ビジネス法務の部屋

3月28日、大阪急性期・総合医療センターは情報セキュリティインシデント調査委員会がまとめた報告書を公表しました（こちらから全文を閲覧できます）。ご承知の方も多いと思いますが、同病院では、令和4年10月31日早朝に発生したサイバー攻撃により電子カルテを含めた総合情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました（通常診療は今年1月11日に再開）。このような事態を招いた原因究明と再発防止について検討するため、同病院は外部有識者による情報セキュリティインシデント調査委員会を設置しておりました。

日頃、企業不祥事発生時の調査委員会に関与する者として、実に参考になる報告書であり、内容的にも秀逸ではないかと。ひさしぶりに格式の高い調査報告書を読みました。「ＩＴガバナンス」という言葉がよく使われますが、情報セキュリティの問題に経営陣がどのように向き合うべきか、参考となる記述が同報告書には詰まっています。

マスコミでは同病院がIDやパスワードを使いまわしていたことや関係事業者が保有していたVPN機器の安全性管理がずさんであったこと等をさかんに報じていましたが、この調査報告書はドラスティックな認定事実よりも、根本的な原因に連なる事実に注目しています。

「セキュリティにどれだけでもお金を使うことができれば予防できるかもしれないが、医療機関には限りがある」「病院だけでなく、ベンダーも含めた関係者が相互に協力しなければ防止できない」「情報セキュリティへの対応は、最終目的である医療の崩壊を防ぐ（市民の生命、身体の安全を守る）ことへの管理のひとつ」

という視点から事実認定、原因究明、そして再発防止への提言を行っており、とても説得力があります。「セキュリティ対策と医療継続体制（BCP）は車の両輪」というのはまさにその通りかと。委員の顔ぶれをみると、情報セキュリティの世界のトップクラスの有識者と医療関係者で構成されており、この委員構成がこのようなレベルの高い報告書作成の要因であることがわかります。

企業不祥事発覚時に設置される第三者委員会も、最終目的は企業の信用を回復して事業経営を維持することにあると思います。経営陣の責任追及に関連する事実にスコープすることもありますが、やはり組織の構造的な欠陥に光をあてて、その原因を究明することが大切です。再発防止についても、現有する限りある資源を活用して「何ができるか」を考えることが求められます。目の前の不正行為の解明にどうしても注力しがちですが、今回の不正行為を永続的な企業経営にどのように活かすか・・・という視点は（ステークホルダーのためにも）欠かせないですね。

金融庁の井上審議官のロイターインタビュー記事を読んでおりまして、ガバナンス改革の方向性として、私が当ブログ（たとえばこちらの記事とかこちらの記事）で５年前から述べている「ポピュレーション・アプローチからハイリスク・アプローチへの移行」が、いよいよ現実味を帯びてきたのではないかと期待をしております。

第二次安倍内閣のもとで日本再興戦略が策定されて丸１０年。その「１丁目１番地」とされたガバナンス改革が施行されて丸９年が経過します。改革によって上場会社の株式価値は上がったかもしれませんが、企業価値は上がったのでしょうかね？制度対応は「なんちゃってガバナンス」に終始している企業が多いので、あまり効果は上がっていないようですね。

社外取締役を増やしても、任意の指名報酬委員会を設置しても、さらに監査等委員会設置会社に移行したとしても、もはや「ガバナンスの深化」は限界です。ただガバナンス改革は「終わりのない旅」だそうですから（前記・井上審議官）、自民党・金融調査会でも４月中旬に金融庁が策定予定である「アクションプログラム」を機に議論がなされるそうですね。

各社が「中計の見直し」で言い訳としている「新型コロナウイルスの影響」「ウクライナ情勢」「経済安保によるサプライチェーンの分断」「想定外の円安傾向」とガバナンス改革実施との関係についても検証された形跡はほとんどないですね（つまりリスクマネジメントの面においてもガバナンス改革は実効性がない？）。ということで、これからのガバナンス改革には、どうしても機関投資家の皆様のご尽力が必要です。機関投資家の皆様が活躍できる環境整備、おそらくハードローの面でも、ソフトローの面でも、開示促進、対話促進、協調行動促進の流れが大きく進むはずです（前記・自民党調査会でも有報の総会前提出が論点に上がっているのも当然の流れでしょうね）。

そして社外取締役や監査役の能力評価、研修促進という要請を効率的に高めるに、個人的な意見ではありますが「社外取締役・監査役と機関投資家との対話の有無、対話内容の開示」を提案したいと思います。私自身は社外取締役として国内・海外の機関投資家と対話した経験はわずか３回しかありませんが（海外の投資家とは同時通訳付きで）たいへん勉強になりましたし、是々非々の議論は投資家サイドにも参考になったのではないかと思います。また、議決権を持たない監査役さんが、経営判断にどのような影響を及ぼしているのか、知ることも貴重ではないかと。

