【第13回不正対策勉強会】日本経済新聞記者が語る他社の不正事例から見る属人化リスクと解決のヒント
2024年3月11日
【第14回不正対策勉強会】内部通報体制の心構え“救済申立て型”通報への対応と事実認定
2024年4月22日
【2023年2月14日開催 第3回不正対策勉強会】
平時監査の重要性とその構築方法
不正・フォレンジック調査に精通する弁護士が解説
自社で不正が発覚した場合、企業は緊急の対応策を求められます。それを踏まえ、昨今ますます重要視されているのが平時監査です。不正の未然防止や不正発覚後の被害を最小限に抑制する目的でも、平時監査は重要な役割を果たしています。一方で、コミュニケーション手段の多様化による監査データの増加、カルテル・情報漏洩・ハラスメントをはじめとする様々な経営リスクなどにより、平時監査は昨今ますます難易度を増しています。企業のリスクマネジメント担当や法務担当で、監査体制の構築に頭を悩ませている方々も多いのではないでしょうか。今回の勉強会では、企業の不正・フォレンジック調査や再発防止体制の構築に数多く携わられたTMI総合法律事務所の戸田先生に、平時監査の要となるデジタル・フォレンジックの概要と平時監査体制の構築方法について解説していただきました。また、後半のモデレート・ディスカッションではAI導入のサポートを行う弊社のカスタマーサクセス部長・後藤も参加。両専門家のアドバイスは、平時監査体制の構築や見直しを行う上で大いに参考になるでしょう。
TMI総合法律事務所 パートナー弁護士・NY州弁護士
TMIプライバシー&セキュリティコンサルティング取締役
中央大学法科大学院 兼任講師(アジア・ビジネス法)
戸田 謙太郎
独占禁止法・競争法、海外贈収賄規制、国際通商(経済制裁、アンチ・ダンピング)、ビジネスと人権、公益通報者保護法、グローバル・ガバナンス体制の構築など、グローバルでのコンプライアンスに関するアドバイスやフォレンジックなどの情報ガバナンスを主な取り扱い分野としており、社内コンプライアンス研修の講師なども精力的に行っている。
株式会社FRONTEO
取締役/AIソリューション事業統轄 兼 社長室長
山本 麻理
広告代理店に入社後、リスクマネジメント会社に在籍。メンタルヘルスケア事業を立上げ、事業計画、商品開発、マーケティング、営業戦略を実行し業界トップシェアへと導く。2014年に同社取締役に就任し、2017年に東証一部上場を実現。2018年12月より株式会社FRONTEOに参画、2020年取締役に就任しAIソリューション事業全域を管掌・指揮。
株式会社FRONTEO
カスタマーサクセス統括部 統括部長
後藤 英治
ITアウトソーシング企業にてBPR等コンサルティングに従事した後、米国シリコンバレーを拠点としたAIスタートアップ企業に日本Region担当マネージャーとして参画。現職FRONTEOではAI活用コンサルティング、AIソリューションの導入及びサポートまで一気通貫で顧客に相対する部門を管掌。
平時対応のデジタル・フォレンジックはどうあるべきか?
デジタル機器に記録された情報の回収と分析調査を行うデジタル・フォレンジック。近年の不正調査案件では、この手法を活用して行われることが多くなっています。
戸田氏(以下敬称略):最初に有事対応におけるデジタル・フォレンジックの活用場面を考えてみましょう。代表的な例としては「国際訴訟や国際仲裁における証拠の収集・提出」、第三者委員会や社内調査委員会などによる「企業不正や不祥事に関する調査」、横領や背任などの際に行われる「役員や従業員の不正調査」、各種ハラスメントや過労死などで求められる「労務関連の調査」、さらには「情報漏洩の調査」などが挙げられます。有事を経験された方なら、こうした調査の際に何を行うかよくご存知だと思います。基本的なアプローチとしては、サーバーやスマートフォンに蓄積されたデータの保全・復元、その内容解析、レビュー及び閲覧という流れになります。
今回のテーマは「平時監査におけるデジタル・フォレンジックの活用」です。有事と平時でその目的に違いがあるのでしょうか?
戸田:平時のコンプライアンス体制を構築する際、私は3つの柱があると考えています。第1は「未然防止のための体制づくり」。第2は「早期発見のための体制づくり」。そして第3が「有事体制に備えた体制づくり」です。では、こうした柱に沿ってどのようにデジタル・フォレンジックを活用すべきでしょう? 分かりやすいのはメールソフトやコミュニケーションツールの監査ですが、これは不正を早期発見するだけでなく、「メールをチェックしていますよ」ということを社内に周知することで不正の抑止力としても作用します。コンプライアンス体制の構築において代表的なものは内部通報制度ですが、通報があった時は既に問題が大きくなっていた、という事態も少なくありません。再発防止策の一環としてメール監査が一般化してきたのは、未然防止効果が大きいからです。ただし、メール監査システムを導入すればそれで終わりということではありません。重要なのは情報の管理体制を整えること。つまり情報ガバナンスへの取り組みです。これに含まれるのは「データマッピング」「文書管理規程」「マニュアル」という3つの要素。次に紹介する平時監査体制の構築方法で詳しく説明します。
平時監査体制をどのように構築すべきか?
