2021年10月14日 (木)

(速報版)公益通報者保護法に基づく指針の解説が公表されました

関西スーパーの経営統合問題で伊藤忠食品が関西スーパーに対して質問状を提出したそうですが、伊藤忠食品のHPで質問状の内容を拝見しますと、とても納得感のある内容でした。臨時株主総会の開催日(10月29日)から考えますともうそろそろ関西スーパーからオーケーに対する回答、伊藤忠食品に対する回答が出てくる頃ではないかと思いますが、いかがでしょうか。あっそうそう、議決権行使助言会社の推奨意見もそろそろ判明しますね(以下、本題)。

さて、来年6月1日から施行される改正公益通報者保護法第11条に基づく「指針」の解説が、本日(10月13日)消費者庁のHPにて公表されました。今朝の読売新聞2面に大きく「内部通報に嫌がらせ 処分-役員ら対象(保護強化策 政府明記へ)」とありましたので、もうそろそろ公表されるのだろうかと思っておりました。すいません、仕事がちょっと忙しいのでまだ内容を確認できておりませんが、これは法務担当者にとっても重要な解説ですので、ご一読されてはいかがでしょうか。

改正公益通報者保護法の逐条解説本が出版され、指針の解説が公表されましたので、あとは来年6月の施行までに「平成28年版・事業者向けガイドライン」の改訂版が公表されれば、ほぼ改正法施行の準備は完了ですね。

| | コメント (1)

2021年10月13日 (水)

経済安全保障政策を意識したESG経営の視点が不可欠と考える

今年7月27日のエントリー「企業のESG経営-『E』と『S』はつながる時代へ(オランダの裁判事例とEUにおける環境カルテル)」において、近時のオランダにおける裁判例をご紹介して「環境問題は人権問題のひとつとして捉えられる時代になるのでは?」と書きましたが、10月8日、国連人権理事会は、清潔で健康的な環境へのアクセスは基本的人権であるとの決議案を賛成多数で可決したそうです(有償版ですが、毎日新聞ニュースはこちらです)。日本は棄権したものの、決議は理事国47か国中賛成43、反対0ということで可決しました。

日本企業としても、もはや「環境問題は人権問題でもあること」を理解しておいたほうがよさそうです。国連人権理事会の次の狙いは①人権侵害に基づく損害賠償請求に関する緊急管轄の創設、②被害者の選択による準拠法選択に関する特則の制定明記というところにありますので、いよいよ世界レベルでの人権侵害行為や環境問題への不作為に対するハードロー化、つまり救済アクセスの充実が求められることへの企業対応を検討しておく必要があります。この件については抵触法(国際私法)の最新事情も踏まえて、また別途エントリーで詳しく意見を述べたいと思いますが、以下本題です。

前回のエントリーでは、文藝春秋最新号の財務次官論稿について少しだけ触れましたが、本日は同号「アップルとかく戦えり」と題する前公正取引委員会委員長の論稿についての感想です。

日本製鉄の東京製鉄への敵対的TOBについては今年2月のエントリー「日本製鉄→東京製綱・敵対的TOBに関する素朴な疑問」において「公取の事前審査の潜脱行為では?」と疑問を呈しましたが、案の定、公取から厳しい指摘を受けて、日本製鉄は元の持ち株比率に戻すそうです(こちらのNHKニュースが報じています)。このような公取委の対応はかなり厳しいなぁと思いますが、冒頭の「アップルと・・」を読みますと、(論稿はあくまでも前委員長の個人的な見解かもしれませんが)公取委としては今後さらに「公正な競争市場の形成」に向けて積極的な行動に出ることを確信いたしました。

とりわけ「社会主義はデジタルで甦る」というご意見はそのとおりかと。「先端半導体」「一般半導体」の技術をはじめ、国家監視資本主義の実践に必要な技術が中国に流出することで、自由資本主義国家の安全保障が揺らぐ可能性を欧米諸国と日本が共通課題と考え、各国の競争規制当局が足並みをそろえて監視資本主義に対抗する姿勢は、日本企業のコンプライアンス経営に、とても大きな影響をもたらします。中国がアリババやディディ(滴滴出行)に対して競争法によって規制を強めているのと同じ理屈ですよね。

おそらく公式には「経済安保」とは言わないけれど、西側諸国は「公正な競争市場の確保」という錦の御旗のもとで、環境や人権への取組みに熱心でない日本企業に対しては「公正な取引条件の不備」を問題視してハンデを背負わせることが想定されます。

