ビジネス法務の部屋

今年3月30日に「企業の危機管理にも役立つ『情報セキュリティ調査報告書』」なるエントリーにて、大阪急性期・総合医療センターで発生したサイバー攻撃事件に関する第三者委員会報告書を取り上げました（とても秀逸な報告書であり、ご一読をお勧め）。いくつかの私の講演では、この報告書を題材にして、役員の皆様に有事・平時のITガバナンスについて検討していただいております。

さて本日（8月21日）、朝日新聞は、大阪急性期・総合医療センターの協力を得て、このサイバー攻撃の被害に直面した病院職員や関係者ら、のべ二十数人に対して新たなインタビューを行ったそうで、有料版ではありますが、朝日新聞WEBにて「記憶喪失になった病院（修羅場となった48時間）」なるタイトルで配信を開始しています。本日は第1回「大病院を『修羅場』に変えたサイバー攻撃　異変はひそかに忍び寄った」ということで、ＩＴ専門家が病院に到着するところからノンフィクションの事件が始まるというもの。

通常診療が2カ月以上停止してしまうに至った病院の緊急事態に関する初動対応等は、一般の企業における情報セキュリティ問題としても他人事ではありません。コロナ禍において、事業者の情報セキュリティ事案に関わってきましたが、うまくいった企業もそうでない企業も、なかなか有事にどう対応したか、という点は守秘義務が厳しいこともあって、私も口外することはできません。そのような性質の事案について、関係者のインタビューが記事化されるというのはたいへん貴重な機会です。もし朝日新聞の有料版をご覧いただける方でしたら、ぜひとも全10回の連載について自社のBCPに参考にされてはいかがでしょうか、とくに事業の予算配分に責任を持つCEO、CFOの皆様にはご感想をお聞かせいただきたく。

「あっ！、この本おもしろそう～♪」と思って衝動買いしましたのが「株式会社はどこへいくのか」（日本経済新聞出版社）。上村教授と金児昭氏との「掛け合い」を一冊の本にまとめたものであります。金児氏の「財務会計」モノはほとんど拝読させていただいておりますので、今回も新会社法に関する金児氏のご意見に興味を抱いておりましたところ、お読みいただいた方はおわかりのとおり、そのほとんどが上村教授のご意見で占められておりまして、それはそれでたいへん読みゴタエのある本であります。（ただし、まだ半分ほどしか読み終えておりませんので、前半部分までの感想であります。しかしここまで上村教授がご自身の意見を述べられるのも、ある意味でスゴイなぁ・・・と。（＾＾；；　）またどこかのブログで、この本に関するご意見などが開陳されることを期待しております。。。

さて、以前「ＩＴ統制とメール管理」というシリーズをエントリーしまして、かなり多方面の方々よりご意見を頂戴いたしました。当時は「財務報告に係る内部統制報告制度におけるＩＴ統制にはメールの管理は重要な要点となるのか」といった問題の立て方だったと思うのでありますが、少し趣旨は異なりますが、本日（８月２７日）日経朝刊の「法務インサイド」にて「メール消去は命取り？」といった企業におけるメール管理に関係する話題が採り上げられておりました。基本的には米国民事訴訟法上のディスカバリー制度（２００６年１２月から施行されているＥ－ディスカバリー規則）の紹介と、日本企業としての対応方法に焦点をあてたものですので、海外子会社のある企業や、海外親会社の日本法人を対象としたものであります。したがいまして、日本の全ての事業会社向けのメール管理ということではありませんが、Ｅ－ディスカバリー規則には「善意による電子保存情報紛失に関する制裁条項の適用制限」がありますので、会社の正当な理由によってメールを消去した場合には、民事上、刑事上の制裁を受けない、といったことが規則化されました。こういった規則内容から、企業としては電子保存情報管理規則を速やかに作成して、これを施行することが勧められております。そして、そのひとつの具体例として、企業としてはメールは３ヶ月ごとにサーバーから消去すること・・・といった規則を作り、すみやかにデータ消去をはかるべきことが述べられております。（なお、Ｅディスカバリー規則に関する内容は、雑誌「ビジネス法務」の１０月号より連載されておりますので、詳しくお知りになりたい方はそちらをご参考にされてはいかがでしょうか）

