• Instgram
  • LinkeIn
  • Lexologoy

グローバルビジネスと人権:刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法(米国司法省検察官が用いるガイダンス)[その1]

2024年01月17日(水)

グローバルビジネスと人権に関し、刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法(米国司法省検察官が用いるガイダンス)についてのニュースレターを発行いたしました。本稿は、次号に続きます。また、こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

グローバルビジネスと人権:刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法(米国司法省検察官が用いるガイダンス)[その1]

 

グローバルビジネスと人権:
刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法
(米国司法省検察官が用いるガイダンス)[その1

 2024年1月
One Asia Lawyers Group
コンプライアンス・ニューズレター
アジアSDGs/ESGプラクティスグループ

はじめに

最近では、 多くの日本企業がボーダレスにビジネスを展開する結果、様々な執行当局による刑事捜査の対象とされる場面が増加している。特に国際カルテルや外国公務員贈賄などの分野では広い範囲に及ぶ域外適用を定める制定法が増加しており、米国司法省や欧州連合による厳しい制裁が課されるようになり、日系企業でもそうしたリスクに対応する必要性は強く自覚されるようになってきている。またその際に、海外の執行当局とのあいだで司法取引が行われ、その際に不祥事に巻き込まれた企業が、どのようなコンプライアンスプログラムを実施してきたのかどうかは、そうした司法取引において企業を守るための最も重要なファクターであることも広く知られるようになってきた。

しかし、そうした際に海外の執行当局がどのような観点からコンプライアンスプログラムの評価を行うのかについて、まだ十分な情報は提供されていないようである。また日本では「コンプライアンス」を法令遵守と翻訳することが多いため、それは様々なビジネスに関連する規制を守ることであると誤解されている面もある。

そこで以下では、コンプライアンス文化の出発点とも言える米国の司法省刑事局が、企業の不祥事においてコンプライアンスプログラムをどのような視点から評価し、その企業を訴追の対象としたり、司法取引の制裁金の金額を確定したりするのかに関連して、検察官が参照している米国司法省刑事局が公開しているガイダンス(https://www.justice.gov/criminal-fraud/page/file/937501/download)を訳出することにする。このガイダンスは2023年に改定されており、内容においても最新のものである。最近では、特に複数国家の捜査当局が共同で協力しながら捜査を行い、司法取引も共同して企業と合意することが珍しくない。そうした場面において、米国司法省は主導的な役割を果たしてきており、その意味でもこのガイダンスが持つ現実的な影響力は大きい。

ここに掲載したものは現段階での仮の日本語訳であるため、内容の正確な確認のためには原文に当たっていただく必要がある場合も少なくないであろう。また司法省マニュアルの参照箇所についても読者の読みやすさを考慮して省略しているため、詳しくは原文を参照いただきたい。


 

米国司法省刑事局
「企業のコンプライアンス・プログラムの評価(20233月更新)」
日本語仮翻訳版)

[目次]

はじめに
Ⅰ.企業のコンプライアンス・プログラムは十分に設計されているか?[以上本号掲載]
Ⅱ.プログラムは真摯かつ誠実に適用されているか?
Ⅲ.会社のコンプライアンス・プログラムは実際に機能しているか?

はじめに

司法マニュアル(Justice Manual)の「企業組織に対する連邦検察の原則(Principles of Federal Prosecution of Business Organizations)」には、検察官が企業に対する捜査の実施、起訴の可否の決定、司法取引またはその他の合意の交渉において考慮すべき具体的な要素が記載されている。これらの要素には、”犯罪発生時及び起訴決定時における企業のコンプライアンス・プログラムの適切性と有効性”、及び “適切かつ効果的な企業のコンプライアンス・プログラムを実施するため、あるいは既存のコンプライアンス・プログラムを改善するための企業の改善努力”が含まれる。さらに米国量刑ガイドラインは、適切な組織犯罪制裁金を算出する目的で、企業が不正行為の時点で効果的なコンプライアンス・プログラムを実施していたかどうかを考慮するよう助言している。さらにモニター選定に関する刑事部の方針は、検察官に、企業が企業のコンプライアンス・プログラムと内部統制システムに対して十分な投資と改善を行っていたかどうか、またコンプライアンス・プログラムと内部統制に対する改善策が将来において同様の不正行為を防止または発見できることを実証するためにテストされたかどうかを考慮し、モニターが適切かどうかを判断するよう指示している。