ESG経営をどこまで追求すべきか、といった点について同業他社と協議することの是非はいろいろと議論されているところですが、少なくとも自由資本主義体制が目指す公正な競争条件の形成を阻害する行動(たとえば①品質偽装、②情報漏えい、③営業秘密の侵害に対しての泣き寝入り、④現地公務員への贈賄等)や、GAFAのプラットフォームのように監視資本主義に活用されるおそれのある企業への「事前規制」には要注意ですし、その規制に反する行動へのペナルティは、世界的にとても厳しいものになると予想しています。

少し前までは「ESG」といえば「企業による社会的責任に基づく実践行動」というイメージを持っていましたが、最近は経済安保問題や経済覇権行動に対する後出しジャンケン的な理由付けなど、もっとドロドロした世界をきれいにウォッシングするために活用されるイメージが強くなったように感じるのは私だけでしょうか。

| | コメント (1)

2021年10月11日 (月)

経済安保問題における企業の「自助」と「共助」

文藝春秋2021年11月号に現役財務次官の「このままでは国家財政は破綻する」との論稿が掲載されました。これに対して大物政治家の方々が「バラマキとは失礼だ」「弱者を見殺しにする気か」「分配で経済成長をすることがまず優先だ」と批判をされています。ただ、この論稿を読むと、決して弱者切り捨てなどとは述べられておらず(コロナ禍における一時的な支援は必要)、分配が経済成長につながらない論拠も日本と海外諸国の例を挙げて説明しているのですから、たとえ財務次官の「個人的な見解」にすぎないとしても、マスコミも「政策論争」として政治家の「反対意見の論拠」を取り上げてほしかった。財政再建と経済成長策との関係は喫緊の課題だけに面白おかしく「時事ネタ」として取り上げるのは残念です(以下、本題)。

さて、先週のエントリー「ビジネスと人権」問題は「素朴な正義感」で向き合える課題ではない、には多くの反響をいただきましたが、またまた経済安保問題に関連する話題です。

ここのところ、台湾のTSMCの工場誘致(半導体の確保のための政府支援)や警察による企業への経済安保問題アドバイス(機密情報の漏洩防止)等の記事が目立ちますが、もはや現実問題として避けられない経済安保問題に企業はどのように向き合うべきか、かなり悩ましい問題です。大手電機メーカーのように経済安保対策室を設けて、リスクマネジメントや経営企画の一環として取り扱う企業も出てきているのはナットクです。

半導体問題のように、サプライチェーンの信頼関係を確保することで「危機に直面しても半導体を入手できる体制」を整えることが日本の企業にとって最も重要かとは思いますが、「監視資本主義を拡充して個人の人権侵害を世界に拡散させないためにも(先端IT技術の開発にどうしても必要な)半導体の供給体制をコントロールする必要がある」といった「スローガン」を開示する必要がありそうです。単なる米中の経済覇権争いだけではEUの協力は得られないため、やはりここでも「素朴な正義感」ではなく、経済安保問題の渦中にある日本企業の得策として人権問題を持ち出す必要があると思います(これは「自助」の課題)。

そしてもう一つがサイバー攻撃対応や営業秘密侵害防止問題です。政府が経済安保問題の中で神経ととがらせている技術流出の課題です。こちらは上記警察による企業へのアドバイスのように「共助」の施策です。企業のコンプライアンス経営にとって、これからは(良い悪いは別として)政府との連携・協調が求められる(連携しない企業は、リスクマネジメントの観点から情報の非対称性において極めて深刻な事態になる)と考えています。10月10日の日経社会面の記事では、警察が「情報を盗み出す不正者は、どのようにSNSを活用して企業に近づいてくるのか」過去の具体的な捜査事例をもとに、個々の企業にアドバイスをするそうです。もちろん過度の癒着は問題ですが(たとえば「天下り」)、日本企業が経済安保問題をうまく乗り越えるためにも、企業と政府の「共助」がこれからの課題ではないでしょうか。

 

| | コメント (0)

2021年10月 7日 (木)

監査法人交代事例の急増とオピニオンショッピングに伴う「倫理観」

本日は日本公認会計士協会近畿会の組織内会計士委員会主催の研修にてお話をさせていただきました。リアルとリモートのハイブリッドセミナーでしたが、ご聴講いただいた皆様、本日はお世話になりました。ということで(?)、監査法人ネタについて少しだけ書かせていただきます。

