最高情報責任者は、ビジネスを可能にするテクノロジーを導入し、最高の IT スタッフを「現場」に配置するよう努めます。プロジェクト、予算、テクノロジー投資、戦略、コラボレーションはすべて最優先事項ですが、法律と法的問題に関する実用的な知識も最優先に考えるべきでしょうか?
私たちは訴訟社会に生きています。CIO の間では、会社の賠償責任保険によって訴訟から保護されているという一般的な認識がありますが、必ずしもそうとは限りません。
2024 年に CIO が考慮すべき 5 つの法的課題は次のとおりです。
1. 企業賠償責任保険には限界があります。
企業は通常、役員が個人的に訴えられた場合に備えて、CIO を含む最高経営責任者に賠償責任保険を提供します。多くの CIO は、この保険によって訴訟から完全に保護されると考えていますが、例外もあります。
CIO を含むすべての企業役員は、忠実、誠実、デューデリジェンス、注意義務を負っています。CIO が、会社の株価上昇につながる新製品や優れた販売実績を事前に知り、四半期の業績を事前に把握した上でその株式に投資した場合、株主から私的取引および受託者義務違反で訴えられる可能性があります。
CIOがネットワークについて知っている場合 セキュリティ侵害 そして、それについて沈黙を守ったり、取締役会からの要請があったときに情報を提供しなかったりした場合、CIO はシステムとデータの管理者とみなされるため、責任を問われる可能性があります。したがって、CIO にはそれらの資産を保護し、管理する義務があります。
横領、会社の資産の盗難、会社に対する不正行為などの行為も、企業賠償責任保険ではカバーされない個人賠償責任の根拠となります。
これがなぜ重要なのか: CIO は、すべての点を完璧にしようと最善を尽くすかもしれませんが、情報とテクノロジーの管理に関しては、彼らが最も重要な役員であることに変わりはありません。彼らが問題を報告または開示しなかったり、期待されている IT リソースや責任を乱用したりした場合、企業賠償責任保険では保護されない可能性があります。
2. IT は知的財産の損失と密接に関連しています。
IT 部門の従業員は、企業の機密情報に独自の、場合によっては無制限のアクセス権を持っています。この情報を取得して販売したり、重要な企業秘密や IT の「秘策」を従業員が入社した競合企業に持ち出したりする誘惑があります。
知的財産の損失が発生すると、CIO は「苦境に立たされる」ことになります。
これが重要である理由: IT 部門が保護することが期待されている知的財産を失うことは、ほとんどの組織にとって許されない罪です。知的財産の喪失は企業にとって大きなリスクであり、CIO が職を失うことにもつながりかねません。
3. 自社スタッフが開発したアプリケーションの所有権が問われる可能性があります。
ローコードおよびノーコードのアプリケーション開発を採用するか、CRM や ERP などの主要なソフトウェア パッケージで利用できるレポート ジェネレーターを使用するかを決定します。スタッフは、これらのレポートを使用するための革新的で洞察力に富んだ方法を考案し、会社に明確な競争上の優位性をもたらしますが、これらのレポートのベンダーも、競合他社を含む顧客ベース全体にレポートを提供することに価値を見出しています。
それを止めることはできますか? たとえ開発にベンダーのツールを使用したとしても、開発する製品の唯一の所有者は自分であることをベンダーとの契約に盛り込んでいる場合のみです。同意するベンダーもありますが、同意しないベンダーもあります。
これが重要な理由: 画期的なレポートや洞察を作成することは、会社の知的財産の豊かさに貢献し、独自の競争上の優位性をもたらすことができます。そのため、CIO はチームが作成した製品に対する組織の所有権を確立することが重要です。
これを実行するタイミングは、ベンダーと初めて面談して契約を交渉するときです。誰が何を所有しているかを明確に理解し、ベンダーを離れる決断をした場合にこれらのレポートを別のプラットフォームに移行する方法を定義する必要があります。
4. 従業員の問題は訴訟につながる可能性があります。
言うまでもなく、いかなる形態であれ従業員に対する嫌がらせは個人の責任問題となりますが、従業員が解雇される際に従業員の問題を適切に処理しないことも同様に個人の責任問題となります。
米国には「自由意志」雇用が認められている州があり、従業員を解雇する場合、その従業員が能力不足であることを示す法的責任はありません。そのような「自由意志」雇用の州の CIO であっても、基準を満たさなかった業務やプロジェクトの具体的な例とともに従業員のパフォーマンスを文書化する必要があります。
従業員の解雇が法的に争われる場合、事実の文書化が重要であり、従業員との面談中に何が話されたかを証言する人事担当者などの他の誰かをその場に同席させることも重要です。
5. 企業災害やセキュリティ侵害は、CIO が責任を負う重大なリスクです。
史上最も注目を集めたデータ侵害事件の一つで、ターゲット社のCIOは 個人情報が盗まれた 最大数7000万顧客、4000万デビットカードとクレジットカードの口座。この惨事の記憶は、ほとんどの CIO の心にまだ生々しく残っています。
そのため、CIO が CISO やネットワーク管理者、システム管理者と直接連携して組織のセキュリティ状況について話し合うこと、また外部の企業による四半期ごとのセキュリティ IT およびサイバー監査に資金を提供し、悪意のある人物が脆弱性を発見する前に修正することが、今日のベスト プラクティスとなっています。
これが重要である理由: セキュリティを CISO またはネットワーク管理者に委任し、個人的にフォローアップしたり監査を要求したりしない場合は、企業幹部として期待されるデューデリジェンスと注意を怠ったと判断される可能性があります。企業賠償責任保険が適用されず、雇用が危うくなる可能性があります。
CIOにはやるべきことが山ほどあり、すべてを念頭に置くのは困難です。それでも、サイバー犯罪だけでも、 905億ドルの損失 このような環境では、すべての CIO が法的問題に関する基本的な理解を持つことが必須となります。
ギリシャの哲学者 ヘラクレイトスはかつてこう言った。「予期せぬ出来事を予想していなければ、それが起こったときにそれに気づくことはできない。」