(5)によって、丁寧に(3)理解と(4)納得を確認することが重要である。

そして、理解が不十分な原因が、ルールの文章がわかりにくいとか、教育の内容がわかりにくいということであれば、それらをわかりやすく改善しなければならない。さらには、理解されているが納得されていなければ、原因は2通りに別れるはずだ。
1つには、そのルールの必要性の理解が不足している場合で、教育でそれをわかりやすく説明するように改善しなければならない。
もう1つには、そのルールの内容が実務にそぐわない場合で、ルールそのものの修正も視野に入れて検討しなければならない。

ルールを決めて、そのルールを守る環境にするためには、ルールを決める人と、ルールを守らされる人を分断してはならない。ルールは、対策実施という目的を達成するために、全員で考え、検証して、作り上げていくものとしなくてはならない。
対策の実施に、PDCA(計画、実行、確認、改善)サイクルがあることはよく知られているが、ここで紹介した(1)から(5)を分けて考えることで、対策実施の前の段階である、ルール作成と教育の段階にも、PDCAサイクルがあることに気づけるのではないだろうか。

守れないルールを作っても意味はない。守れないルールが守られないのは当然のことだ。それを防ぐには、ルールは守るべきものであるとする前に、守れるルールを作らなければならない。そのためには、守れるルールになっているかを、全員に“事前に”理解し納得してもらう必要がある。そのための最良の機会が、ルールの教育なのである。ルールの説明になってしまっていないかを、いまいちど、確認してみることをお奨めする。
守れるルールだけが守られるのである。

【著作権は、佐藤氏に属します】