今朝(10月6日)の朝日新聞(朝刊・経済面)に「監査法人の交代相次ぐ 変更207社 前年より5割増」なる見出しで、監査法人を変更する上場企業が増えていることが報じられています。コロナ禍による業績の悪化で監査報酬を抑えたい企業側の狙いがあるほか、契約期間が長期化した監査法人を見直す動きが広がっていることが原因とされています。

記事の中で青学の町田教授が「企業側にモラルハザードが生じ、自社に都合のいい監査法人に代えるケースがあるならば問題だ」とコメントされているのはまことにその通りかと。かつて八田進二先生から「会計の世界にセカンドオピニオンはないが、オピニオンショッピングはある」と教えてもらいました。昨今の上場会社側の監査人変更の裏には会社側は「セカンドオピニオン」をもらえるところに変更するのであって、自社に都合の良い会計処理を許容してもらえる(オピニオンショッピングできる)監査人に交代するのではない、という意識が強いように感じます。つまり自己正当化です(悪気がないので倫理観の欠如とはいえないように思います)。要は先の八田先生の名言を広めることが必要かと。

一方で、監査法人側の事情については、私はやや記事とは違う見方をしております。記事では「海外提携先の会計事務所から、採算の合わない監査先を見直すように日本の大手監査法人は求められている」とありますが、「採算」の問題ではなく「不正リスク」の問題ではないでしょうか。新興企業では内部統制が脆弱であり、上場時から監査を継続しているものの、不正リスクが顕在化する前に契約を解消しておこう、という気持ちが強くなるのではないかと。歴史の長い上場会社であったとしても、昨今のガバナンス改革が「資源の最適配分」を強く要請していることもあり、不採算部門における会計不正リスクはかなり高まっています。民事賠償、行政処分のリスクを考えると契約先の見直しを検討する監査法人側の事情もある程度は理解ができるように思います。

「会計監査の在り方に関する懇談会」が金融庁で始まりましたが、そこでもKAM(監査上の主要な検討事項)の適用開始,監査に関する品質管理基準改訂の動きなど,監査法人を取り巻く環境が変化していることから、監査の品質をどうやって向上させるかが議論されるそうです。ポイントとなるのは中小規模監査事務所の監査品質の向上、ということなので、今回の監査法人の交代急増の事実はむしろプラスと考えて、監査品質向上のための良い機会ととらえるべきではないでしょうか。

ただ(先日、こちらのエントリーでも申し上げましたように)何事も失敗を繰り返さなければ「品質の向上」などありえないはずです。監査上の失敗の社会的損失をできるだけ少なくしつつ、その失敗から得たものを社会的資産として共有できるシステムが「監査の品質向上」には不可欠だと思いますね。

| | コメント (0)

2021年10月 4日 (月)

「ビジネスと人権」問題は「素朴な正義感」で向き合える課題ではない

先週の週刊東洋経済、そして今週の日経ヴェリタスと、続けて「ビジネスと人権」に関する特集記事が組まれています。いずれの特集でも英国保険大手アビバ・インベスターズ等世界の機関投資家が参加する格付けCHRB(企業人権ベンチマーク)の評価結果を引用して、日本企業の人権問題対応への評価が極めて低いために、日本企業と海外機関投資家、取引先との信頼関係が今後も維持しうるものかどうか、懸念が表明されています。

ちょっと気になりましたのは、特集記事の中で、いずれも人権DD(デューディリジェンス)の必要性に触れて、サプライチェーンにおける人権侵害の監査(調査)を行うこと、日本企業の外国人技能労働者(実習生)の労働環境に配慮すること、海外進出先における人権侵害を助長するような行動は慎むことなどが取り上げられていることです。「ビジネスと人権」を語るうえでのまさに旬の話題です。

国連で採択された「ビジネスと人権に関する指導原則」が各国で国内法化されている時代において、グローバル経済に取り残されないためにも、先に挙げたような問題に取り組むことが大切であることは間違いありません。ただ「SDGsの時流に乗れ」とばかりに「正義感」をもって取り組むのはちょっと違和感を覚えます。