本書は、(1) いかなる解決または起訴の形態、(2) 金銭的制裁(もしあれば)、(3) 企業刑事決定に含まれるコンプライアンス義務(モニターシップや報告義務など)の適切性を判断する目的で、企業のコンプライアンス・プログラムが犯罪時に有効であったかどうか、またどの程度有効であったかについて、検察官が十分な情報を得た上で判断することを支援することを目的としている。

企業のコンプライアンス・プログラムは犯罪捜査という特定の文脈において評価されなければならないため、司法省刑事部は企業のコンプライアンス・プログラムの有効性を評価するために厳格な公式を用いることはない。私たちは、各企業のリスクプロファイルとそのリスクを軽減するための解決策には個別の評価が必要であると認識している。従って、企業の規模、業種、地理的展開、規制の状況、および企業のコンプライアンス・プログラムに影響を与える可能性のある企業内外のその他の様々な要因を考慮し、個々の事案ごとに合理的かつ個別的な判断を下す。しかし、個別的な判断を下す過程においてよく問われる質問もある。司法マニュアルにあるように、検察官が尋ねるべき「基本的な質問」は次の3つがある。

  1. 企業のコンプライアンス・プログラムは十分に設計されているか?
  2. プログラムは真摯かつ誠実に適用されているか。言い換えれば、プログラムが効果的に機能するために十分な資源と権限を与えられているか?
  3. 会社のコンプライアンス・プログラムは実際に機能しているか?


これら3つの「基本的な質問」に答えるにあたり、検察官は、犯罪発生時、起訴決定時および解決時の両方において、企業のコンプライアンス・プログラムを評価する上で頻繁に関連性が見出される様々なトピックについて、企業のパフォーマンスを評価することができる。以下のトピックと質問のサンプルは、チェックリストでも公式でもない。特定の事案において、以下に示すトピックと質問がすべて関連するとは限らず、問題となっている特定の事実や企業の状況を考慮すると、他のトピックがより重要である場合もある。

Ⅰ.企業のコンプライアンス・プログラムは適切に設計されているか?

どのようなプログラムであれ、その評価における重要な要素は、従業員による不正行為の防止と発見において最大限の効果を発揮するようにプログラムが適切に設計されているか、企業経営陣がプログラムを執行しているか、また従業員が不正行為に従事することを暗黙のうちに奨励または容認しているかどうかである。

従って検察官はコンプライアンス・プログラムの包括性を調査し、不正行為は容認されないという明確なメッセージだけでなく、適切な責任分担から研修プログラム、インセンティブや懲戒制度に至るまで、コンプライアンス・プログラムが企業の業務や労働力に十分に統合されることを確保する政策や手続きが存在することを確認すべきである。

A. リスク評価

企業が十分に設計されたコンプライアンス・プログラムを有しているかどうかを検察官が評価する際の出発点は、商業的観点から企業の事業を理解すること、企業がリスク・プロファイルをどのように特定・評価・定義しているか及びプログラムがリスクの範囲に適切な精査と資源をどの程度割いているかを理解することである。要するに検察官は、企業がなぜコンプライアンス・プログラムをそのような方法で設定することを選択したのか、また企業のコンプライアンス・プログラムがなぜ、そしてどのように時間をかけて発展してきたのかを理解するよう努めるべきである。

