連載
» 2013年11月27日 10時00分 公開

法律家が見るサプライチェーンの知財侵害リスク(3):サプライチェーン上の「違法なIT」の問題にどうやって立ち向かえばいいのか (2/3)

[山崎 忠史、阿部 和也、柴垣 仁嘉 / 新日本有限責任監査法人,MONOist]

サプライチェーンを脅かす「違法なIT」の法整備

 米国における公正競争促進のためのいわゆる「違法なIT」に関するルールも法整備や法執行も活発化されてきました。

 例えば、2011年7月「違法なIT」を使用する製造業者の不当な競争上の利益に取り組むことを目的とした不正競争防止法(UCA: Unfair Competition Act)がワシントン州で可決されました。ワシントン州で販売された、または販売用に提供された全ての製品の販売元や製造元が損害賠償の対象となり得、それらは、ワシントン州不正競争防止法に基づく訴訟の対象となる可能性があります。製造業は、そのビジネスオペレーションにおいて違法に取得されたハードウェア、ソフトウェアの使用があった場合に、米国外で製造した場合でもその責任を負うこととなります(関連記事:販売差し止めの実力行使も!? ――サプライチェーンを狙い撃つ米国違法IT規制)。

サプライチェーンとIT部門の連携

 企業は対策により、違法性のある問題を予防や保全する必要があります。“「違法なIT」への対策”として挙げられるものには次の4つの方法があります。

  1. サプライチェーン評価の実施
  2. 教育・コミュニケーションからの強化
  3. ソフトウェア資産管理の導入
  4. 全社的リスクマネジメントの導入

 サプライチェーンを理解する担当者がIT部門と連携することにより、これらの対策は有効に働くものとなります。4つの「違法なIT」対策の一部は、企業によっては既に導入済みの場合もあります。しかし、それらの対策はサプライチェーン全体を考慮しておらず、IT部門の観点のみで導入した場合も実際には多くあります。「違法なIT」に関する理解を踏まえた上で、サプライチェーン担当者とIT部門の担当者が協力を進めることが重要です。

1. サプライチェーン評価の実施

 サプライチェーン評価とは、サプライチェーンのプロセスについて、定量的観点(パフォーマンス指標)と定性的観点(プロセスの成熟度評価)の双方から診断を行うことです(図2)。

図2 図2:サプライチェーン評価(クリックで拡大)

 サプライチェーン評価は「戦略的方向性」「データ分析」「評価の実行」「報告」というフェーズからなり、具体的に作業を進めるためにはIT部門と連携しながらの作業を行うことが求められます。

 サプライチェーン評価により、サプライヤーやビジネスパートナーが抱える潜在的なIT問題を企業が特定するのに役立ちます。これによりパフォーマンス目標の確立、サプライチェーン管理の全般的な戦略目標の支援へとつながり、不正競争防止法やその他の類似の規制に違反するリスクの軽減へとつながります。

2. 教育・コミュニケーションによる連携

 公正な競争環境の実現は、企業や従業員の関心と良識の両方に掛かっており、教育とコミュニケーションが重要な役割を果たします。ITコンプライアンスに対する従業員の関心を高めるために、ITに関する厳格なルールと方針を構築し、社内に徹底させる必要があります。潜在的な法的リスクを回避するためには厳格な内部監視システムの構築が推奨されます。

 教育として、会社と個人の両方にリスクが及ぶ可能性があることを強調して、「違法なIT」を業務で使用することの意味を説明する必要があります。オンライン研修、会議、セミナーを通して特許と知的財産を尊重するように従業員を教育することで、ITに関する違法または不適切な行動の防止につながります。

3. ソフトウェア資産管理の導入

 企業内で「違法なIT」が使用される懸念を減らすため、予防的な対策として全てのインフラ機器とソフトウェアに適切なライセンスが備わっていることを確認する必要があります。企業は従業員に対し個別に貸与された端末内にインストールされているソフトウェアを把握することで、不適切なIT使用の現状を把握することができます。

 ソフトウェア資産管理は、標準化された一連のプロセスと手順を導入するための手法です。組織全体のコスト管理およびソフトウェア投資・管理の最適化の支援を行うことでソフトウェアに関する法令順守を可能としています。企業の環境にあったソフトウェア資産管理を実装することにより、適切な対策を立てることが可能となります。

 ソフトウェア資産管理では、特定のツールを使用することで対策につなげることも可能です。例えば、ソフトウェアの権利保護活動を行うNPO「BSA | The Software Alliance」が開発したVerafirmは「ソフトウェアを効果的に管理し、ソフトウェアのライセンス取得を効率的に文書で証明して、倫理的企業とのビジネスを希望する顧客とつながるための業界支援のポータル」だということを訴えています。

4. 全社的リスクマネジメント(ERM)

 全社的リスクマネジメント(ERM、Enterprise Risk Management)プログラムを利用して、IT関連リスクを減らすこともできます。

 ERMは、「違法なIT」および知的財産に関連するリスクを含む組織全体の主要ビジネスリスクを特定、評価、優先順位付けする上で役立つものとなります。ERMは全社的なリスクの洗い出すことから活動が始まります。今まで想定されていなかった新たなリスクをどこまで取り込むのかにより、その活動の範囲は異なることになります(図3)。

図3 図3:ERMの主要プロセス

Copyright © ITmedia, Inc. All Rights Reserved.