以前「ＩＴ統制とメール管理」をエントリーしたときに、知り合いのＳＥさんにお聞きしたところ、社内メールを長期間にわたって保存するということは「非現実的」とのことで、「もし、本気で数年分の社内メールを（メール内容まで特定できる形で）保存したいのであれば、おそらく何億もの費用を要するでしょう」とのことでありました。記録用テープが大量に必要ですし、どこに何が書いてあるのか（あるいはどんな添付ファイルが存在するのか）、特定するのであればそのための人員も確保しなければならない、ということであります。私自身としては、企業内で発生した不祥事の事実認定の有力な証拠になることや、外部からの捜査等への協力体制としては最低限度、メールの管理は不可欠であって、内部統制報告制度の一貫としても重要なＩＴ統制の一部ではないか・・・とも思ったのでありますが、どうも「費用対効果」といった面からしますと、かなり「非現実的」な考え方だったのかもしれません。

しかし、法律上保存義務が課せられている文書や電子保存情報は別として、一般の事業会社としては「電子保存情報は３ヶ月程度でサーバーから消去する」といった情報管理規定は、米国民事訴訟法対応といった特別の理由でもないかぎりは、ちょっと保存期間としては短すぎるのではないでしょうか。メール自体、内部統制の評価の場面においては「情報と伝達」といった構成要素をなしているものでしょうし、また統制システムの運用状況を内部監査人がチェックしていること自体を「文書化」したものとして、事業年度の期末日までは確保されるべきものでしょうから、最低限度１年間は保存すべきものだと思われます。もちろん、メールの種別を区別して、内部統制システムの評価に関わるものとか、経営者不正の証拠となりうるような情報伝達に関わるものなどを別途保存する、といった運用も考えられるかもしれませんが、その区別自体に多額の費用を要するようにも思いますので、一括してメールを保存しておくほうが現実的ではないでしょうか。会社法上の内部統制システムの構築ということになりますと、経営判断の原則が妥当するところではありますが、取締役や従業員の職務の適正を確保するための体制ということには、その職務の適正を担保するものとして、意思伝達の記録化も重要な要素であろうと思われます。そうであるならば、メール管理に関する一般原則を議論したうえで、個別に除外すべき合理的な理由を検討していくほうが妥当ではないかと思います。（システム監査などに携わっていらっしゃる方へお聞きしたいのでありますが、実際１年分のメールを管理する・・・ということも、やはり多額のシステム費用を要することなのでしょうかね？またお時間のあるときにでも、メールかコメントにてチョロっとお教えいただけますと助かります）

日曜日にもかかわらず、昨日のＩＴ統制とメール管理のエントリーには、有識者の方々より多くのコメントを頂戴し、どうもありがとうございました。（肝心の管理人は「父の日」ということで、昼から家族と出かけておりまして、コメントをお返しできず申し訳ございませんでした）実は他のエントリーのアップを予定しておりましたが、皆様方の真摯なご意見を読ませていただきまして、その感想を続編として書かせていただきます。なお、閲覧されていらっしゃる方には、昨日のコメントのほうが多数説（おそらく現在の通説）であり、私の意見は少数説（一般に公正妥当と認められる会計もしくは監査の基準の解釈からは離れているかもしれない･･･説）とお考えいただき、あくまでも問題提起といった意味でご理解いただけますと幸いです。したがいまして、昨日のエントリーのコメントは、内部統制システム整備運用にあたり、たいへん有益なものではないかと思いますので、どうかご参照ください。

ＩＴ統制（金商法上の内部統制報告制度における）と電子メール管理の関係につきましては、やはり「財務報告の信頼性確保」といった内部統制の目的との関係では、その評価や監査対象としてはそれほどのウエイトは占めない・・・といった意見が多数説であると私は昨日のコメントから理解いたしました。（したがって、近時のＩＴ統制に関する解説書では、あまり触れられていない、といった結論になると思います）それでは、そういった立場の方々は、下記のように書かれている「実施基準」はどう解釈されるのでしょうか？

