あなたの所属する組織で不正等調査が行われることになったら、どう思いますか。
「え、社内に悪い人がいるの?」「犯人は誰だ?」「え〜、やだな!」などと、思われるのではないでしょうか。
不正等調査の実施は、組織に所属する各個人にとっても、組織にとっても、一大事です。
それに、多くの不正等調査は、沢山の費用と多くの時間をかけて行われます。
もしかしたら、組織の皆さんが、その目的をしっかり理解していないと、お金と時間を浪費するだけのものになってしまうかもしれません。
不正等調査の第一の目的は、調査の対象となるその不正事案そのものの「解明」です。
そうです、不正を、誰が、なぜ、いつ、どこで、何を、どの様に行ったのかということを解き明かすことです。
調査の方法は、事案によっていろいろあることと思いますが、例えば、日本弁護士連合会が策定した「企業等不祥事における第三者委員会ガイドライン」では、以下の様な手法が例示されています。
また、調査の実施者としては、弁護士、有識者、公認会計士や不正等調査の専門的家として公認不正検査士やデジタル調査の専門家等の参加が想定されています。
特に、組織の活動にコンピュータが深く浸透している現在では、「7. デジタル調査」に関する専門家の参加は必須と考えることができるでしょう。
不正事案の解明が終わりましたら、原因究明が必要になります。
内部者による不正の発生については、よく「不正のトライアングル」などという事が言われています。
「不正のトライアングル」とは、「動機」、「機会」と「正当化」の3つの要素のことで、これらが揃うことで、内部者による不正が行われやすくなると言われています。
一般に、「動機」は、金銭的な問題や組織の業績等に関するプレッシャー等の個人に関する事由が挙げられています。
「機会」には、組織の管理体制の不備や監視不足など、組織の「スキ」が挙げられています。
「正当化」は、「組織のためになる」とか、「私はこんなにやっているのだからこの位なら許される」などと言う、当事者の個人的な思いが挙げられています。
不正の実施者が、なぜ、不正を行うに至ったについて、「不正のトライアングル」も参考にして究明して行く事が良いと思われます。
最近は、「不正のトライアングル」に、「実行可能性」と言う側面を加えて、「不正のダイヤモンド」いう有識者の方がいらっしゃいます。「実行可能性」とは、職責、地位等による実行可能性と個人的な能力や自信による実行可能性の2つの側面を考えているそうです。
原因の究明の次は、その原因について対応する「再発防止策」の作成に移ります。
原因を前段の「不正のトライアングル」の要素ごとに取りまとめてあれば、再発防止策も「不正のトライアングル」の要素ごとに取りまとめる事ができます。
つまり、「動機」、「機会」と「正当化」の要素ごとに防止策を取りまとめる事になります。
動機は、個々人の私生活の問題が含まれる部分が多々あるため、研修や人事・上司による面談等による対策が想定されます。
機会は、ルール上の規制やモニタリング等の内部牽制機能の整備・改善により、対処します。
正当化は、動機と同様に個々人の内心の部分が大きく、ここでも、研修や人事・上司による面談等による対策が想定されます。
さて、再発防止策まできましたが、これだけで良いのでしょうか。
調査対象の不正は、当事者が単独で行なったと言う結論に至ったとします。でも、本当にその事案だけだったのでしょうか?
内部牽制機能に不備があった場合、同じ様な境遇の個人(不正のトライアングルが出来上がっている人)が組織の中に他にはいないし、同じ様な事象が発生していない、と本当に言えるでしょうか?
不正が、既に、組織内で発生している事が確認された訳ですから、類似する事案が他にもあるかもしれません。したがって、不正等調査においては、類似する不正がないかどうかを併せて、調査する必要がある場合が考えられます。また、調査報告の目的にも類似する不正の有無に関する調査も含まれる事があるようです。
では、どの様に調査することになるでしょうか、「ないことの証明」ですので、なかなか困難な課題になります。無いことを完全に証明することは難しいですが、例えば、通報窓口を設けたり、構成員全員にアンケートを行なったりと色々と行われている様です。
さらに、組織内のコミュニケーションの手段である、電子メールやチャットについて広範囲に検索、分析して行くことで、相当程度の心証を得る事(どうも他にはなさそうだ、)ができるのではないかとも言われています。これは、時間と手間のかかる作業になることと思われますが、不正事案の発覚により失った組織の信頼を回復するための有効な手続きとも考えられます。
この様な作業を行うには、適切に管理された電子データの保存が前提になるかもしれません。「情報ガバナンス」を確立して、組織の方針、法的要件やビジネス要件に適合した、電子データの保存方針、電子データの種類に応じた保存方法、保存期間等を制定することが必要になるでしょう。
Enterprise Audit (Mail BASE)は、電子メールとチャットについて、組織内のコミュニケーションの履歴を全て保存しています。これは、通常のメールサーバのアーカイブ機能と異なり、メールの各ユーザの権限では削除ができないため、情報の網羅性をシステムとして維持していると考えられます。
この様な性格を持つ電子データですので、不正等調査における原因究明はもちろん、類似事案の有無の調査用としても有用なデータを提供できるものと考えます。
不正等調査は、当事者の責任関係を明確にし、事象の発生原因を根本から見直し、再発防止に役立てることはもとより、不正の存在について徹底的に調査し、「不正は許さない」と言う組織としての姿勢を組織の内外に示すことで、組織としての信頼を回復する手立ての最初の一歩でもあります。
日本弁護士連合会が策定した「企業等不祥事における第三者委員会ガイドライン」でも、「第三者委員会は、すべてのステークホルダーのために調査を実施し、その結果をステークホルダーに公表することで、最終的には企業等の信頼と持続可能性を回復することを目的とする。」と記しています。
これらを実現するためには、組織のリーダーの下、組織の構成員全員が団結して調査にあたる事が重要になります。
もちろん、調査のための情報インフラ、情報ガバナンスを整えておくことは、事前のモニタリングへの対応も含めて、必要なステップではないでしょうか。
執筆:公認情報システム監査人
(サイバーソリューションズ株式会社 製品開発アドバイザー)
サイバーソリューションズの「Enterprise Audit」は、eDiscovery対応のメール監査・アーカイブシステムです。Microsoft 365やGoogle Workspaceをはじめとしたクラウドメールサービスや、Exchangeなどの各種メールサーバーに連携して利用できます。ご興味がある方は、お問い合せください。
Microsoft 365ユーザ様ならではのコンプライアンス対策の悩みや課題の解決方法を分かりやすくお伝えします。監査・訴訟対策を強化したい企業はぜひお役立てください。