web-dev-qa-db-ja.com

内部告発、ビジネス倫理、およびクレジットカードデータ

私は個人的で倫理的なジレンマに直面しているときにこの投稿を書いています。この状況に取り組むための最善の方法、特に哲学的観点からのフィードバックをお願いします。

私は中小企業で働いています。私はパートタイムで、大学にお金を払っている間、「うんざり」するような仕事をしています。以前はこの特定の分野で大規模に働いていたので、これは私にとってかなり簡単なことです。私は確かに怠惰ではなく、自分の仕事をしていますが、私は他のフルタイムの仕事に携わってきた「超忠実な会社の人」でもありません。過去に他の仕事をしているよりも、この仕事から離れているように感じます。

とにかく、お客様からの注文が必要な社員がおり、紙ベースのシステムを採用しています。また、電話でこれらの注文を受け取ることもあり、お客様がクレジットカードで支払うこともあります。 クレジットカード番号と有効期限は紙の「チケット」の裏面に記載されています。

また、これらのチケットは3〜6人の間で渡され、施設を出て、少なくとも1回はごみに捨てられます。細断してゴミに捨てず、そのままゴミに捨てる。

PCIコンプライアンスの非常に初歩的な基本を知っている 私はこれを爆発を待っている巨大な法的および金融爆弾と見なします)。

これだけでなく個人的に私はこれが正しいとは思いません。顧客は私たちにこの情報を任せており、地元のゴミ捨て場でゴミ箱のダイビング旅行に行こうとする人はだれでも、クレジットカードデータの泥棒の宝庫を見つけることができます。これは非常に不安です。

明らかに、これについて雇用主と話します。しかし、ここで倫理的な問題が生じます。

所有者を説得して、なぜこの慣行を変更する必要があるのか​​、またはコストに見合う価値があるとは思えません。私の意見では、所有者は物事に関してはかなり不十分であり、この情報で何かが発生する可能性を非常に低い可能性として排除するだけです。

倫理的でありながら、無理なくこれをどこまで行うべきですか?

単に顧客データの安全性に対する十分かつ完全な配慮の欠如を所有者に通知するだけで十分ですか?腸の奥深くにあるとは思いませんが、深いところにあるにもかかわらず、私はこの大失敗を修正するためにいくつかのコンプライアンス規制機関に悲鳴を上げたいですか?

私は、所有者のビジネスに害を与えたくないと同時に、クレジットカードデータに対する現在のポリシーが廃止されることを保証することの間で引き裂かれています。

要するに:

内部告発者であることが非倫理的であり、このビジネスに大きな害を及ぼす可能性がありますか、それとも待機して何もしませんか?

13

コンプライアンスまたは規制機関がPCIとして認識されている場合、それは誤りです。彼らは規則とガイドラインを作成しますが、この状況では、それはあなたの会社の取得銀行(あなたの商人番号を発行し、あなたの支払いを処理する銀行)です。

敷地外に持ち出されるか、細断せずに捨てられるカード会員データの量はどれくらいですか?あなたの説明から、それはかなり低いようです。あなたの会社はどのレベル(1年あたりのトランザクション数)ですか?彼らは少なくともSAQ(自己評価アンケート)の対象となり、所有者は自分の名前に署名してPCIの規則を遵守します(これはもちろん、あなたのアクワイアリングバンクが実際にPCIについて何かをしていて、あなたの会社にこれを要求している場合です) 。

私の意見で最も良いことは、問題を簡単に修正できるようにすることです。結局のところ、それは純粋に手続き上/運用上の問題のように聞こえます。あなたが問題の代わりに解決策を提供するなら、私の推測はあなたが問題を解決するだけでなく(あなたがそれを解決しようとしていると仮定した場合)、そしておそらくあなたの上司からの称賛(あなたがそれを気にかけているなら)をさらに得ることができると思います。

クロスカットシュレッダーは約50ドルです。カード所有者のデータをクレイグリストまたは中古で10〜20ドルで細断するまで、ハードコピーにカード会員データを保存するためのロックキャビネットを見つけることができると思います。従業員がカード会員データを敷地外に持ち出さず、上記のロックキャビネット内のカード会員データのみを破棄するというポリシーの草案を作成するには、約20分かかります。データを見る6人以上の人々は、必要がある場合、またはデータを見る権限がある場合、PCIに違反していません。

本当に問題を解決したい場合は、懸念事項とともにコスト効率の高いソリューションを上司に提供してください。

10
eficker

免責事項:私は法的助言を提供する資格がありません。法的助言が必要な場合は、適切な専門家に相談してください。

お住まいの国または法的管轄はわかりませんが、必要な報告法が存在する場合があります。つまり、違法または非倫理的な行為(これがそうであるかどうかにかかわらず)を知っている場合は、法的にそれを報告するよう求められる場合があります。

倫理的には、この活動を是正しようとする誰かの注意を引く必要があります。顧客はこの会社を信頼しており、その信頼は裏切られています。功利主義の観点からは、不注意な従業員よりも多くの顧客が被害を受けているように聞こえます。

法律で報告が要求されない限り、コンプライアンスや規制当局に言及する前に、社内のマネージャーに報告するのは公正だと思います。あなたは経営者の対応についてのあなたの予測は正しいかもしれませんが、あなたは間違っているかもしれません。

私が目にする最大の問題は、経営陣に通知しても何もせず、コンプライアンスまたは規制当局に問題を紹介した場合の反発の可能性です。潜在的な反発に関心がない場合は、経営陣に通知します。潜在的な反動を懸念している場合は、管理をバイパスしてコンプライアンスまたは規制当局に直接行くことを検討することをお勧めします。

5
this.josh

通常、このような状況では、ビジネス上の決定を下す人は、「私には何も悪いことはありませんか?」というわだちに陥ります。または「大きな魚がいるときに、誰がこの小さな会社をターゲットにするのか」それは正直に、そして真にビジネス上の決定です。

この所有者がこのよそよそしい人だとしたら、説明責任がないので、従業員がそれらのスリップをゴミ箱の代わりにポケットに入れてしまうという大きな問題を抱えていると思います。

彼らが倫理的に何をしているのか、あなたがどこで働いているのか不安を感じているなら、これはあなたが歩く必要がある非常にトリッキーなラインです。最善のことは、おそらくあなたが別の仕事を探すことです。問題は、あなたが正しい間、あなたはまた信頼性がないということです。パートタイム/制限付きであなたのために働いている誰かがあなたにやって来て、あなたのビジネスプロセスが間違っているとあなたに言ったのをどう思いますか?確かに、大企業よりも中小企業の方が簡単かもしれませんが、そよ風に撃たれる可能性が高いです。面接で面接を受けた場合は、「理由」を丁寧に伝えてください。

あなたの所有者よりも大きな力を持つ誰かが彼らにそれを変える必要があると告げるまで、それは変わらないでしょう。

1
M15K