ビジネス法務の部屋

まだ第三者委員会報告書を読めていないオルツ社の会計不正事案ですが、報道されているところからみて、オルツ社の粉飾の悪質さよりも粉飾を見逃してしまった関係当事者やオルツ社の上場によって利益を上げた関係者への妬みや批判が目立ちますね。新規上場（IPO）の世界に冷や水を浴びせるような事件に発展しそうな気配が漂っております。

日経ニュースによるとオルツ社は民事再生申立とのことですが、そういえば本件は2010年に発覚し、その後倒産したエフオーアイ社の粉飾事件を想起させます。エフオーアイ事件では、主幹事証券会社は2020年に最高裁で金商法上の民事責任を認定され、最後は株主側と和解をしました（拙ブログのエントリーはこちら）。日本取引所（自主規制法人）も被告となり民事上の注意義務違反が認められましたが、なんとか一審で勝訴しました。旧経営陣は刑事責任を問われ、社外監査役さんまで損害賠償責任を負いましたね（拙ブログのエントリーはこちら。それにしても当時は230頁にも及ぶ判決書をあっという間に一読していたのですから、私も元気でした(#^.^#)）。

あれから15年、悪夢は再び訪れるのでしょうか？監査法人、証券取引所、主幹事証券会社への責任追及はあるのでしょうかね？おそらく最高裁まで争われたエフオーアイ事件の司法判断が参考にされるのでしょうね。そもそもあのエフオーアイ事件の教訓は活かされなかったのでしょうかね？証券取引等監視委員会の調査はやはり内部告発が端緒だったのでしょうか？（←コレ、関係者の責任認定にとっても重要な事実になりえます）世間の話題になったのは著名なユーチューバーの方による拡散によるところですが、たしか個人投資家の方のブログで以前から警鐘は鳴らされていましたよね？ひょっとして騙されたフリをしていた人がいたのでしょうかね？9割もの売上が架空計上されていたということですが、会計監査人は実在性の検証はしたのでしょうかね？謎は深まるばかりです。また、ゆっくり第三者委員会報告書を読んだ後にコメントしたいと思います。

6月まで消費者庁長官でいらっしゃった新井ゆたか氏と、ある会食でご一緒する機会があり、景表法違反による措置命令が取り消された東京地裁判決についていろいろと意見交換をさせていただきました（事案についてはこちら）。消費者庁としては初めての取消判決だったそうですが、でもその裏にはたくさんの「取消請求棄却判決」の積み重ねがあるようで、それなりに景表法関連の判例が形成されていることを知りました。また、景表法上の確約手続きの課題についてもご教示いただき、たいへん勉強になりました。

さて、有斐閣「ジュリスト」2025年8月号特集「公益通報者保護制度の実効性向上に向けて」におきまして、「改正公益通報者保護法の実効性担保措置が企業実務に与える影響」と題する論稿を掲載していただきました。昨年の公益通報制度検討会のメンバーが山本座長を中心に論稿をまとめた特集号です。ちなみに有斐閣さんの今月号の紹介ページはこちらです。

拙稿の内容は、改正法に新設された刑事罰や禁止規定が実務にどのような影響を及ぼすか、といった視点から、いくつかの論点について自説をまとめたものです。正直、改正法が現行の企業実務にそのまま適用された場合に、けっこうヤバいのではないかと感じているところがございますので、早めの対応を促す意図で書かせていただきました。私以外の6名の方々のご論稿も読みごたえのあるもので、お勧めの一冊です。ぜひご一読いただければ幸いです。

7月17日の各紙報道では、警察庁が被害に遭い暗号化されたデータを元に戻すツール（ソフト）を開発したと報じられていました（たとえば朝日新聞ニュースはこちらです）。誰でも活用できるそうでして、警察庁の公表はこちらです。この復号ツールを使えば、専門的知識がなくても容易にデータを復旧でき、身代金を支払わずに対応できる、とのこと。なお、「フォボス」と「8Base」と呼ばれる集団によるランサムウェアが対象のツールだそうですが、警察庁は他の集団によるランサムウェアについても復号に成功した事例があるようなので、サイバー攻撃を受けた際には早めに警察と連携をしたほうが良いですね。