検察官は、そのプログラムが、「特定の企業の事業ラインで発生する可能性が最も高い特定のタイプの不正行為を検出(および防止)するために適切に設計」されているかどうか、および「複雑な規制環境」にあるかどうかを考慮すべきである。例えば企業が、他の要因の中でも、事業の所在地、業種、市場の競争力、規制の状況、潜在的な顧客やビジネスパートナー、外国政府との取引、外国公務員への支払い、第三者の利用、贈答品、旅費、接待費、慈善・政治献金によってもたらされる様々なリスクを分析し、対処したかどうかを検討すべきである。

検察官はまた、「企業のリスク評価の有効性と、そのリスク評価に基づいて企業のコンプライアンス・プログラムがどのように調整されているか」、そしてその基準が「定期的に更新されているか」についても考慮すべきである。例えば、(「組織は、犯罪行為のリスクを定期的に評価し、犯罪行為のリスクを低減するために(コンプライアンス・プログラムの)各要件を設計、実施、または修正するための適切な措置を講じなければならない」)を参照。

検察官は、たとえ違反行為を防止できなかったとしても、リスクの高い取引に適切な注意とリソースを割くリスクベースのコンプライアンス・プログラムの質と有効性を評価することができる。従ってリスクテーラリングの指標として、”教訓を踏まえた企業のコンプライアンス・プログラムの改訂”を考慮すべきである。

  • リスク・マネジメント・プロセス – 企業が直面する具体的なリスクを特定し、分析し、対処するために、どのような方法論を用いてきたか。どのような情報または指標を収集し、問題の不正行為の発見に役立てたか。その情報や指標は、会社のコンプライアンス・プログラムにどのように反映されたか。
  • リスクに応じた資源配分 – 第三者コンサルタントへの疑わしい支払い、疑わしい取引活動、再販業者や販売業者への過度な値引きなど、リスクの高い分野ではなく、リスクの低い分野の取り締まりに不均衡な時間を割いていないか。会社は、リスクの高い取引(例えば、リスクの高い国の政府機関との多額の契約)に対して、より控えめで日常的な接待よりも、正当な理由があれば、より大きな精査を行っているか。
  • 更新と改訂 – リスクアセスメントは最新のものであり、定期的な見直しの対象となっているか。定期的な見直しは、「スナップショット」的なものに限定されているか、又は、業務データ及び機能横断的な情報への継続的なアクセスに基づいているか。定期的な見直しは、方針、手順、統制の更新につながっているか。これらの更新は、不祥事またはコンプライアンス・プログラムのその他の問題によって発見されたリスクを考慮しているか。
  • 教訓 – 会社は、自社の過去の問題から、又は同じ業界や地理的地域で事業を営む他の会社の問題から学んだ教訓を追跡し、定期的なリスクアセスメントに取り入れるプロセスを有しているか。

B. 方針と手続き

よく設計されたコンプライアンス・プログラムには、倫理規範の内容と実効性を与え、リスク評価プロセスの一環として企業が特定したリスクに対処し、その低減を目指す方針と手続が含まれる。閾値の問題として、検察当局は、特に、関連する連邦法の完全遵守に対する会社のコミットメントが規定され、会社の全従業員がアクセス可能で適用可能な行動規範が会社にあるかどうかを調べるべきである。またこれに付随して、検察当局は、会社がコンプライアンス文化を日常業務に組み込む方針と手続きを確立しているかどうかも評価すべきである。

  • デザイン – 新しい方針と手続を設計し、実施し、既存の方針と手続を更新するための会社のプロセスはどのようなもので、そのプロセスは時間の経過とともに変化しているか。
  • 包括性 – 法規制の変更を含め、会社が直面する様々なリスクを反映し、それに対処する方針と手続を監視し、実施するために、会社はどのような努力を払ってきたか。
  • アクセシビリティ – 会社はその方針と手続を全従業員および関連する第三者にどのように伝えてきたか。海外子会社がある場合、外国人従業員のアクセスに言語的またはその他の障壁があるか。方針と手続きは、簡単に参照できるように検索可能な形式で公表されているか。どのような方針が関係する従業員の関心を集めているかを把握するために、様々な方針・手順へのアクセスを追跡しているか。
  • 業務統合の責任 – 方針・手順の統合は誰の責任において行っているか。従業員が方針を確実に理解できるような方法で展開されているか。コンプライアンス方針および手順は、会社の内部統制システムを通じて、具体的にどのような方法で強化されているか。
  • ゲートキーパー – 統制プロセスにおける重要なゲートキーパー(承認権限や認証責任を有する者等)に対して、ガイダンスやトレーニングが提供されている場合は、どのようなものか。どのような不祥事を探すべきか知っているか。彼らは、いつ、どのように警戒を強めるべきか知っているか。