わざわざ「取締役会改革3.0（社外取締役を通じた株主による経営関与）」などと言わなくても、目の前の社外取締役が機関投資家と同じ方向を向いているのか、それとも社長の顔色だけを窺っているのか、お茶を濁す物言いに終始するのはなぜか（単に知らない？fair disclosure？複雑な社内力学への配慮？）、いろいろと投資家が理解する良い機会でもあります。社外取締役との意見交換を通して機会損失を回避できるかもしれません。スキルマトリクスの開示よりも開示情報としては価値があり、また社外取締役の資質向上の機会にもなり「一石二鳥」だと思います。

週間東洋経済の最新号（2023年3月25日号）のニュース最前線「日産『不平等条約』解消も交渉過程で乱れた足並み」を読みました。いや実におもしろい記事です。

このたびの日産・ルノーの出資見直し、新規事業への協働の件について、私は1999年の救済出資以降続いてきたルノーとの不平等条約問題が、元会長逮捕劇による紆余曲折を経て、このたび双方の合意により対等関係に至った、まさに「めでたしめでたし」のストーリーで終わったものと認識しておりました。しかし、上記記事を読むと、不平等条約解消に向けて経営執行部と5名の社外取締役との足並みがそろわず、解消話はあわやご破算のリスクを抱えていたそうです。

詳細は上記記事をお読みいただきたいのですが（東洋経済オンラインでは現時点ではアップされていないようです）、社外取締役のメンバーらは（ルノーの大株主である）フランス政府の出方が見えないことや、ルノーとの共同事業への参画による知的財産権侵害のリスクを理由として、不平等条約に向けた合意条件には難色を示していたそうです。

さらに記事によりますと、一部の社外取締役の方は、経営執行部を通さずに直接ルノーのCEOと連絡をとり、フランス政府の動向に関する情報を取得していた、とのこと。記事では「最終的には話がまとまったが、もしこじれていたらどうなったか」と社外取締役の行動を批判する幹部もおられたようです（ただし、フランス政府も最終的にはルメール経済財政大臣が「両社の交渉を支持する」旨の書簡を西村経済産業担当大臣に送付されました）。

上記記事の内容が事実だとすれば、この不平等条約解消の一連の経過は日本の社外取締役に期待された役割を考えるにあたって、多くの教訓を含むものです。ぜひ、現役の社外取締役、社外監査役の皆様も「自分だったらどのような行動に出るだろうか」と考えてみてはいかがでしょうか。たとえば・・・

①社外取締役の役割は企業の不正や不祥事がないように監視することが主たるもので、重大な経営判断は経営執行部に委ねるべきか（モニタリングモデルにおける「モニタリング」の意味は？）

②もし経営執行部の判断に納得がいかない場合、社外取締役は他の社外取締役と協議をしながら、自ら対外的な交渉の場に立つべきか（会社法上の業務執行に該当する？）

③あるいは経営執行部の判断に納得がいかないのであれば、社外取締役が多数を占める指名委員会で代表取締役を解職すべきか（そのような事態のための「サクセッションプラン」は？）

④重要な経営判断において、経営執行部の判断を否定することではなく、軌道修正をするために対立することは、そもそも社外取締役の役割ではないか（「健全なリスクテイク」の意味は？）

⑤ガバナンス・コードに実質的にコンプライすることを選択するのであれば、そもそも社内の経営が一時的に混乱することも「望ましい副作用」として機関投資家は許容すべきではないのか

等、様々な疑問が浮かんできます。みなさん、日産の企業価値向上を願う気持ちは同じだと思います。上記記事を題材として、ぜひ社外取締役に就任されている方々のご意見をお聴きしてみたいですね。

本日、ある方から興味深い日経記事をご紹介いただき、はじめて日経Think！にコメントを掲載いたしました（有料版購読の方のみですが、日経のこちらの記事になります）。昨年7月に公表されましたUSBメモリー紛失事件に関するBIPLOGY社の第三者委員会報告書の深堀り記事でして、ようやく報告書を読む時間がとれましたので、その内容を参考にしながらコメントいたしました。結論から申し上げますと、この報告書は「委託先会社の社員ではなく（禁止されていた）再委託先の社員であることは尼崎市は知らなかった」と判断していますが、「本当は尼崎市も知っていたのでは？」といった疑いを抱き、そのようなことを述べている関係者の存在も認定しているところは「根本原因」に迫るものとして評価が高いですね。

さて、昨年6月の改正公益通報者保護法施行以来、多くの事業者において体制整備が進んでいるようにお見受けいたします。ところが、その運用にあたっては、まだまだ不備を抱えているところが多いように感じます。とりわけ、深刻な内容の公益通報を受理した場合に、その初期対応を誤り、いわゆる「二次不祥事」を招いてしまった事業者もあるはずです。