ただ、いくら復号ソフトが開発・共有できたとしても、サイバー攻撃によって多大な損害が発生する可能性はありますし、企業としての初期対応の巧拙が企業の信用維持に大きな影響を及ぼすことを本書（「サイバー攻撃その瞬間－社長の決定」達城久裕著　日販アイ・ピー・エス2,200円）を読んで認識いたしました。上場企業（東証グロース）で実際に発生した事例をもとに、同社社長さんがどのようにサイバー攻撃と向き合ってきたか、その一部始終を記したもので、後半には社長自らの経験に基づく教訓が示されています。「サイバー攻撃や情報漏えいは他人事」と今でも思っておられる中小企業の社長さん、大企業の社長さんにもぜひご一読をお勧めしたい一冊です。もしサイバー攻撃を受けたら（そしてある日、突然社内PCが全て使えなくなったら）、社内外での連携と正確な情報共有がいかに大事か…ということが理解できると思います。

ちなみに、サイバー攻撃対応については、私も過去に何度か危機対応支援として関わりましたが、アドバイザーである法律事務所や危機管理アドバイザー会社、そしてサイバー攻撃保険を契約している損保会社に対する社長の意見（辛口な意見）がとても参考になりました（私も気を付けたいと思います）。サイバー保険には当然加入すべきですが、たとえ加入していたとしても保険が下りるかどうかは、また別でして、日頃からのリスク管理がモノを言う、というのも共感いたします。

なお、筆者がおっしゃるとおり、サイバー攻撃を受けた場合には社内外の連携と正確な情報共有がとても大切なことはそのとおりなのですが、実はそれがもっとも難しいのですよね。なぜ難しいか・・・という点については、また役員研修等で個別にお話したいと思います(笑)。

ここのところ、二つの企業（いずれも上場会社）の品質不正事案の対応支援に関わっておりますが、気になっているのが管理部門へのリスペクトの欠如であります。二社とも、社長さんとの意見交換や説得を続けているものの、いずれも有事対応の方針がなかなか定まりません。私は有事だと認識していても、社長さんは「そんなに『たいしたこと』なの？」といった認識。日ごろから管理部門の意見にもう少し耳を傾けていたら、そもそもこんな状態になっていなかったのに・・・と思います。不謹慎ではありますが、実際に「炎上」してリスク→クライシスに移行してみないとご理解いただけないのではないか・・・とつぶやきそうになることもあります。

技術系出身、営業系出身、そして管理系出身いずれの社長さんも、リスクマネジメントの重要性は認識していらっしゃるのですが、「引き算」で考えることはされていないのではないか。つまり中長期の経営計画を達成するために、では5年後にこうなってほしい、と思うリスク管理の理想形はどのようなものか？不正を未然に防止する管理なのか、早期発見・早期是正型の管理なのか。ではその目標を達成するために、現時点で何が不足していて、何をすべきなのか。こういった引き算でリスクマネジメントを考えないと「リスク管理の失敗を許容できる組織」にはなりえないと考えています。

私がみていてリスク管理部門が生き生きとしている企業は、リスクマネジメントも逆算で考えるクセがついています。事業戦略の一環にリスク管理が組み込まれていて、では逆算して今年度はここまでリスク管理の実績を積み重ねよう、たとえば①リスクの優先順位の議論は？②どうやってリスクの顕在化を判断するか？③その顕在化したリスクにどう対応するか、といった議論を平時から行っています。このような議論が行われるからこそ、組織にリスク管理の知見が無形資産となって蓄積されていき、たとえ不幸にして不祥事が発生・発覚しても、公表するまでには至らない、監督官庁に報告しても大事には至らない、会計監査人にも財務インパクトへの影響や内部統制の有効性の説明で苦労しない、という結果に落ち着きます。

7月7日の日経ニュースによりますと、日本損害保険協会が、企業が抱えるリスクを把握し、適切に保険を手配する「リスクマネジャー」の育成に向けた資格制度を導入する方針を決めたそうです。企業内でリスク管理を手掛ける人が（当該資格を）取得することを想定する、とのこと。リスク管理には受容、回避、軽減、転嫁の4種類があると言われますが、このうち企業が「リスクを転嫁したい（保険をかけたい）」と考えるものに関する情報（もしくは傾向？）をリスクマネジャーから収集し、日本の損害保険制度の向上につなげるということが目的と思われます。

ところで企業統治改革が始まって12年が経過し、ようやく企業にも機関投資家にも「短期的利益よりも持続的成長を後押しする」という風潮が浸透してきたように思うのですが、そこで出てくるのが「良い失敗と悪い失敗をどう見分けるか」という素朴な疑問であります。悪い失敗とはいわゆる「不注意による経営ミス」であり、おそらく取締役の善管注意義務にも関わるところかと。いっぽうで良い失敗とは、たとえ損失が出たり、事業撤退を余儀なくされたとしても、そこから失敗の分析・反省をして、更なる失敗を繰り返す末に中長期的な事業の成功を収めるために必須の知恵を取得するための失敗です。まさに「健全なリスクテイク」です。

