社内不正調査とは
社内不正調査は情報漏洩や金銭の着服といった社内不正に対処するための、重要なプロセスです。まずは社内不正調査の意義や目的、よくある不正事例を確認していきましょう。
IPAが「重要技術情報の漏えいがもたらすリスク増大」を指摘
情報技術の発達や働き方の変化に伴い、情報漏洩がもたらすリスクはますます高まっています。2022年に改定された「組織における内部不正防止ガイドライン」では、内部不正による営業秘密、特に重要技術情報の漏えいが事業経営におよぼすリスクが増大していることへの警告が示されました。
また同ガイドラインでは、「内部不正防止の基本原則」として、以下の5つが掲げられています。
- 犯行を難しくする(やりにくくする)
- 捕まるリスクを高める(やると見つかる)
- 犯行の見返りを減らす(割に合わない)
- 犯行の誘因を減らす(その気にさせない)
- 犯罪の弁明をさせない(言い訳させない)
社内不正調査をはじめとする不正行為への対策は、企業経営における重要な課題となっています。
参考:IPA 「組織における内部不正防止ガイドライン」
社内不正調査の意義と重要性
情報技術の発達に伴い、企業の重要な情報資産は、常に漏えいのリスクにさらされています。一度不正が発生すると、企業の存続に関わる深刻な事態にもなりかねません。
特に近年、テレワークの普及やクラウドサービスの活用により、従業員が企業の機密情報に接する機会が格段に増加しています。環境の変化に伴い、内部不正の手口も巧妙化・複雑化しています。従来の管理体制では対応が困難になってきているのが現状です。
社内不正調査は不正行為の全容を解明し、適切な対処を行うためのプロセスです。調査を通じて不正の実態を把握することで、関係者への適切な処分や、再発防止策の策定が可能となります。また調査結果に基づく適切な情報開示は、ステークホルダーからの信頼維持にも不可欠です。
さらに定期的な社内不正調査の実施は、不正行為の抑止力としても機能します。従業員が「不正行為は必ず発覚する」という認識を持つことで、不正の予防にもつながるのです。
社内不正調査は企業の健全性を維持し、持続的な成長を支える重要な経営基盤のひとつとなっています。
社内不正調査の目的
社内不正調査の主な目的は、以下のとおりです。
- 事実関係の把握と原因の究明
- 関係者への適切な処分の検討・実施
- 実効性のある再発防止策の策定
- ステークホルダーへの説明責任の遂行
- 内部統制の改善
社内不正調査の目的は、組織内で発生した、または発生が疑われる不正行為の事実関係を明らかにし、適切な対応を行うことにあります。不正の全容解明に向け、関係者の特定や被害規模の把握など、事案の実態を正確に把握することが第一の目的です。
また調査によって収集された証拠は、関係者への処分を検討する際の重要な判断材料です。特に懲戒処分を行う場合には、その判断が恣意的なものでないことを示すため、客観的な証拠に基づく適切な処分が求められます。
さらに調査結果は、再発防止策を策定する上での基礎ともなります。不正がどのような背景や原因で発生したのか、どのような対策が必要なのかを分析することで、より効果的な防止策を講じることが可能です。これは組織のガバナンス体制強化にもつながる重要な取り組みです。
ステークホルダーへの説明責任を果たすためにも、不正調査は重要な役割を果たします。透明性の高い調査プロセスと誠実な対応は、組織の社会的信用を守ることにもつながるのです。
よくある社内不正の事例と原因
よくある社内不正の事例として、賄賂、横領、情報漏洩、データの改ざん、ハラスメントが挙げられます。IPAの「組織における内部不正防止ガイドライン」では、以下のような不正の具体例が報告されています。
事例1.
地方金融機関において、営業員が休眠口座の預金を着服した。
【主な原因】営業成績のよい営業員を配置転換せずにいたこと及び相互に監視しない環境であったことから、不正行為が見つかりにくい環境であった
事例2.
中小企業において、システム管理者が社長のPCの設定を変更して社長宛のメールを自身のメールアカウントに転送して読んでいた。
【主な原因】この企業には、システム管理者を担当する社員が1人しかおらず、内部不正を行っても見つかりにくい環境であった。また、この社員は、システム管理者に求められる規範意識が低かったことも考えられる。
事例3.
