DXに向けた社内規程の見直し

令和３年、令和４年はデジタルトランスフォーメーションが流行していますが、組織変革とサイバーセキュリティの顧問の立場から、規程類の見直しについて少し書いてみたいと思います。

まず、デジタルトランスフォーメーションとは、どういうことなのでしょうか。

経営層のコンプライアンス、組織のガバナンス、管理職の権限、DX推進部門・部署・担当者によるリーダーシップ、現場の現業と変革。などを並べて考えたとき、今まで使っている社内規程類に耐えられるのかが最も気になります。
（サイバー攻撃を受けやすい、クラウド環境のローコード開発で、PoCからいきなり本番稼働もどうかとは思いますが・・・）

DXとは

DXは以下のように定義されています。ただし、書きぶりが全く異なっているため、DXを進めるというよりは、DXに向けて様々な業務改革や情報システムのデジタル化やデジタルリテラシーのリスキリングを実施した後、またその過程で、以下のコンセプトに合った行動ができているのかという確認用のフレーズにも読むことができると思います。

経済産業省

企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること
https://www.meti.go.jp/press/2019/07/20190731003/20190731003-1.pdf

経団連

デジタル技術とデータの活用が進むことによって、社会・産業・生活のあり方が根本から革命的に変わること。また、その革新に向けて産業・組織・個人が大転換を図ること。
http://www.keidanren.or.jp/policy/2020/038.html

IDC Japan

企業が外部エコシステム（顧客、市場）の破壊的な変化に対応しつつ、内部エコシステム（組織、文化、従業員）の変革を牽引しながら、第3のプラットフォームを利用して、新しい製品やサービス、新しいビジネスモデルを通して、ネットとリアルの両面での顧客エクスペリエンスの変革を図ることで価値を創出し、競争上の優位性を確立することを指す。
https://www.idc.com/jp/research/explain-word

規程類の整備の必要性

社内規程を整備する必要性については、当社の別のコラムで記載していますが、デジタルトランスフォーメーションという観点で最も気になるのは、会社法施行規則にある「損失の危険の管理に関する規程その他の体制」です。これは、令和４（2022）年6月17日に、サイバーセキュリティ戦略本部から出された「行動計画」にも関連する部分です。

以下は、当社で規程類の体系的整備の説明で使っているものです。

会社法第362条4項６号

取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備

会社法施行規則第98条、第100条

取締役の職務の執行に係る情報の保存及び管理に関する体制
損失の危険の管理に関する規程その他の体制　＞　【リスクマネジメント規程及び体制の整備】
取締役の職務の執行が効率的に行われることを確保するための体制
使用人の職務の執行が法令及び定款に適合することを確保するための体制
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

DXにより変化するものとは？

このページは、社内規程に何を書くのか、社内規程をどう変えていくのかという観点のお話しですので、デジタルトランスフォーメーションがどのような構成の下に実現されていくのかに興味があります。

組織変革の側からみると、これまでも多くの企業において、組織変革・組織改革・ダイバーシティなど色々と取り組まれていますが、経営層から方針を出して、管理職研修をすることでおおまかな雰囲気が醸成されてしまい、ルールも罰則も変わらないままに2年程度で立ち消えていくことがあります。社員の失望がネットで話題になるといった感じです。

デジタル化においても、本来、サイバー空間に自社のデジタル環境を構築し価値を創造して、そこにお客様からアプローチしてもらえるようにすることがデジタルトランスフォーメーションの１つのはずですが、製造拠点にロボットを入れるとか、既存店舗から人件費を削減するとか、業務システムをクラウドサービスに変えることまでもが「DX」だと提案するIT企業が増えてきており、デジタルの技術を使って何を変化させるのか分からなくなってきているように思います。