各企業において、社内で人権問題に取り組むための人的・物的資源には限りがあります。ビジネスにおける人権侵害リスクを正しく評価して、その取り組みを開示することがなぜ必要なのか、そこにはいくつかの異なった視点があるため、どのような視点で取り組むべきかをあらかじめ考えておかなければ社内資源の効率的な活用は困難ではないでしょうか。企業価値算定のモノサシとして、財務諸表に載らない無形資産(人材、ネットワーク、組織文化)への比重が高まる中で、「ヒト、モノ、カネ、情報」の流れを助長するもの、阻害するものは何か、各社の置かれた環境に配慮しながらじっくり見極める必要があると考えます。

たとえば①SDGs対応が目的なのか、②純粋に企業価値向上が目的なのか(コストの低減等)、③経済安保問題への対処なのか、④巨大IT企業規制の影響によるものなのか、⑤新自由主義からの脱却を図る政府と企業との連携が目的なのか、⑥DX、AIの発展の前提となる人権・倫理の国際的合意が目的なのか、「ビジネスと人権」を語る視点が変われば企業の取り組む内容も変わってきます。

いずれにしても海外諸国は「取引の公正」を条件として、日本企業に強い立場で「ビジネスと人権」問題を語ろうとすると思います。自社がどのような目的で「ビジネスと人権」について語らねばならないのか、自社を取り巻く経営環境をよく理解したうえでの対応が求められることをきちんと理解する必要があります。このあたりは、某ディスクロージャー誌に近時論稿を掲載する予定なので、そちらでは詳しく解説をいたします。

| | コメント (1)

2021年10月 2日 (土)

金融財政事情に「デジタルフォレンジックス調査」に関する論稿を掲載していただきました

Img_20211002_164316 週刊金融財政事情10月5日号におきまして「不祥事調査で脚光を浴びるデジタルフォレンジックス調査の光と影」と題する論稿を掲載していただきました。企業不祥事が発生した場合にDF調査が「魔法の杖」のように扱われるケースが多いのですが、実はAIと人間の協働作業であり、そこには一定の限界がある、という内容です。全国書店で販売されておりますので、ご興味がございましたら是非ご一読ください。

| | コメント (0)

2021年9月29日 (水)

機関投資家からみた「不祥事懸念企業」と「監査役等に期待する働き」

昨日(9月27日)はANAホテル(大阪)にて、監査役全国会議のシンポジウム 個別テーマⅢ「中堅・中小規模会社における監査役・監査等委員の職分」の収録が行われました(ご登壇者の皆様はこちらのHPからご覧になれます)。私が進行役を務めたのですが、ご登壇者は中堅上場会社の監査役、取締役(監査等委員)の方々と機関投資家の方ということで、たいへんおもしろい内容のシンポが開催できたのではないかと(ひそかに)思っております。

中堅・中小会社監査役向けの分科会行事とはいえ、いずれの会社も任意の指名・報酬委員会を設置していて、社外取締役・社内取締役の構成比が1:1と2:1ということで、大規模会社と全く引けを取らないガバナンス構成です。そのようなガバナンス構成の企業において、監査役員がどのようにアイデンティティを維持しながら「発見力」と「発信力」を高めているのか、その具体的な行動内容をご披露いただいているので、プライム市場に上場する企業の監査役員の皆様にも十分参考になる内容だと思います。

「これって、大規模上場会社でもなかなかできない行動ですよね?」「なのに、なぜ中堅規模の上場会社でこんな監査活動ができるのだろう」という(進行役の)素直な疑問(素朴な疑問)をおふたりの監査役、取締役監査等委員の方々にぶつけてみました。おそらく答えにくい質問も多々あったかたとは思いますが、個々の企業の歴史なども踏まえて語っていただきました。

そして「あくまでも個人の意見ですが」という前提付きではありますが、三井住友DSアセットマネジメントの上席参与の方が「一投資家として、不祥事を懸念する企業のパターン」として、懸念される企業の部類、なぜ懸念されるのか(その理由)、さらに特に懸念が大きいのはこういった企業」として、ご自身の見解をご披露いただきました。パッシブ投資が主流となる中で、こういった考え方が対話(エンゲージメント)及び議決権行使基準の判断のモノサシになるのかも・・・と思いますと、とても興味深い。

さらに「監査役等に期待する働き」として、平時と有事に分けて「機関投資家からみた監査役等のこのような行動こそ大切ではないか」といった行動パターンも整理していただきました。おそらく責任投資分野でのこれまでのご経験を踏まえた整理と思われますので、監査役全国会議に参加される方はぜひとも個別テーマⅢの収録動画をご覧いただければと思います(なお、全国会議へのご参加申し込みはすでに終了しております)