企業において、社員が転職先で利用する目的で退職時に開発物をまとめてダウンロードして持ち出した。
【主な原因】開発物を持ち出して転職先で利用してはいけないという認識がなかった。また、多量なファイルへのアクセス等の通常の業務と異なる事象が発見された場合の確認や対策が実施されていなかった。
引用:IPA 「組織における内部不正防止ガイドライン」
不正行為は在籍する従業員だけでなく、退職時にも行われます。社内不正の全貌解明には、現在の社内環境だけでなく、過去にさかのぼった調査も必要となるのです。
社内不正調査の流れ
社内不正が疑われる場合、迅速かつ適切な対応が求められます。ここでは、調査チームの設置から情報公開まで、社内不正調査の基本的な流れを6つのステップで見ていきましょう。
①調査チームの設置
社内不正の疑いが生じた場合、まずは迅速な調査チームの設置が不可欠です。調査チームの構成員は、不正の当事者と利害関係のないメンバーから選出しましょう。弁護士など外部の有識者の参画も有効です。調査結果が訴訟や行政処分に発展する可能性がある場合は、初期段階からの法律専門家の意見を仰ぐと良いでしょう。
チーム内では情報管理体制を整備し、調査内容の機密性を確保することも必須となります。調査チームの規模は最低限とし、責任者を決めて、統率の取れた組織を構築してください。
②証拠の確保
証拠の確保は、不正調査の大きな目的のひとつです。デジタルデータと物理的な証拠の双方を適切に収集・保全する必要があります。
各証拠には主に、以下のものが該当します。
デジタル証拠
- 社内PCやスマートフォンのデータ
- メールサーバーのログ
- セキュリティカメラの映像
- IDカードの入退室記録 など
物理的証拠
- 業務関連書類
- メモ
- 領収書や契約書 など
証拠の収集は改ざんや隠滅を防ぐため、対象者に気付かれないよう秘密裏に進めましょう。また収集した証拠の保管方法や管理体制も重要です。証拠の原本性を担保し、後の法的手続きにも耐えうる形で保全することが求められます。
特にデジタルデータについては、専門家によるフォレンジック調査の実施も検討しましょう。
③関係者へのヒアリングや書類の分析
収集した証拠の分析と関係者へのヒアリングは、不正の全容を解明する上で核となるプロセスです。
ヒアリングは、不正への関与が疑われる従業員から開始し、その上司、同僚、部下へと段階的に範囲を広げていきます。事実関係の確認だけでなく、不正の動機や背景要因についても詳しく聴取してください。従業員へのアンケートも有効です。
並行して収集した書類やデータの詳細な分析を行い、不正の手口や被害規模を特定しましょう。この過程で新たな関係者や証拠が判明することも珍しくありません。柔軟に調査計画を見直し、必要に応じて追加の証拠収集を行います。
④処分の検討・実施
調査結果に基づく処分には、事実関係の確認、関係者の故意・過失の程度、情状などを総合的に判断する必要があります。就業規則や社内規程との整合性、過去の処分事例との均衡を十分に考慮し、処分内容を決定します。
処分の根拠となる証拠を明確にし、適正性を担保することも重要です。対象者に対しては処分の理由と内容を明確に説明し、弁明の機会を設けましょう。
万が一を考え、処分の決定から実施までのプロセスは記録・保管し、後日の紛争リスクに備えることも大切です。労働組合がある場合は、必要に応じて協議を行うことも検討してください。
⑤再発防止策の検討・実施
調査で明らかになった不正の原因や問題点を、徹底的に分析しましょう。具体的には、以下の作業を行います。
- 業務プロセスの見直し
- 権限分掌の明確化
- 内部統制の強化
- モニタリング体制の整備
- 従業員教育の充実化
重要なのは形式的な対策にとどまらず、実質的な効果が得られる施策を実施することです。定期的な効果検証と見直しの仕組みを組み込み、継続的な改善を図ってください。
再発防止策の実施には、経営層の理解と経営資源の投入が不可欠です。全社的なコンプライアンス意識の向上と、健全な組織文化の醸成も重要な課題となります。
⑥社内外への情報公開
調査結果と再発防止策の公表は、組織の透明性と信頼性を示す重要な機会ともなります。情報開示の範囲と方法は事案の重大性や社会的影響を考慮し、慎重に判断しましょう。
社内への周知ではプライバシーや個人情報に配慮し、不正の実態と再発防止策について明確に説明します。外部への公表については、法令や証券取引所の規則に基づく開示義務の有無を確認し、適切なタイミングと方法で実施します。重大な不正の場合は記者会見やプレスリリースなど、積極的な情報開示を検討することも必要です。
ステークホルダーからの信頼回復のために、誠実で透明性の高い対応を心がけましょう。
社内不正調査の主な方法
社内不正の調査では、事案の性質や状況に応じて適切な調査手法を選択する必要があります。ここでは社内不正調査でよく使われる方法や手法について、それぞれの特徴と実施のポイントを見ていきましょう。
フォレンジック調査