しかし、企業統治改革の深化が進む時代において、リスク管理の場面でどこまで良い失敗と悪い失敗は経営陣に意識されているのでしょうか？リスクマネジャー資格を創設することは良いと思うのですが、単に失敗の可能性が高いから、といってリスクを回避したり、転嫁して短期的な損失を防ぐことにマネジャーが注力していては、いつまで経っても「良い失敗」に基づく組織としての知見が涵養されず、中長期的な企業価値の向上は図れないものと思います。人事評価において敗者復活戦が公然と認められる風土、自分の頭で判断したことを堂々と表明できるような心理的安全性のある風土作りがリスクマネジャーに求められる仕事の第一歩のような気がします。

7月4日の朝日新聞デジタル記事「夫はインサイダー取引で『貯蓄2千万円』　打ち明けられた妻の決断は」（有料記事）を読みました。金融商品取引法違反（インサイダー取引）によって地裁で有罪判決が下りた三井住友信託銀行元部長の公判での証言をもとにした内容です。昨年10月25日の拙ブログ記事「東証社員によるインサイダー取引疑惑－どうなる市場の公正性確保」で懸念していたことが、まさに公になってしまいました。

いつも報道されるのはインサイダー取引によって有罪となったり、課徴金納付命令が課された人の話ばかりで、バレなかったり、バレる前に止めて助かった人の話は報道されません。そこからどうも「インサイダー取引は必ずバレる」という都市伝説が生まれたのではないかと推測しておりました。いや、「インサイダー取引はかならずバレる（発覚する）」というのはもはや教訓に等しいもので、よく「どうしてバレるのに人はインサイダー取引に走ってしまうのだろう」と語られますね。私も講演等では「不正によって得た利益とは比べ物にならないほどの不利益を受ける、家族さえ不幸にしてしまう」ということを申し上げるのですが、上記朝日新聞ニュースは「パンドラの箱」を開けてしまったようです。そうです、インサイダー取引がバレるのは実は（規制当局の人的資源に限界があるので）「運次第」なのかもしれません。

上記元部長さんは、企業の重要情報に（公表前に）接することができる職場の課長→次長→部長になるまでインサイダー取引を繰り返していた、とのことであり、目的は老後に安心して暮らせるだけの貯蓄をしたかったそうです。おそらくインサイダー取引を繰り返しているうちに規範意識が鈍麻していったものと思いますが、それでも上記記事を読む限り、これまでも「ほどほどのところでバレないうちにインサイダー取引を止めて儲けた人たち」「老後資産を蓄えた人たち」はかなりいるのではないでしょうか。このような不公平が現実ならば証券行政にとって由々しき問題だと思います。

また「インサイダー取引はバレない、バレるのは運が悪かったから」となりますと、企業としても真剣にインサイダー取引防止体制を性悪説の観点から検討すべきです。未然防止のために役職員に教育をする、情報障壁を徹底する、ということだけでなく、役職員がインサイダー取引に手を染めていることを前提とした早期発見型の内部統制システムの構築運用（IT技術、AIを活用したフォレンジック等によるリスク管理）まで必要になるのではないかと。今のところ上記朝日新聞ニュースはあまり話題にはなっていないようですが、そういったことを考えるきっかけになりました。

6月30日に金融庁のアクションプログラム2025が公表され、2021年以来のコーポレートガバナンス・コードの見直し（第三次改訂）が行われるようですね。企業統治改革の深化に一定の役割を果たしたのが「アクションプログラム2023」だったので、今回も上場企業の経営、とりわけ取締役会改革に大きな影響を及ぼすことになるのでしょうね。

ところで私が無知なだけかもしれませんが（いや、おそらく無知だと思います）、ここのところの企業統治改革の運用をみていて「素朴な疑問」として抱くのが「稼ぐ力」とガバナンス改革との関係です。PBR1倍割れ解消に向けて、多くの上場企業が資本コストを意識した経営、資本効率を向上させるための経営に真摯に取り組んでいますが、これは「本源的価値」に株価が追いつくための施策ではないのでしょうか？

