メールセキュリティブログ by サイバーソリューションズ株式会社

不正等調査とは?

作成者: サイバーソリューションズ|Sep 11, 2023 7:48:25 AM

不正等調査と聞いて、皆さんはどの様なことを想像するでしょうか?

「怖い」、「暗い」、「犯罪者」などという感じのイメージでしょうか。
もしかしたら、ほとんどの人が、「私には関係な〜い!」という意識かもしれません。
でも、最近の不正等に関するニュースを見ていると、品質不正、贈収賄や会計不正等の世間を騒がす重大なものから、SNS炎上等の身近?なものまで多様な不正等が存在しています。

この様な不正などが発覚した後に実施される、不正等調査についてお話しさせてください。

 

不正等調査

不正等調査は、何らかの不正などが発生したことを受け、その組織が発生した不正などについて内部の責任者または外部の有識者等で実施する調査になります。

不正等調査は、品質不正、贈収賄、会計不正から、パワハラ、セクハラ、情報漏えい事故等についても実施されています。

調査の始まりは、内部や外部からの通報、内部監査等による異常点の発見などがあり、稀に、不正の当事者本人からの告白の場合などもあるようです。

調査の実施者は、組織内部の人であれば、取締役や監査役、内部監査部門等の担当者などが想定され、組織外部の人としては、弁護士、大学教授、公認会計士、公認不正検査士等の有識者や専門家が携わる例が多く見られます。また、最近は、情報が電子化される事が多いため、デジタル調査の専門家が関係することも多くなっているようです。

調査は、一般的に以下の様な手順で実施されることが多いと思われます。

  1. 調査範囲の確認
  2. 関係者の面談
  3. 資料の収集
  4. 報告書の作成


報告書には、不正等の内容、原因や再発防止のための取り組むべき事項等が記載されています。
また、内部での報告に止まるものと、事案によっては、組織外部に公表されることもあります。

第三者委員会

「第三者委員会」という言葉を聞かれた事があると思います。これは、不正等調査を組織内部の人ではなく、組織と関係のない外部の有識者等により執り行われる調査のことです。

正確には、「第三者委員会」は、日本弁護士連合会が策定した「企業等不祥事における第三者委員会ガイドライン」に準拠して組成された調査委員会のことです。

当該ガイドラインの第1部 基本原則に、第三者委員会を定義したところがあり、「企業等から独立した委員のみをもって構成され、徹底した調査を実施した上で、専門家としての知見と経験に基づいて原因を分析し、必要に応じて具体的な再発防止策等を提言するタイプの委員会」としています。以下、第1部 基本原則をガイドラインから引用します。

第1部 基本原則


本ガイドラインが対象とする第三者委員会(以下、「第三者委員会」という)とは、企業や組織(以下、「企業等」という)において、犯罪行為、法令違反、社会的非難を招くような不正・不適切な行為等(以下、「不祥事」という)が発生した場合及び発生が疑われる場合において、企業等から独立した委員のみをもって構成され、徹底した調査を実施した上で、専門家としての知見と経験に基づいて原因を分析し、必要に応じて具体的な再発防止策等を提言するタイプの委員会である。

第三者委員会は、すべてのステークホルダーのために調査を実施し、その結果をステークホルダーに公表することで、最終的には企業等の信頼と持続可能性を回復することを目的とする。

 

ガイドラインでは、調査を進める上での、手法に関しても「第6.その他」「1.調査の手法など」に、記載されています。

  1. 関係者に対するヒアリング
  2. 書証の検証
  3. 証拠保全
  4. 統制環境等の調査
  5. 自主申告者に対する処置
  6. 第三者委員会専用のホットライン
  7. デジタル調査

 
さらに、調査を実施する際に、専門家の選任についても記載されています。

「第5.委員等についての指針」の「2.調査を担当する専門家」に、「第三者委員会は、事案の性質により、公認会計士、税理士、デジタル調査の専門家等の各種専門家を選任できる。」とされています。

ここでも、デジタル調査を前提とした専門家の選任が記載されており、現在の不正等調査では、電子データの調査に関する重要性が高まっていることが見て取れます。

 特に、電子メールやチャット等の電子的なコミュニケーションに関する電子データは、不正等調査で重要な情報と考えられ、第三者委員会を含む不正調査報告書では重要な調査対象としてデジタル調査が行われているようです。

不正等調査とEnterprise Audit

Enterprise Audit (旧Mail BASE)は、電子メールとチャットについて、組織内のコミュニケーションの履歴を整然と保存しています。

また、キーワード検索はもちろん、送信先別、日付別等に集計する機能やアーカイブする機能により、不正等調査に適時、適切な情報を提供できます。

また、モニタリング用として、キーワード等の一定の条件を設定して定期的にモニタリングを実施することで、不正等の端緒を発見することも期待できます。

 

1. キーワード検索

キーワード検索により、不正の存在を確認できそうな言葉を含む情報を抜き出す事ができます。

さらに、いくつかの検索したいキーワードを登録することにより、定期的に該当するキーワードを含むコミュニケーションを抜き出すことで、不正やハラスメントの端緒のモニタリングもできますし、実施していることによる一種の牽制機能を働かせることも期待できるでしょう。

2. 送信先別集計等

送信先や送信日で集計する機能があります。これにより、特定の個人に対してメールを大量に発信していたり、休日に外部にメールを送信していたりしている事が抽出された場合、ハラスメントや情報漏えいの端緒と考える事ができるかもしれません。

3. アーカイブ

Enterprise Audit (旧Mail BASE)では、送受信される電子メールをユーザの各メールボックスとは別に保存しているため、個々人の実行する削除とは無関係に情報が保存されています。また、情報漏えいやハラスメントでは、当事者本人が意識的に該当するメールを削除する可能性もあり得ます。Enterprise Audit (旧Mail BASE)では、メールユーザ個々人の削除や改ざん等がされる事なく、適切に保存されています。

これは、不正等調査で最も困難な「ないことの証明」に有用な情報を提供できるかもしれません。

まとめ

ほとんどの方が、不正等調査を経験することは、無いでしょう。所属する組織に不正等はない方が良いですし、幸せです。

しかし、組織に所属していることは、当人の思いとは関係なく、何らかの不正事案等に巻き込まれる可能性がないとは言い切れません。

メール等の電子的なデータが適切に保存されていることで、不正事案やその関係者について、関係等が明確になると考えれば、適切に情報を保存することの必要性が理解できるのではないでしょうか。

執筆:公認情報システム監査人
(サイバーソリューションズ株式会社 製品開発アドバイザー)

eDiscovery対応のメール監査システム
「Enterprise Audit」

サイバーソリューションズの「Enterprise Audit」は、eDiscovery対応のメール監査・アーカイブシステムです。Microsoft 365やGoogle Workspaceをはじめとしたクラウドメールサービスや、Exchangeなどの各種メールサーバーに連携して利用できます。ご興味がある方は、お問い合せください。

【お役立ち資料】eDiscovery対応!Microsoft 365ユーザ様向け
「メール・Teams監査」強化のご提案

Microsoft 365ユーザ様ならではのコンプライアンス対策の悩みや課題の解決方法を分かりやすくお伝えします。監査・訴訟対策を強化したい企業はぜひお役立てください。