最初に、メールソフトやコミュニケーションツールの監査において検討すべき項目を見ていきましょう。既に取り組んでいるなら、見直しのきっかけになるかもしれません。
戸田:最も重要な項目は「利用状況の把握」です。以前はメールソフトの監査だけで充分でしたが、今はZoom、Teams、Slack、LINEなど、多種多様なコミュニケーションツールが利用されています。利用するツールが社内でルール化されていればいいのですが、そうでない場合は情報漏洩や機密情報の持ち出しにつながる恐れがあります。ヒアリングやアンケートを通じて使用中のツールを確認し、必要に応じてルール化しましょう。
続いて検討すべき項目は、「対象とする役職員の範囲」「対象とする不祥事の内容」「キーワード設定の有無」「AI教師データの有無・教育方法」です。これらについてはコストとリスクを考えながら、どのような組み合わせが自社にとってベストなのかを考えなければなりません。いきなり全範囲、全対象では壮大な計画になりすぎ、無理が生じます。スモールスタートで構わないのでリスクベースアプローチを取り、高リスクなところから順次導入することを考えましょう。導入後に必要な項目は「レビュー」です。導入時の設定が正解とは限りません。PDCAサイクルを回しつつ、蓄積されたデータをモニタリングしながら日々改善してくことが重要です。また、どういう体制でレビューするのか、問題を見つけた場合にどのようなレポートラインを作成するのか等、考えるべきことは多々あります。社内のリソース次第ですが、外部の専門家へ委託することも検討してみてください。
続いて戸田先生が取り上げたのは、情報ガバナンスへの取り組み。これにはメール監査で足りない部分を補完する役割があります。
戸田:会社としてメール管理体制を構築するのであれば、しっかりした情報管理体制が欠かせません。中でも重要なのは「データマッピング」と「文書管理規程」の整備。余力があれば「マニュアル」も整備しておきたいところです。まず取り上げるのは「データマッピング」。これは、電子データや紙の文書の管理体制がどうなっているかを一覧化する作業です。「どういう形で保存されているのか?」「どこに保存されているのか?」「そのデータはバックアップが取られているのか?」「暗号化されているのか?」など、データの流れに関する部分を確認する必要があります。見逃しがちなのは、自動的に削除・上書きされる可能性のあるデータ。確認を怠らないようにしましょう。個人情報の管理で、こうしたデータマッピングを経験された方は少なくないと思います。平時監査では範囲を広げ、それを会社の情報管理面で実行するわけです。
「データマッピング」に比べると、次に取り上げる「文書管理規程」は理解しやすいかもしれません。どの会社にも一定のルールがあるからです。
戸田:文書の管理規程はパソコンが導入される以前からありますが、それらはおそらく20年前、30年前に作られたものでしょう。平時監査体制を構築するにあたり、刷新することをお勧めします。文書管理のポイントは二つあり、その一つは「文書を適切に作成する」ことです。例えば米国で民事訴訟を起こされた場合、社内に「あの裁判はまずいね」「負けそうだね」といったメールが残っていたら、後々不利な証拠になることがあります。今書いているメールが裁判で使われる可能性があることを前提に文書を作成するよう、明記しておきましょう。他方で、必要な文書はすぐに提出できる形で残しておくことも重要です。
もう一つのポイントは、「文書管理規程に従って確実に廃棄する」こと。残念ながら、多くの会社ではこれを実行できていません。平時はさほど問題になりませんが、いざ有事となった場合はどうでしょうか。捜査当局から「対象の期間内に該当する証拠を提出してください」と言われても、全ての文書に目を通さなければなりません。その中に有利な証拠があったとしても保存費用は膨大なものとなり、見つからなければ廃棄したのと同じ結果になってしまいます。管理コストと廃棄のリスクを考えながら判断してください。
戸田先生は文書管理における問題点をこのように語ってくれました。
戸田:まずは、「相手に見られてしまう感覚を忘れて文書を作成する」ことです。LINEやSlackなどのチャットアプリに慣れていると、社用メールも同じ感覚で使ってしまいがち。常に気をつけるべき重要ポイントです。「文書管理が個人レベルで行われている」ことも問題です。従業員の管理意識が薄いだけでなく、そもそも管理責任者が置かれていない会社もあります。「廃棄の具体的な過程が定められていない、あるいは運用されていない」会社も多いと思います。保存期間満了後に廃棄すると決まっていても、細かなルールがなければ従業員は何をどうすればいいのか分かりません。