要はガバナンス・コードを実施することは、本源的価値が株価に反映されていないので、反映させるような施策を講じることにある。いわば上場企業が真に投資対象となる「スタート地点」に着くための施策であって、スタートしてから本当に企業価値を上げる（稼ぐ力を取り戻す）ためには、ガバナンス・コードの実施とは別の視点からガバナンスの評価を行う必要があるのでは？

機関投資家の方々も、実はそのあたりは心得ていて、ガバナンス改革に熱心な企業の株価が上がるのは、ようやく株価に本源的価値が反映されるようになるからであり、ではその後に当該企業が持続的成長を図ることができるかどうかは、ガバナンス・コードとは別のところで評価をしなければならないというところは（投資家の方々にも）認識されているように思うのです。

では「稼ぐ力」につながるガバナンス評価とはどこに注目すべきなのか？たとえば取締役会の3分の１や過半数を構成する社外取締役はどのように「稼ぐ力」を向上させるために貢献しているのか（貢献すべきなのか）。その貢献度（貢献可能性）はどのように開示すれば機関投資家に理解してもらえるのか。これらは、何名かの元経営者の方々と議論をしているところでありまして、（講演や研究会発表ではすでに私論としてお話ししておりますが）ブログでもまた別の機会に述べてみたいと思います。

令和7年6月4日に参議院本会議で可決・成立した改正労働施策総合推進法により、事業者のカスタマーハラスメント防止義務（雇用管理上の措置義務）が明記されましたが、三重県桑名市ではカスハラで初の警告が出されたそうです（読売新聞ニュースはこちらです）。市は概要を市ホームページに掲載し、今後もカスハラ行為を継続すれば氏名を公表する、とのこと。 令和7年4月1日より「桑名市カスタマーハラスメント防止条例」が施行されていますので、当該条例に基づく措置ですね。ちなみに桑名市の防止条例には事業者における体制整備義務についても明記されていますし、防止条例の逐条解説では行為者の氏名公表と個人情報保護法との関係整理についても言及されています。

ちなみに「氏名公表」は個人名だけなのでしょうね。顧客の従業員によるカスハラのケースで、顧客事業者名の公表というものはないのでしょうかね。

人的資本経営を進める企業としても、今後は①カスハラ防止方針の策定、②相談窓口の設置によるカスハラの早期発見、そして③具体的な救済手続きが求められますが、カスハラの難しいところはこの②早期発見と③救済手続きです。カスハラはパワハラやセクハラと異なり、未然防止措置が困難なので、どうしても（第三者の関与を前提とした）救済が必要な事例が一定程度は発生します。カスハラ事案をできるだけ早期に発見して、速やかに対処することが要請されますが、上記桑名市の事例では弁護士による委員会が被害社員と顧客双方の意見を聴いてカスハラ認定をしたそうです。

BtoCのカスハラ以上に難しいのがBtoBのカスハラです。顧客企業の従業員による自社従業員へのパワハラ・セクハラは、その対処を誤ると取引関係の解消につながるので調査にも神経を使います。しかしだからといって気を使いすぎて顧客企業による「優越的地位の濫用」を許すわけにはいかないでしょう。だからこそ、救済手続きには研修が必要ですし、弁護士の関与を検討する場面も多いかと思います。顧客企業から名誉毀損や信用毀損などと非難されないためにも、事前のカスハラ対応方針の策定と具体的なプロセスの記録が求められます。このあたりは厚労省が公表している「カスタマーハラスメント対策マニュアル」がとても参考になります（とくに後半部分）。カスハラ判定の基準となる顧客の要求内容の妥当性と要求方法の相当性をどのように統一的に解釈するか、組織としての適切な運用が求められます。

ちなみに、毎度申し上げているところですが、カスタマーハラスメント対策は最初から100点の対応など絶対に無理でして、60点くらいを目指しましょう。何度も失敗を繰り返すうちに、組織にカスハラ対応の知恵が蓄積されていくのがベストです。失敗をおそれていてはいつまで経っても知恵が蓄積されず属人的な要素に頼ることになります。なお、失敗には「許される失敗」と「許されない失敗」があるので、その区別を熟練の専門家に尋ねることも検討したいですね。

（７月1日追記）本日の朝日新聞ニュースでは、「カスハラ『解約になっても我慢するな』セコム社長が考える人材投資」なる記事が掲載されており、セコムの吉田社長が基準を超えた顧客に対しては「解約になってもいいから、我慢はするな」と社内に発信したことを報じています。「会社で一番大事なのは社員」と言い切る姿勢こそ「人的資本経営」がリップサービスではないことを証明しているものと思います。御社ではここまで経営者が発信できますでしょうか。