（財務報告に係る内部統制の評価及び監査に関する実施基準Ⅰ内部統制の基本的枠組み２内部統制の基本的要素（６）ＩＴ情報技術への対応②ＩＴの利用及び統制より抜粋）

上記の前段落のほうは、皆様方もご指摘のとおり、電子メールが情報伝達手段として使用されるにあたっての財務報告の信頼性に関係する業務プロセスを問題としていることがわかりますので、これについては私も異存はございません。しかしながら後段落のほうはいかがでしょうか。防止すべく適切な統制活動が必要とされているのは、まったく財務報告の信頼性を確保すべき業務プロセスとは無関係なところで、電子メールの管理が要求されていると理解すべきではないのでしょうか。昨日はすこし説明不足でありましたが、そもそも内部統制報告制度が金融商品取引法に導入されましたのは、ライブドア事件もさることながら、コクドほか８社が「有価証券報告書虚偽記載」ということで監理ポスト入りした事例が発端となっていたはずです。つまり、大株主の記載において、虚偽の名義人を記載していた多くの企業のうち、悪質と思われた８社が処分の対象になった、というものであります。これらの事例は「株主に関する事実」の記載が問題となったケースであり、そもそも財務報告の信頼性確保のための「業務プロセス」そのものが問題となったものとは異なるのではないでしょうか。繰り返しになるかもしれませんが、そういった不正防止も「投資家保護を目的とした企業情報の開示のために要請されるもの」と考えるならば、「ＩＴ統制」といったものも、そもそも財務報告の信頼性確保のための業務プロセスにとらわれる必要はないわけでして、「正確性の反映」のためのＩＴだけでなく、経営者による共謀などによる不正の防止のための統制もＩＴ統制といえるのではないか、と感じる次第でありますし、それが素直な理解ではないか、と思うわけであります。ＩＴ統制というものは「モノ」だけを見つめるものではなくて、かならず「モノと人との関係」を扱うはずではなかったのでしょうか。（モニタリングの有効性を確保するためのＩＴの利用に関しても、「モノと人」との関係が重視されるのではないでしょうか）たとえば経営者とＩＴとの関係で捉えるとすれば、メール管理に関する統制の仕組み整え、その仕組みをおよそ経営者が理解することによって、「こんな仕組みがあるんだったら、社内で不正を指示することもできないし、意思連絡もできない」と悟ることができ、抑止的効果がはかられるかもしれません。人間は不正への誘惑があるからこそ、不正へと近づく（性弱説）のであるならば、こういったＩＴ統制はまさに金商法が最も重視している経営者不正の低減に効果的なはずであり、その機能を果たすべき場面ではないでしょうか。これは純粋な「統制環境に関する評価、監査」の問題ではなくて、おそらくＩＴ統制の問題でもあろうかと思われます。

日興コーディアルの不正会計事件のときには、外部第三者委員会の委員は（おそらく補助者も用いてのことだと思いますが）、一ヶ月間に社内メール５０万件を調査した、との報告内容でした。そのうえで、子会社代表者の関与事実については一部メールがサーバーから一括削除されていたがゆえに認定を断念した、とのことであります。おそらく、この５０万件には、本当にどうでもいいような社内メールも含まれていたのではないか、と推測いたします。それでも、そういったメールを丹念に調べていけば、「仮説の信憑性」を補強する証拠が出てくるわけであります。たしかに、メール管理そのものが財務報告の信頼性確保に向けた統制活動そのものとは無関係なように思えますが、こういった社内のトップクラスが社内メールの管理による効果を認識していたとするならば、不正への誘因がひとつ減ることになるのは間違いないところと思います。コメントのご指摘につきましては、議論を深めるきっかけとなりましたし、私がかなり誤解しているところもあるようにも思えますが、ちょっと心のどこかで咀嚼しきれないところがございましたので、あえて続編として感想を述べさせていただきました。

最近の金融商品取引法における内部統制報告制度（いわゆるＪ－ＳＯＸと呼称されるところ）に関する解説本などでは、ＣＯＢＩＴ　ｆｏｒ　ＳＯＸ（２nd　Ｅｄｉｔｉｏｎ）など、ＩＴ統制に関する文書化の要点などが紹介されているようで、システム監査に精通されていらっしゃる方のお話などをお聞きするなかで、実務レベルでの対処については半分くらいは理解できそうな感じがいたします。ただ、ずいぶんと前の話になりますが、財務報告の信頼性確保のためのＩＴ統制のお話といえば、「メール管理」といったことが論点のひとつだったと思います。最新号の「旬刊経理情報」は「実施基準完全対応！ＩＴ統制の文書化はこうする」といった特集でして、丸山先生はじめ、システム監査に造詣の深い先生方が、あらゆる角度からＩＴ統制の文書化について解説をされているのでありますが、そこには「メール管理」のことがまったく触れられておりません。