C. 研修とコミュニケーション

よく設計されたコンプライアンス・プログラムのもう一つの特徴は、適切に調整された研修とコミュニケーションである。

検察官は、すべての取締役、役員、関連する従業員、および適切な場合には代理人やビジネス・パートナーを対象とした定期的な研修や認証などを通じて、方針と手続が組織に統合されていることを確認するために会社が講じている措置を評価すべきである。また会社が、受講者の規模、水準、または主題の専門性に合わせた方法で情報を伝達したかどうかを評価すべきである。例えば、現実のシナリオに対処するための実践的なアドバイスやケーススタディーを従業員に与えたり、ニーズが生じた場合にケースバイケースで倫理的助言を得る方法についてのガイダンスを与えたりする企業もある。

また、従業員が適切なコンプライアンス、内部監査、その他のリスク管理部門にタイムリーに問題を確認し、提起できるようにするため、より短く的を絞った研修に投資している企業もある。検察官はまた、研修が過去のコンプライアンスに関する事件を適切にカバーしているかどうか、会社が研修カリキュラムの有効性をどのように測定しているかも評価すべきである。

要するに、検察当局は、コンプライアンス・プログラムが「真に効果的」であるかどうかを判断するために、コンプライアンス・プログラムが実際に従業員に浸透し、理解されているかどうかを検証すべきである。

  • リスクに応じた研修 – 関連する管理機能の従業員はどのような研修を受けたか。会社は、不祥事が発生した地域のリスクに対応する研修など、高リスクの従業員や管理職に合わせた研修を実施したか。監督下にある従業員は、別の研修や補足的な研修を受けたか。会社は、誰にどのような内容の研修を行うか決定するために、どのような分析を行ったか。
  • 研修の形式/内容/効果 – 研修は、受講者に適した形式と言語で提供されたか。研修はオンラインまたは対面(またはその両方)で行われた場合、その選択の根拠は何か。過去のコンプライアンスに関する事故から学んだ教訓を研修で取り上げたか。オンラインか対面かを問わず、従業員が研修から生じた疑問を質問できるプロセスがあるか。会社は研修の効果をどのように測定したか。従業員は学んだことについてテストを受けたか。テストの全部または一部に不合格となった従業員に対して、会社はどのように対処してきたか。会社は、研修が従業員の行動や業務にどの程度影響を与えたかを評価したか。
  • 不祥事に関するコミュニケーション – シニアマネジメントは、不祥事に関する会社の立場を従業員に知らせるために何をしたか。一般的に、従業員が会社の方針、手順、管理に従わなかったために解雇またはその他の懲戒処分を受けた場合、どのようなコミュニケーションが行われてきたか(例えば、懲戒処分につながる不正行為の種類に関する匿名化された説明など)。
  • ガイダンスの利用可能性 – コンプライアンス方針に関連するガイダンスを従業員に提供するために、どのようなリソースが利用可能であったか。会社は、従業員がいつ助言を求めるべきかを知っているか、また、従業員が進んで助言を求めるかどうかをどのように評価したか。

