QUNIE

2020.03.30

インシデントリスクと向き合い有事に備えよ

【第1回】俯瞰的リスクマネジメントの必要性

不正・不祥事への対応と業務効率化は表裏一体

泉 修二 

Summary

  • 日本企業におけるインシデントリスクに対する優先度は低く、取り組みは不十分
  • 不正行為対策のカギは、発生抑止と早期発見のメカニズム構築
  • インシデントリスクの排除と業務効率化は両立可能

リスクマネジメントの優先順位

昨今、企業や団体における不正・不祥事(以下、「インシデント」)は増加し続けているだけでなく、記者発表での炎上や曖昧な再発防止策に対するステークホルダーの責任追及など、事前準備が不足していることに起因する課題が多々見受けられる。リスクマネジメントという言葉は一般的な用語ではあるが、筆者としては、具体的に何をすればどのような効果が得られるのかが分からないまま、闇雲に対策が実施されているケースが大半であり、殊更に有事対応までを想定した事前準備が行われていないように感じる。また、売上向上やコスト削減に直結しないという経営判断により、リスクマネジメントへの取り組みが阻害されているケースも散見される。つまり、リスクマネジメントの優先順位は押し並べて低く設定されている企業や団体が多いというのが実態である。

一方で、過去に発生したインシデント事案においては、リスクマネジメントに対する取り組みの甘さ故に、多額の課徴金、不買運動、大幅な会員減など追加的レピュテーション低下が発生し、それよるクライシス化が原因となり、長期にわたる経営不振に陥った企業や団体も少なくない。

有事対応の事前準備には経験則と知見が必要不可欠だ。実際にインシデントが顕在化してしまった際に発生する工数・費用・対応に要する時間などを見積もり、その対応策としてヒト・モノ・カネの適切な経営資源を投入することで、思いもよらぬ大規模な損害の発生を食い止めることが可能であり、逆に言えば、インシデント対応の経験則や知見なくして平時のリスクマネジメントを行うことは不可能だ。

不正行為が起きるメカニズム

インシデント発生の要因や背景はある程度パターン化しており、予めそれが起こりにくい状況や、起こっていることを早期に発見するためのシステムを構築することが可能だ。具体的には、どの業種の、どの部署の、どの役職者が、どのような手段で、どのような不正を行うか、というロジックに基づき、それらを想定した各種規定類の整備とソリューション導入を行うことで、発生抑止と早期検知の機能を実現できる。インシデントは発見が遅れると、課徴金などの直接的な損害規模が大きくなるだけではなく、追加的なレピュテーション低下を招く。さらにはその責任追及の矛先が経営者個人に向けられる可能性があり、平時のリスクマネジメントに対する取り組みの姿勢が問われることになる。

一つの例だが、カルテル(談合)において、リニエンシーという自主申告制度が存在することはあまり知られていない。これは、自社がカルテルに加担しているという事実を何らかの契機で知り得た場合、その実態(どのような相手と、いつから、どの商品やサービスで、どの規模で行っていたか、など)について当局が根拠として認定し得るだけのエビデンスを可能な限り収集・提出し、最も早く当局からカルテルへの加担事実の認定を受けた企業や団体は、課徴金を全額免除されるというものである。このリニエンシー制度を活用できるために必要な要件は次の通りだ。

  1. リニエンシー制度を経営層が正しく理解していること
  2. 自社のカルテルへの加担有無について、定期的かつ効果的なモニタリングが実施されていること
  3. 具体的なリニエンシー制度への対応方法について、有識者からアドバイスを受けていること

競合他社はリニエンシー制度の活用で課徴金を免除されたが、自社は満額支払うという事態になった場合、企業としての自浄作用が働いていなかったとして、経営層は確実にステークホルダーから責任追及を受けることになる。

リスクマネジメントにおいては、インシデントが起きるメカニズムを理解し、専門的な知見を用いて平時より有事に備えた対策を行うことが肝要だ。

意識外のリスク(潜在リスク)とは

インシデントとは直接的に関係がないものの、それらが発生してしまった際に行う調査や訴訟対応において、大きな障壁となるリスクが企業や団体には多数存在している。電子データや紙文書の保管状況、情報セキュリティポリシーや文書管理規定など各種規定類の内容、導入済ITシステムの仕様など、あらゆる領域で多数の潜在リスク、すなわち意識外のリスクが散見される。各種文書の保管期間を「永久」としていたり、電子ファイル(メール含む)に特殊な管理IDを埋め込んでしまう事でファイルのHash値[1]を書き換えてしまうアーカイブシステムが導入されていたりすることが顕著な例だ。その結果、欲しいものが見つからない、必要な電子データを期限内に抽出できない、調査対象を合理的に限定できない、などの理由から、調査や訴訟に要する時間と費用がいたずらに膨れ上がる事態を招く。これらの潜在リスクに対し、例えば平時からの取り組みの一環として、電子メールの保管および運用に関するルールを見直し、有事対応を踏まえた対象メールデータの調査手順を確立することで、ストレージ領域の圧縮や作業の大幅な効率化を実現することができる。

また、別の事例として、紙文書の電子化(スキャン)が挙げられる。ほとんどの企業や団体は係争時に法的エビデンスとして認定されない可能性がある危険なスキャン作業を行っており、その電子化したデータには検索性もないため、結局必要な情報が見つからないという状況に陥っている。当局対応に耐えうるプロトコルに則る元本性を担保した電子化を行った上で、紙は可能な限り廃棄し、その電子データに検索性を持たせることで、業務効率を大幅に向上させ、紙の保管スペースを圧縮できる。

このように、リスクマネジメントは専門的な知識を用いることで業務効率化や省スペース化を同時に実現しうる手段となり、結果として事業活動全体に寄与することが可能である。つまり、リスクマネジメントは「守り」でも「攻め」でもなく、それを両立する手段と言える。

  1. [1] 電子データの内容を一定の法則で固定長の文字列に変換したもの。「デジタル指紋」などと呼ばれ、複数の電子データの同一性を確認するために用いられる。

泉 修二

インシデントリスクマネジメント担当

シニアマネージャー

デジタルフォレンジックの技術を用いた企業不正調査および海外訴訟対応(eDiscovery)支援において多数の実績を有する。QUNIEでは、有事対応のみならず、不正・不祥事発生に関する知見を用いた平時のリスクマネジメントおよび電子データと紙文書の保管・運用・管理に関するコンサルティングを行う。

  • facebook

ページ先頭へ戻る

CLOSE