機関投資家からみて、まだまだ監査役等の活動状況の開示は不足しているそうです(監査役等の活動方針の開示内容から、どのような事実を推論するのか、その過程についてもご披露いただきました)。それぞれの監査役会、監査等委員会自身の言葉で活動状況を開示することが大切ですね。ちなみに、私自身は今回は調整役に徹しましたので!(^^)!、ご登壇者のおもしろいお話、監査役員に有益なお話をどこまで引き出すことができたか、ご視聴される皆様の評価にお任せしたいと存じます。私自身もたいへん勉強になりました。ご登壇いただいた方々、運営していただいた日本監査役協会関西支部の方々に、この場を借りて厚く御礼申し上げます。

| | コメント (1)

2021年9月27日 (月)

不正発見ではなく不正予防にある「抜き打ち検査」の実効性

9月24日の読売・朝日のニュースによりますと、囲碁の日本棋院は、棋士がAI(人工知能)を使って不正に着手するのを防ぐため、対局中の棋士に対してスマホなどの電子機器を持っていないか、抜き打ちで身体・手荷物検査を初めて実施した、と報じています(たとえば朝日新聞ニュースはこちらです)。抜き打ち検査を行う側の理事の方は「本当にいやな仕事。できたらやりたくないが、やむを得ない」とおっしゃっておられますが、「性悪説」に基づく抜き打ち検査は本当にやりたくないです。

大手のジェネリック医薬品メーカーの相次ぐ不正発覚を契機に、厚労省でもジェネリック医薬品メーカー46社に対して「抜き打ち検査」を行ったそうですが、おそらく表向きは「不正発見のため」ですが、実質的には「不正予防のため」ではないでしょうか。本業の不正調査で過去に何度か抜き打ち検査(正確には抜き打ち調査ですが)をやったことがありますが、そもそも抜き打ち検査で不正が発見できるほど甘くないというのが実感です。「不正の発見」が目的というのではなく、「こんな調査があるからやめとこう」と不正の機会を収奪する目的で行うのが正しい姿勢だと思います。「できればやりたくない」と思っている監査部の人たちも「社内から犯罪者を出さないために行うのであり、決して疑いが前提ではない」と自分に言い聞かせておられました。

なお、過去の経験からいくつかコメントを申し上げると、①内部通報者を特定させないためには有効である(一定頻度で本当に抜き打ち調査が行われる、という認識が社員に広まると「誰かが通報したのでは?」といった詮索が行われない傾向にある)、②「不正調査の目的からみて、抜き打ち調査は(社員に対する過度のプライバシー権の侵害ではないか」と誰かがクレームを言い出す(だからこそ、抜き打ち調査があることについてあらかじめ同意してもらう、「不正」ではなく「不正のおそれ」自体が調査の対象であることを伝えておくことが大切。なお、記事のように調査で発見されたモノがあれば、その所持自体をペナルティの対象とすることも一案です)、③抜き打ち調査といいながら実施すると、「抜き打ち」にならないことがときどきある(誰かが先に「抜き打ち調査を行う」という情報を現場に流す・・・これ自体、懲戒モノですが・・・)。

いずれにしても、調査対象となる現場の皆様への説明と協力要請がとても大切です。よほどの重大不正の疑いが存在するのであれば納得されるかもしれませんが、そうでなければ、平時からの「抜き打ちあるよ」といった広報とルール作りは必須かと思います。

余談ですが、最近はフォレンジックス事業者から「テレワーク環境でも抜き打ち調査が可能な情報漏洩防止システム」が発売されています。情報漏洩事件がテレワーク中にVPNを通じて起きるということが増えていて(たとえばこちらの記事ご参照)、情報漏洩事件における被害の重大性にかんがみると、このようなシステムも必要なのかもしれません。

| | コメント (1)

2021年9月22日 (水)

顔認証カメラの防犯活用はコンプライアンス違反か?