規程により整備される（部分での）ガバナンスにおいては、変革をマネジメントするための権限設定と、変革を推進するリーダーシップの使い分けがとても大きな課題となります。リーダーシップを発揮させるためには社内の権限が必要であり、それは経営層及び管理監督職によるコントロールが必要ということを意味します。
よって、組織や業務の変革に向けた環境を創造しかつ維持するためには、管理監督職が過去または現在においてリーダーシップを発揮していることが重要となりますし、もしそうではない場合、アナログな業務をデジタル化すること、置き換えることがデジタルトランスフォーメーションであるという判断になってしまう可能性があることを把握しておく必要があります。

では、経済産業省の資料から確認してみたいと思います。

経済産業省が令和４（2022）年7月に公開した「DXレポート2.2」においては、以下のように説明されています。

DXを成功させるための方向性

DX推進の規範的企業への調査結果から、共通する目指す方向性としては、「既存ビジネスの効率化・省力化」ではなく、「新規デジタルビジネスの創出」や、既存ビジネスであっても「デジタル技術の導入による既存ビジネスの付加価値向上（個社の強みの明確化・再定義）」であり、その結果、全社的な収益向上を達成している。
https://www.meti.go.jp/shingikai/mono_info_service/covid-19_dgc/pdf/002_05_00.pdf

この点から、２つのポイントに対して、規程類の見直しを検討する必要があると想定しています。

新規デジタルビジネスの創出
デジタル技術の導入による既存ビジネスの付加価値向上（個社の強みの明確化・再定義）

DXを実現するための２つのポイントと見直すべきルール

上記２つのポイントに対して、既存規程類の見直しに必要なポイントを整理してみたいと思います。
尚、実際に着手してみますと、現行の規程類自体の課題も出てきますし、先ほどの課題である「コンプライアンスとガバナンス」や「マネジメントとリーダーシップ」などの記述をどのようにバランスするのか、記載箇所は多岐にわたると思われます。

新規デジタルビジネスの創出

新規ビジネスの創出において、組織、権限、分掌等に関する新たな定義
新規ビジネスの業務プロセスの文書化（主に、上場企業）と、業務監査に関する手順の追加
新規ビジネスに対するリスクアセスメントとリスク対応の策定
新規ビジネスにおいて個人情報を取り扱う場合の利用目的の見直しとプライバシーポリシーへの影響の調査
新規ビジネスが既成のビジネスと異なる場合におけるコンプライアンス違反の可能性の可否判断

デジタル技術の導入による既存ビジネスの付加価値向上（個社の強みの明確化・再定義）

デジタル技術の導入に対するセキュリティ・バイ・デザインの活用
デジタル技術の導入に関する設計・開発・運用等に関する主体者の特定及び責任の所在の明確化
デジタル技術の導入がインフラごと導入するか、社内インフラ上に乗っているかの違いによる運用体制、インシデント対応体制の検証
事業部門が独自にデジタル技術を導入する際の承認行為とリスクアセスメント
デジタル技術の保護・保全と、活用するデータの保護・保全の取り組み
外国へのデータ越境の可否と管理手法の検討

上記以外にも、ビジネス側での業法等への影響については、弁護士との相談などが行われると想定されます。先進的なものであれば、グレーゾーン解消制度の活用も考えられ、法務部門や知財部門がバックアップしていくことになると考えられます。

社内規程整備の方向性

規程類を整備・改定していこうと考えた場合、以下のステップに基づいて、社内の対応の可否（というか、変革へどのような反応が出てくるか）を確認いただければと思います。

組織規程・業務分掌規程・職務権限規程の記述の確認
個人情報保護規程及びプライバシーポリシーの記述の確認
リスクマネジメント規程におけるリスクの定義の見直しの必要性の確認
リスクマネジメント規程におけるリスクアセスメントの実施手順の確認
情報セキュリティ規程における対システムに関するセキュリティ要求事項が十分であるかの確認
データ保護に関する規程類の新規制定または改定の必要性の確認
現業部門におけるサイバーインシデント対応体制の整備の必要性の確認
サイバーインシデント対応手順の見直しの必要性の確認
緊急時のサービスの停止・終了を決裁できる権限者の確認
新規ビジネスの創出またはデジタル技術導入に関する技術的問い合わせ対応部署の確認