D. 守秘された報告体制と調査プロセス

よく設計されたコンプライアンス・プログラムのもう一つの特徴は、従業員が会社の行動規範、企業方針、または不正行為の疑いや実際の違反の疑いを匿名または内密に報告できる効率的で信頼できる仕組みが存在することである。検察官は、会社の苦情処理プロセスが、報復の恐れのない職場の雰囲気を作るための事前対策、苦情を提出するための適切なプロセス、内部告発者を保護するプロセスを含んでいるかどうかを評価すべきである。検察官はまた、適切な担当者への苦情の転送、徹底的な調査のタイムリーな完了、適切なフォローアップや懲戒など、そのような苦情の調査を処理するための会社のプロセスを評価すべきである。

秘密通報の仕組みは、企業が不祥事を効果的に発見・防止できるコーポレート・ガバナンスの仕組みを確立しているかどうかを判断する上で非常に有力な材料となる。(効果的に機能しているコンプライアンス・プログラムは、「組織の従業員および代理人が、報復を恐れることなく、潜在的または実際の犯罪行為に関して報告または指導を求めることができる、匿名性または秘密保持を可能にする仕組みを含むことができるシステム」を整備し、公表している。)

  • 報告メカニズムの有効性 – 会社は匿名での報告メカニズムを有しているか。報告制度は、会社の従業員やその他の第三者にどのように周知されているか。利用されているか。会社は、従業員がホットラインの存在を認識し、安心して利用できるかどうかをテストする手段を講じているか。会社は、寄せられた申し立ての重大性をどのように評価したか。コンプライアンス部門は、報告および調査情報に完全にアクセスできたか。
  • 専門家による適切な範囲の調査 – 会社は、どの苦情またはレッドフラッグがさらなる調査に値するかをどのように判断しているか。会社は、調査が適切に実施されることをどのように確認しているか。会社は、調査が独立した客観的なものであり、適切に実施され、適切に文書化されていることを保証するために、どのような措置を講じているか。会社は、誰が調査を実施すべきかをどのように決定し、誰がその決定を行うのか。
  • 調査対応 – 会社は、対応性を確保するためにタイミング指標を適用しているか。会社は、調査の結果を監視し、調査結果または勧告への対応について説明責任を果たすためのプロセスを持っているか。
  • リソースと結果の追跡 – 報告・調査の仕組みに十分な資金が投入されているか。会社は、報告制度からの情報をどのように収集、追跡、分析し、利用してきたか。会社は、報告書や調査結果を定期的に分析して、不正行為のパターンやコンプライアンスの弱点に関するその他の赤信号を確認しているか。会社は、報告の開始から終了までを追跡するなどして、ホットラインの有効性を定期的にテストしているか。

E. 第三者の管理

よく設計されたコンプライアンス・プログラムは、第三者との関係にリスクベースのデューディリジェンスを適用すべきである。適切なデューディリジェンスの必要性や程度は、企業、取引、第三者の規模や性質によって異なり得るが、検察当局は、国際的な商取引において外国公務員への賄賂の支払いなどの不正行為を隠蔽するために一般的に使用される代理人、コンサルタント、販売業者などの第三者パートナーの資格や関連性を企業がどの程度理解しているかを評価すべきである。

検察官はまた、取引において第三者を必要とするビジネス上の根拠を会社が知っているかどうか、 第三者パートナーの評判や外国公務員との関係(もしあれば)を含め、第三者パートナーがもたらすリスクを評価すべきである。例えば、検察官は、企業が第三者との契約条件に、遂行されるサービスが具体的に記載されていること、第三者が実際に業務を遂行していること、その報酬がその業界や地域で提供される業務に見合ったものであることを確認したかどうかを分析すべきである。さらに、企業が第三者との関係について、デューデリジェンスの更新、研修、監査、そして第三者による毎年のコンプライアンス証明書などを通じて継続的な監視を行っていたかどうかを評価すべきである。

要するに、企業の第三者管理慣行は、コンプライアンス・プログラムが実際に “特定の企業の事業ラインで発生する可能性が最も高い特定のタイプの不正行為を検出(および防止)”できるかどうかを判断するために検察官が評価すべき要素である。