今朝(9月21日)の読売新聞社会面の記事を読んだとき「これ、JR東日本のコンプライアンス経営の視点から大丈夫なのかな?」と疑問視しておりましたところ、やはり夜の読売新聞ニュースで「出所者の顔認知、JR東が取りやめ-社会の合意形成不十分、と方針転換」なる記事が出ておりました(朝日新聞ニュースでも報じられています)。賛否両論ではありますが、「読売新聞の報道を契機に」ということで、JR東経営陣の素早い対応はさすがです。

朝日新聞の記事内容も含めて申し上げますと、JR東日本は今年7月から「顔認証機能付き防犯カメラ」の作動を開始して、その利用目的も明示していたところ、検知対象者(誰の顔を認証するのか?)については明示していなかったそうです。その検知対象者に「過去にJR東の駅構内で重大犯罪を犯して服役した人(出所はや仮出所者)を含んでいる、ということで、これは不当なプライバシー侵害あるいは不合理な差別に該当するのではないか、といった問題が今朝の読売新聞で提起されました。なお読売新聞の記事ではJR東関係者からの情報提供によるものだそうです(社内でも問題視していた方がおられたのでしょうね)。

JR東は個人情報保護委員会に相談をしながら顔認証システムの設置に踏み切ったそうなので、おそらく国内法(個人情報保護法)に関する法令違反はないと思います。しかしながら「読売新聞の報道内容および外部有識者の意見を参考に、いまだ社会的な合意形成が十分でないと判断したのでとりあえず延期する」とのこと。まさ社会の要請への適切な対応をとる、という意味でコンプライアンス上の経営判断です。

EUのGDPRでは、顔特徴データについては「特別な種類の個人データ」として本人の同意がない限り取り扱いを禁じていること、英国では犯罪多発地域での顔認証データの取り扱いについて「対象が不明確」として違法とする判決が出ていること、米国でも複数の州で顔認証カメラ規制法が成立していること、そしてなによりも「AIと人権」という近時のビジネス上の人権配慮の社会的風潮等から、おそらく日本でも「緊急性」と「最小限度の人権侵害行為」という2点から顔認証カメラの利用に関する法規制が必要、というところが現時点での最大公約数的な意見なのかもしれません。

そういえば6~7年前にJR西日本でも「梅田駅前歩道橋の歩行者顔認証システム」が「きしょく悪い~」ということでいったん中止となりました。たとえ法令違反はなくても社会的な批判を受けることはビジネス上のハンデを背負うことになりかねず、とりあえずレピュテーションリスクを回避する、ということだったと記憶しています。あの問題よりも今回のほうが悩ましいです。最近は「職場におけるワクチン接種の強制問題」も悩ましいですが、「ビジネスと人権」を取り巻く問題は、単純な「法令順守」では割り切れないところでして、本当にむずかしい経営判断が要求されます。

もちろん、「被害者の人権保護」も尊重する必要がありますし、犯罪抑止の視点からは服役を終えた人の顔認証データを例外的に取り扱うことへの合理性も認められるように思います。そのような意味では今朝の読売新聞の記事は有識者の見解を賛否両論取り上げていて、かなり公正なものだったようにも思いますが、それにしても(コンプライアンス問題を取り上げて大企業の経営判断を一瞬で変えてしまう)内部告発(JR東関係者からの情報提供)の威力はスゴイと感じました。

| | コメント (3)

2021年9月21日 (火)

サイバー身代金の支払いと蛇の目ミシン最高裁判決の射程距離

9月20日の日経朝刊の1面トップ記事は「サイバー身代金 支払い5割-応じた企業、米87%・日本33%」なる見出しで、企業に対するサイバー攻撃によるランサムウェア被害が急増していること、被害を受けた企業の過半が犯罪集団の要求に応じて身代金を支払っている実情について報じています。昨年、カプコンは(営業秘密を奪われた犯罪集団に対して)身代金支払いを断固拒否すると公表し、かなりの被害が出たようですが立派な対応だったと記憶しています。

大切な知財が奪われたり、事業停止を余儀なくされたり、さらには顧客・取引先へ二次攻撃を仕掛けられて迷惑をかけたりすることから、やむなく身代金の支払いに応じてしまう企業の気持ちも理解できます。ただ、安易に支払ったとすると(最近は無差別攻撃ではなく特定企業を狙い撃ちにする傾向が強いので)別の犯罪集団のターゲット候補となったり、支払ったことが発覚した際のレピュテーションリスク(情報セキュリティに脆弱性のある会社、といった風評)が顕在化したり、契約に基づいて取引先からの監査を受諾せざるを得なくなったり、最も痛いのはマネロン規制に違反する、つまり犯罪集団を支援した企業として社会的に制裁を加えられる事態となるため、相当慎重な有事対応が必要になります。たとえ「身代金保険」に加入していたとしても世間から受ける批判は変わらないでしょう。