そこでおススメの一冊が「類型別　不正・不祥事への初動対応」（森・濱田松本法律事務所　山内洋嗣・山田徹　編著　中央経済社　2023年1月）です。委員会の仕事が終わって、ようやく拝読することができたのですが、アマゾンの高評価どおりで一般企業の管理部門の方にもわかりやすい内容です。情報漏えい、品質不正、会計不正、ハラスメントほか、企業の信用毀損につながりかねない不祥事の端緒にどう対応すべきか、懇切丁寧に解説されています。とくに公益通報への初動対応として、私は参考にすべき一冊ではないかと思いました。USBメモリー紛失事件も含めて、情報漏えい事案の初動対応時には、近時の個人情報保護法対応は必須のプロセスです。密行性と必要な開示のための迅速性のバランスに配慮しなければ、情報元の二次被害、ひいては事業者の二次不祥事を助長することになりかねません。そのようなときに、たとえばアンカーとなる参考書があれば助かりますね。

最近は森・濱田松本法律事務所の弁護士の方々によるご著書といえば「株主提案と委任状勧誘（第３版）」（太子堂厚子ほか著　商事法務　2023年3月）も拝読しておりますが、こちらは仕事との関係で(*'▽')？内容に関するコメントは控えさせていただきますが、敵対的買収（同意なき買収）が急増している証券市場における最新の情報、裁判例なども盛り込まれていてとても参考になります。M&A規制に関するハードロー改正、ソフトロー規範の充実などが話題になっておりますが、実務のど真ん中における身の処し方については、（とくに社外役員は恥をかかないためにも）きちんと勉強しておく必要がありそうです。

3月7日、当職が委員長を務めておりましたアイ・アールジャパンホールディングス社の第三者委員会報告書が開示されました（公表版はこちらで閲覧できます）。同社取締役会が委員会を設置したのが昨年12月8日なので、ちょうど予定期間内（２乃至３ヶ月以内）になんとか提出することができました。この報告書は、週末も関係なく、また昼夜を問わず（深夜に至るまで）各チームが調査に起案に尽力した成果品でございます。竹内副委員長、渡辺委員、戸澤委員はじめ、各チームの皆様に感謝いたします。

内容に関する出来栄えはお読みになった方のご判断におまかせすることとして、日弁連ガイドラインに完全に準拠した第三者委員会報告書として、苦労した点だけをここに記しておきます。

ひとつは調査活動の中立・独立性の確保です。同社との利害関係を有しないことは当然ですが、同社の過去案件を調査する過程で、当該案件（の一部）にチーム内の委員が所属する法律事務所が関与したものが判明しました。そこで、当該案件の調査活動にあたっては独立性・中立性に疑義が生じないように、当該チームは事実認定や評価作業からはずれてもらいました（報告書の注記として、その経緯を記載しております）。重要な調査案件だったので、これは残されたチーム（当職も含めて）にとっては厳しい状況でした。

次に心証形成過程です。委員は弁護士４名なので、裁判における自由心証主義に基づく事実認定方法を原則としていますが、疑惑解明にあたってはどうしても「ないことの証明」が必要となり、会計監査的手法、つまりフォレンジック調査を大いに活用して相対的真実主義に基づく心証形成に努めました（ちなみに4名中3名の委員が公認不正検査士です）。フォレンジック調査はピンポイントで有力な証拠を探すことに活用されると思っておられる方も多いのですが、実は「ないこと」の心証形成のためにも活用されることが多いわけでして、だからこそ「なんでこんなことに高額の費用を要するのか」と疑問視されることもあります。

さらに、これも独立性確保のためですが、報告書は提出直前まで会社側にも開示しておりません（ファクトチェックの作業を除く）。会社側と委員会側とで（事実認定や評価についての）認識の違いが想定されますので、公表にあたって混乱を惹起するおそれはありますが、極力会社側からのプレッシャーを回避するために、認定内容については委員会限りといたしました。その代わり、混乱を惹起しないように、調査終了の直前まで代表者クラスの役員へのヒアリングを何度も繰り返しました。

最後に（これはかなり言い訳に近いのですが）ステークホルダーへの説明責任を尽くすことと、調査に登場する多くの取引会社のプライバシー保護の調和をどう図るか、「公表版」を作成するにあたっては、その均衡を保つことに最大限の配慮をいたしました。

すべて敵対的買収（最近の言い方では同意なき買収）案件が調査対象となるため、そこには関係企業の機微情報がたくさん出てきます。アイ・アールジャパン社に関連する調査事実であれば開示すべきですが、取引先会社の事業戦略に関連する事実について開示することには慎重であるべきです。報告書をお読みになった方からすれば「なんだ、これ１頁の半分以上が黒塗りではないか」と文句も言いたいところかと。ただ、ステークホルダーへ説明責任を果たそうとすると、どうしてもこのような黒塗りがたくさん登場するということになることをご理解いただければ幸いです。

毎度のことながら、委員としては内容について書くことは控えさせていただきます。とりあえず激動の3カ月を終えて、第三者委員会は解散です。これでまたブログの更新の時間がとれますし、日経Think！のコメントも書けそうです(#^.^#)　引き続き、拙ブログをよろしくお願いいたします。<(_ _)>