  • リスクベースの統合されたプロセス – 会社の第三者管理プロセスは、会社が特定した企業リスクの性質とレベルにどのように対応してきたか。このプロセスは関連する調達及びベンダー管理プロセスとどのように統合されてきたか。
  • 適切な統制 – 第三者の利用に適切なビジネス上の根拠があることをどのように確認しているか。根本的な不正行為に第三者が関与していた場合、その第三者を利用するビジネス上の根拠は何か。契約条件に実行されるサービスが具体的に記載されていること、支払条件が適切であること、記載された契約業務が実行されること、および提供されたサービスに見合った報酬が支払われることを保証するために、どのような仕組みが存在するか。
  • 関係者の管理 – 会社は、第三者に対する報酬およびインセンティブ構造を、コンプライアンスリスクと照らし合わせてどのように検討・分析してきたか。会社はどのように第三者を監視しているか。会社は、第三者の帳簿や会計を分析する監査権を持っているか。コンプライアンス・リスクとその管理方法について、第三者との関係管理者をどのように教育しているか。会社は、第三者によるコンプライアンスや倫理的行動をどのように動機付けしているか。会社は、第三者との関係の全期間を通じて、あるいは主に取引開始のプロセスにおいて、第三者のリスク管理に取り組んでいるか。
  • 現実の行動とその結果 – 会社は第三者のデューデリジェンスから判明したレッドフラッグと、そのレッドフラッグにどのように対処しているかを追跡しているか。会社は、会社のデューデリジェンスに合格しなかった第三者、または解雇された第三者を追跡しているか。また会社は、そのような第三者が後日雇用されたり、再雇用されたりしないような手段を講じているか。調査で問題となった不正行為に第三者が関与していた場合、デューデリジェンスから、または第三者を雇用した後に、レッドフラッグが特定されたか、またそれらはどのように解決されたか。同様の第三者が、コンプライアンス上の問題の結果、業務停止、解雇、または監査を受けたことがあるか。

F. 合併・買収(M&A

 よく設計されたコンプライアンス・プログラムには、買収対象に関する包括的なデューデリジェンスと、買収した企業を既存のコンプライアンス・プログラムの構造や内部統制に適時かつ体系的に統合するためのプロセスが含まれるべきである。可能であれば、M&A前のデューディリジェンスにより、買収企業は各ターゲットの価値をより正確に評価し、汚職や不正行為のコストをターゲットが負担するよう交渉することができる。買収前または買収後のデューデリジェンスや統合に欠陥があったり、不完全であったりすると、対象会社で不祥事が継続する可能性があり、その結果、事業の収益性や評判が損なわれ、民事責任や刑事責任を問われるリスクがある。

企業が買収対象企業をどの程度適切な精査の対象にするかは、そのコンプライアンス・プログラムが、実施された通りに、内部統制を効果的に実施し、組織のあらゆるレベルにおける不祥事を是正することができるかどうかを示すものである。

  • デューディリジェンス・プロセス – 会社は買収前のデューディリジェンスを完了することができたか。デューデリジェンスにより不祥事または不祥事のリスクが特定されたか。被買収・合併企業のリスクレビューを誰がどのように実施したか。M&Aのデューディリジェンス・プロセスは一般的にどのようなものか。
  • M&Aプロセスにおける統合-コンプライアンス機能はどのように M&A及び統合プロセスに統合されたか。
  • デューディリジェンスから実施に至るプロセス – デューディリジェンス・プロセスにおいて特定された不祥事又は不祥事リスクを追跡し、是正するための会社のプロセスはどのようなものであったか。新たに買収した事業体において、コンプライアンス方針及び手続を実施し、買収後の監査を実施するための会社のプロセスはどのようなものであったか。


[次号に続く]

 

〈注記〉本資料に関し、以下の点をご了承ください。

  • 本ニューズレターは2023年12月時点の情報に基づいて作成されています。
  • 今後の政府による発表や解釈の明確化、実務上の運用の変更等に伴い、その内容は変更される可能性がございます。
  • 本ニューズレターの内容によって生じたいかなる損害についても弊所は責任を負いません。