したがいましてコンプライアンス経営を重視する立場からすれば、身代金を支払うことは断固拒否すべき、ということになります。ただ、そのことで会社が窮地に陥るというのは、それはそれで犯罪集団に「ほれみい、払わんかったらこんな目にあうで!」といったサンプルになりかねず、社会的にも問題がありそうです。「株主共同の利益」を守る、という立場からも問題が残るように思います。だからこそ復旧に向けて最大限の努力を惜しまず、記事にあるように身代金要求があったら直ちに弁護士やセキュリティ事業者に相談するべきなのでしょう。

とくに悩ましいのは身代金を支払う決断をした場合に、マネロン規制に違反するような経営陣の判断は法的に保護されるのか(善管注意義務違反にならないのか)という点です。記事の中でサイバー法制に詳しい専門家(弁護士)の方が「被害規模や支払わずに復旧できる可能性を確認しないままに身代金を支払えば、経営陣が善管注意義務違反を問われる可能性もある」と指摘しておられますが、それが私も現実的な意見かと思います。いわゆる平成20年のダスキン事件最高裁判決の立場からすれば、有事における会社被害を最小限度に抑えるためのリスク管理を行ったうえで「後ろ向きの判断」に至った場合は、善管注意義務違反とは認められないものと考えます(ただ、有事には自分たちに都合の良い情報しか集めないバイアスが経営陣に働きますので、アドバイザーをつける等冷静な対応が必要です)。

そしてもうひとつ悩ましいのが「どの時点で警察に被害を届けるか」という問題です。おそらく警察に届け出を行った場合には、国際的にもマネロン規制が厳格化していますし、警察は被害に合った企業にも共犯者がいる可能性を考えますので「決して身代金は払わないでください」と指示されるはずです。そうなりますと、もはや企業には(どんなに被害が拡大しても)選択肢がなくなり、きわめて膨大な金銭的被害を被る可能性も出てきます。うーーーん、企業としては窮地に陥ります。

ということで、警察に被害を届ける時期を遅らせて、やむをえず身代金を支払う場合、企業に生じたレピュテーションリスクの低下という損害に対する経営陣の善管注意義務違反は問われることになるのでしょうか。ここで思い出されるのが平成18年の蛇の目ミシン最高裁判決ではないかと(判決及び事実関係の詳細はこちらです)。もちろん経営陣個人への脅迫と会社に対する脅迫とでは若干状況は異なりますが、警察に相談して被害回復の可能性がある以上は、犯罪集団の要求に応じる以外に会社を守る方法がなかったとは言えない、ということで、経営陣は善管注意義務違反に問われるのではないか、といった理屈です。

ここは全くの個人的意見ではありますが、たしかに警察に相談することで被害回復の可能性がないとはいえませんが、平成27年5月に発覚した日本年金機構の情報漏洩事件では、ちょうど4年後の令和元年5月、容疑者不詳のまま書類送検で事実上捜査は終結しました。つまり現在の科学捜査の水準では海外からのサイバー攻撃によるランサムウェア被害を速やかに回復することは困難ではないかと。また記事にもあるように、FBI(米国連邦捜査局)の見解も「ビジネスが機能障害に陥った場合、経営陣があらゆる選択肢を評価することは理解する」として、事実上、やむをえないケースでは、企業に緊急避難的な金銭解決の選択肢を認めているようです。

日本は「マネロン大国」として国際的にも厳しい評価を受けているところであり、ひょっとすると社会の風向きが変わってきたかもしれません。ただ、身代金を支払ったうえで警察に被害を届け出る、もしくは警察から身代金支払いを止められても緊急避難的に身代金を支払うということも、社会的な批判はかなり受けることはあるものの(つまりコンプライアンス経営という立場からは問題が残るものの)、犯罪行為を助長するような金銭支払いが経営陣の善管注意義務違反にあたるとまでは(現状では)言えないように思います。本件が蛇の目ミシン最高裁判決の射程範囲外であることを祈ります。なお、上記日経の記事には「日本企業の33%が身代金を支払った」とありますが、本当はもっと多いのではないか(公表していない、もしくはノーコメントを貫いている)と私は推測しております。

| | コメント (0)

«会計監査に「健全なリスクテイク」はないのか-会計監査の品質向上とは?