ひょっとすると、実施基準とメール管理は無関係なのか・・・とも考えたのでありますが、Ｊ－ＳＯＸ導入のきっかけとなったライブドア事件や、先日の日興コーデの不正会計問題の際も、事実解明のためにメールが果たした役割というのが最も大きなものだったことは間違いありませんし、財務報告の信頼性確保のための内部統制と無関係なわけはないと思われます。社内メールと社外メールの効果的管理方法、メールの管理保存方法、他人のメールへのアクセス制限、修正履歴や削除履歴などの記録方法、そしてなによりも、メール送信に関する人的教育研修など、どれをとっても不正会計防止のためには全社的なＩＴ統制と関係するでしょうし、経営者として関与しなければならない「第一歩」ではないかと考えておりますが、なぜ一切の解説がないのでしょうか？（ちょっと不安になりましたので、実施基準を確認しましたが、（ＩＴの利用）の最初のところで「統制環境の有効性を確保するためのＩＴの利用」として電子メールの重要性についてきちんと書かれてあります）そもそも、メール管理につきましては、内部統制報告制度の実施を待つまでもなく、早急に各社で対応しなければならないわけですから、構築するのは当たり前なのかもしれませんが、それでも制度実施後は経営者評価やＩＴ統制監査などの対象となるはずですから、どういったレベルまでのメール管理をすれば内部統制報告制度上のＩＴ統制としては合格基準なのか、ある程度感覚として知っておきたいところであります。

もうひとつ、最近の内部統制システムの文書化作業のなかで、気になりますのが、内部統制リスクとしての「文書化と開示リスク」であります。私自身、ある企業におきまして、リスクマネジメント委員会委員として、リスク評価や対応方法の検討作業に携わっておりますが、その委員会議事録はどこまでのことを記載すべきなんでしょうかね？（これ、委員会開催のたびに、法律家委員の方より疑問が呈されまして、大問題になっております）リスクマネジメント委員会には、オブザーバーとして社長も出席しておりますので、先日の全日空の発券トラブルではありませんが、ＩＴ関連事故で会社に損害が発生した場合に、株主から代表訴訟を提起された場合に、取締役の事故予見可能性（役員は事故発生のリスクをどこまで事前に把握していたか）を立証するためには、株主の方から委員会議事録につき文書提出命令を申立られる可能性がありますよね。委員である私が何を話したのか、そのリスクは最終的な決算財務プロセスにどのような影響を与えるのか、そのリスクについて会社はどこまで対応方法を検討していたのか、委員会としてはどういった提案を役員会に提示したのか、など、議事録に詳細に記載しておかねばならないのでしょうか。あまり書きたくないような気もいたしますが、文書化しておかないと、あとで委員会活動をきちんとやっていたことの証拠が残らないことにもなりますし、これはかなり難問であります。役員の最終的な責任については経営判断の裁量が広いところで救われることも多いかと思いますが「リスクを知ってて何も対応していなかった」と社会的非難を受ける可能性は高いわけでありますので、「一生懸命内部統制システムの整備運用に努めていればいるほど、開示リスクは増える」という結果にはなってしまうのでは・・・・・との不安がよぎります。もちろん開示義務が発生するような文書を隠蔽することはもってのほかであります。しかしながら民事訴訟法上の文書開示を拒絶できる事由、たとえばもっぱら内部専用文書の体裁を整えるとか、外部専門家を交えての意思形成文書と評価できる体裁にするとか、内部統制構築そのものが「営業秘密」に属すると考えるとか、他人の著作権（知的創造物）やプライバシー権侵害のおそれがあるとか、いろいろと文書化にあたっては、その開示リスクを低減するための要素はあろうかと思いますので、業務記述書にせよ、マトリックスにせよ、評価書にせよ、議事録にせよ、財務報告の信頼性確保のための内部統制システム整備運用プロセスに関わる文書化にあたりましては、（将来的に発生するであろう）文書化リスクにつきましても細心の注意が必要なのではないでしょうか。（そういえば議事録は作成せずに、外部専門家作成にかかる会議メモだけ残しておき、外部専門家事務所にて、内部監査や会計士監査の資料用として保管する・・という案も出ておりましたことを付言いたします）