では、どういう点に留意しながら文書管理規程を整備すればいいのでしょう? 戸田先生は以下の点を指摘されました。
戸田:重要なのはビジネスの実態に沿っていることと、廃棄のプロセスを明確にすることです。理想論で作った規程は形骸化するだけですし、具体的な廃棄方法が明記されていない規程は無意味です。文書管理規程は、合理的かつ現実的でなければなりません。もう一つの留意点は、規程を文書化するだけでなく、全ての従業員に周知すること。コンプライアンスセミナーを開催したら、最後のスライドで注意喚起することをお勧めします。従業員に対しては継続的な教育や啓発活動も実施すべきですね。また、継続的な遵守状況の監査も欠かせません。新しい制度やアップデートした制度を導入した後はそれが正しく機能しているかどうかをモニタリングし、必要に応じて改善していくのです。
情報ガバナンスで求められる最後の項目は、「マニュアルの整備」。情報共有時のルール作成ですね。ここには、例えば通知すべき人物の連絡先、対応フローチャート、文書保存規程通知の雛形、べからず集などを記載しておきます。必須ではありませんが迅速な危機管理において重要な要素なので、可能ならば整備しておきましょう。
AIはデジタル・フォレンジックの決め手になるのか?
最後に、弊社のカスタマーサクセス統括部長の後藤が参加したモデレート・ディスカッションの様子を紹介します。興味深い質問が数多く寄せられました。
質問1.平時監査で魔法の杖のように語られるAIだが、成功もあれば失敗もあるのでは?
後藤:当社のAI「KIBIT」は、多様なコミュニケーションツールの監査に応用できる文面スコアリングを行っています。失敗例として挙げられるのは、取りたいデータがスコアリングされないケース。理由として考えられるのは、しっかりした教師データの不在あるいは不足です。その場合も当社が教師データの作成を支援しますので、成功に導くことは難しくありません。また、リスクを補足するために従来のキーワード検索と組み合わせる方法もあります。
質問2.フォレンジック調査にトレンドはありますか?
戸田:フォレンジックは、かつては大規模な不正事件だけで行われていましたが、最近は規模の小さな事件や案件にも導入されるようになってきました。調査の対象がパソコン1台という事例もあります。また、監査法人の要請によって導入する会社も増えています。
後藤:最近の不正事例では、メールやチャットの「言い回し」の変化が目につきます。監査システムの定期的なチューニングが必要ですね。お客様の事情にもよりますが、当社では3ヶ月から半年タームでのチューニングを推奨しています。
質問3.平時監査の重要性は理解していますが、リソースを割けない場合の最適解は?
戸田:無理して社内で全てをやる必要はありません。少々コストがかかったとしても、法律事務所やレビュワーなど外部の専門家に任せた方がいいでしょう。
後藤:システムの閾値を見直す方法もあります。閾値のスコアを引き上げる、対象者の範囲を小さくするなどで、管理担当者の負担はかなり小さくなります。
質問4.「会社に見られたくない」という理由で、社員が海外子会社との連絡ツールにLINEを使っています。会社の公式ツールに誘導する術はありますか?
戸田:会社の公式ツールがルール化されていないのであれば、まずは使用をルール化すべきです。それが難しいなら、ビジネス用途に特化したLINE WORKSを検討してみてはいかがでしょうか。そもそも、会社に見られたくないからLINEを使うという発想自体に問題があります。コンプライアンス教育を通じた適切な指導を行いましょう。
FRONTEOでは、EmailをはじめLINE、Slack、Teamsといった社内のコミュニケーションツールに対応したAIによる監査ツールを開発、監査業務の工数を大幅に削減した平時監査ソリューションを提供しています。品質不正、カルテル、贈収賄、ハラスメント。情報漏洩……社内に内在するリスクを可視化することで企業の内部不正を未然に防ぎます。
万が一、社内で内部不正が起きた場合、スマホ、タブレット、PCなど当該社員のデジタルデバイスをはじめ、各種サーバー、システム内のログファイル等を調査する必要があります。FRONTEOは、フォレンジックと呼ばれるこの不正調査のパイオニアとして2000件以上の調査実績を誇ります。情報漏えい/データ改ざん/横領・キックバック/国内談合/購買不正/労務問題/怪文書作成元特定/ハラスメント問題/セキュリティ事案……とあらゆる不正調査に対応可能です。