フォレンジック調査は電子データの証拠保全と分析を行う、専門的な調査手法です。PCやスマートフォン、サーバー内のデータを特殊なツールで収集・分析し、削除されたデータの復元や、不正行為の痕跡を発見します。
メールの送受信記録、ファイルの作成・編集履歴、外部媒体へのデータコピー記録など、デジタル機器に残されたさまざまな痕跡を専門的な手法で解析することで、不正の実態解明に有効な証拠を得ることができます。
情報漏洩や不正アクセスではフォレンジック調査が決定的な証拠発見につながることも多く、近年特に、重要性を増している調査方法です。
第三者による現場視察
現場視察は実地調査によって物理的な証拠の発見や、不正の機会が生まれやすい環境要因の特定を行うのに適した方法です。特に経理不正や資産の横領などでは、現物の確認や保管状況の調査が重要となります。
またセキュリティ体制の確認や、業務プロセスの実態把握にも効果的です。視察は法律や会計の専門家など、独立した第三者の視点で行うことで、より客観的な調査が可能となります。
さらに現場の従業員へのヒアリングと組み合わせると、書面上では見えない問題点や改善すべき事項を発見できる可能性も高まります。
ホットラインの設置
内部通報制度(ホットライン)は組織内部からの情報提供を促す手段です。設置に際しては従業員が安心して情報提供できるよう、通報者の匿名性を確保し、不利益な取り扱いを受ける危険がないことを担保しなくてはいけません。必要に応じて外部の法律事務所や専門機関に窓口を設置すると、より信頼性の高い制度運営が可能です。
通報された情報は、慎重に内容を精査し、必要に応じて追加調査を行いましょう。またホットラインは、潜在的なリスクの把握や、従業員の声を経営に反映させる重要なチャネルとしても機能します。
社内不正調査を行う際の4つの注意点
社内不正調査を効果的に進めるためには、いくつかの重要な注意点があります。ここでは調査の成功に不可欠な、4つのポイントをまとめました。
①調査チームには、弁護士などの第三者を加える
調査の客観性と専門性を確保するためには、外部の専門家を調査チームに加えることが重要です。
特に弁護士の参画は、調査の法的な正当性を担保し、後の訴訟リスクを軽減する効果があります。証拠収集の適法性の確認、労働法上の問題への対応、処分の妥当性の判断など、法的な観点から調査全体をサポートが期待できます。
また公認会計士やフォレンジックの専門家など、事案の性質に応じた専門家の起用も検討しましょう。第三者の関与によって調査の信頼性が高まれば、ステークホルダーへの説明責任を果たす上でも役立ちます。
②公益通報者を保護する
内部通報者の保護は不正発見の端緒となる情報提供を促す上で、極めて重要です。公益通報者保護法では公益通報をしたことを理由に通報者を解雇したり、不当な取り扱いをしたりすることを禁じています。これは正規労働者だけでなく、派遣社員や、すでに退職した従業員も同様です。
通報を受けた場合には、まずは通報者が特定されないように情報管理を徹底し、保護を行ってください。
また公益通報者を保護する方針を平素から社内に周知し、安心して通報できる環境づくりを進めることで、不正の早期発見・是正にもつながります。
③調査は内密に行う
社内不正調査は厳重な機密性をもって、行う必要があります。調査の事実が漏洩すると、証拠の隠滅や関係者の口裏合わせなどが行われるリスクがあるからです。また調査対象となった従業員の、プライバシーや名誉も守る必要があります。
調査チームのメンバーは必要最小限に絞り、情報管理のルールを明確化しましょう。電子メールやデジタルデータの取り扱い、書類の保管方法には注意が必要です。関係者へのヒアリングも他の従業員に気付かれないよう、場所や時間を慎重に選択して実施してください。
④適時かつ必要十分な内容で情報発信を行う
社内不正調査における情報発信では、調査の進捗状況に合わせた柔軟な対応が求められます。情報管理では責任者を定め、発信内容の一元化を図りましょう。社内外のステークホルダーからの問い合わせには、対応窓口を一本化することも有効です。
情報を公開する際には、範囲と内容、時期を吟味することも重要です。ステークホルダーに不利益を与える可能性のある情報は速やかな伝達が求められますが、真偽が不確かなままではさらなる混乱につながります。
また情報発信の前には法務部門や広報部門と連携し、リスクの検証と対応の準備を行います。突発的な事態にも適切に対処できるよう、体制を整えましょう。
社内不正調査について解説しました
社内不正調査は組織の健全性維持と信頼回復のための重要なプロセスです。調査を成功させるには、専門家を含めた適切な調査体制の構築や証拠の適切な収集・保全が不可欠です。また関係者のプライバシーについても配慮を払わなければいけません。
一方で調査の大きな目的は、再発防止と組織の改善です。個人の追及に終始してはいけません。公平性と透明性を確保しながら、組織全体のコンプライアンス意識向上につなげていくことが重要です。
社内不正は発覚後の調査だけでなく、予防的な取り組みも含めた総合的なアプローチが必要です。自社の状況に応じ、適切な対応を検討してください。