グローバルビジネスと人権:刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法(米国司法省検察官が用いるガイダンス)[その2・ 完]
グローバルビジネスと人権に関し、刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法(米国司法省検察官が用いるガイダンス)についてのニュースレターを発行いたしました。本稿は、前号からの続きとなります。また、こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。
→グローバルビジネスと人権:刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法(米国司法省検察官が用いるガイダンス)[その2・完]
グローバルビジネスと人権:
刑事司法取引における企業コンプライアンス・プログラムの具体的な評価方法
(米国司法省検察官が用いるガイダンス)[その2・ 完]
2024年2月
One Asia Lawyers Group
コンプライアンス・ニューズレター
アジアSDGs/ESGプラクティスグループ
資料についての説明
最近では、多くの日本企業がボーダレスにビジネスを展開する結果、様々な執行当局による刑事捜査の対象とされる場面が増加している。特に国際カルテルや外国公務員贈賄などの分野では広い範囲に及ぶ域外適用を定める制定法が増加しており、米国司法省や欧州連合による厳しい制裁が課されるようになり、日系企業でもそうしたリスクに対応する必要性は強く自覚されるようになってきた。またその際に、海外の執行当局とのあいだで司法取引が行われ、その際には不祥事に巻き込まれた企業が、どのようなコンプライアンスプログラムを実施してきたかは、そうした司法取引において企業を守るための最も重要なファクターであることも広く知られるようになってきた。
しかし司法取引において、海外の執行当局がどのような観点からコンプライアンスプログラムの評価を行うのかについては、まだ十分な情報は提供されていないようである。また日本では「コンプライアンス」を法令遵守と翻訳することが多いため、それは様々なビジネスに関連する法規制を守ることであると誤解されている面もある。
そこで以下では、コンプライアンス文化の出発点とも言える米国の司法省刑事局が、企業の不祥事においてコンプライアンス・プログラムをどのような視点から評価し、その企業を刑事訴追の対象としたり、司法取引の制裁金の金額を確定したりするのかに関連して、米国の検察官が参照している米国司法省刑事局が公開しているガイダンス(https://www.justice.gov/criminal-fraud/page/file/937501/download)を訳出することにする。このガイダンスは2023年に改定されており、内容においても最新のものである。最近では、特に複数国家の捜査当局が共同で協力しながら捜査を行い、司法取引も共同して企業と合意することが珍しくない。そうした場面において、米国司法省は歴史的に主導的な役割を果たしてきており、その意味でもこのガイダンスが持つ実務的な 影響力は大きい。
ここに掲載したものは現段階での仮の日本語訳であるため、内容の正確な確認のためには原文に当たっていただく必要がある場合も少なくないであろう。また司法省マニュアルの参照箇所についても読者の読みやすさを考慮して省略しているため、詳しくは原文を参照いただきたい。
米国司法省刑事局
「企業のコンプライアンス・プログラムの評価(2023年3月更新)」
(日本語仮翻訳版)
[目次]
はじめに
- 企業のコンプライアンス・プログラムは十分に設計されているか?
[以上1 月号掲載・ 以下本号] - プログラムは真摯かつ誠実に適用されているか?
- 会社のコンプライアンス・プログラムは実際に機能しているか?
II. プログラムは真摯かつ誠実に適用されているか?
よく設計されたコンプライアンス・プログラムであっても、その実行が緩慢であったり、人材が不足していたり、あるいは効果的でなかったりする場合には、実際にはうまく機能しない可能性がある。検察官は、コンプライアンス・プログラムが「ペーパー・プログラム」であるか、効果的な方法で実施され、リソースが提供され、レビューされ、適宜改訂されているかを具体的に調査するよう指示されている。この点に関して、検察官は、該当するリスクを評価し、対処し、これらのリスクを管理するための適切なコントロールを設計するための企業の方法を評価すべきである。加えて、検察官は、企業がコンプライアンスへの取り組みの結果を監査し、文書化し、分析し、活用するのに十分なスタッフを用意しているかどうかを判断すべきである。検察官はまた、”企業の従業員がコンプライアンス・プログラムについて十分な情報を得ており、企業のコンプライアンス・プログラムに対するコミットメントを確信しているかどうか “を判断すべきである。(効果的なコンプライアンス・プログラムの基準には、「捜査の基礎となる行為を含め、いかなる犯罪行為も容認されないという従業員の意識を含む、企業のコンプライアンス文化」が含まれる)。
A. 上級管理職および中間管理職によるコミットメント
コンプライアンス体制、方針、手続きを超えて、企業にとって重要なことは、社内のあらゆる階層において倫理と法令遵守の文化を創造し、醸成することである。コンプライアンス・プログラムの実効性を高めるには、企業のリーダーシップによって、中間及びトップ層からコンプライアンス文化の実践に向けたハイレベルなコミットメントを行うことが必要である。
会社のトップリーダーである取締役会と経営陣は、会社の他の部分の基調を設定する。検察官は、上級管理職が会社の倫理基準をどの程度明確にし、明確かつ明白な言葉で伝え、浸透させ、模範として厳格な遵守を示したかを調べるべきである。検察官はまた、中間管理職がどのようにこれらの基準を強化し、従業員に遵守するよう促したかを調べるべきである。(会社の「統治権者は、コンプライアンスおよび倫理プログラムの内容と運用に精通し、合理的な監督を行わなければならない」、「上級幹部は、…組織が効果的なコンプライアンスおよび倫理プログラムを有することを確保しなければならない」)。
- トップの行動 – シニアリーダーは、その言動を通じて、調査に関与した不正行為の種類を含め、コンプライアンスをどのように奨励または抑制してきたか。会社のコンプライアンスおよび是正努力においてリーダーシップを発揮するために、どのような具体的な行動をとったか。部下に対して適切な行動をどのように模範的に示したか。マネジャーは、新規事業や収益の拡大を追求するために、より大きなコンプライアンス・リスクを容認してきたか。マネジャーは、事業目的を達成するために従業員に非倫理的な行動を促したり、コンプライアンス担当者が効果的に職務を遂行するのを妨げたりしていないか。
- 共有されたコミットメント – シニアリーダーおよび中間管理職の利害関係者(事業および業務管理者、財務、調達、法務、人事など)は、改善努力を含め、コンプライアンスまたはコンプライアンス担当者に対するコミットメントを示すためにどのような行動をとったか。競合する利益や事業目標に直面しても、そのコミットメントを維持したか。
- 監督 – 取締役会にどのようなコンプライアンス専門家がいるか。取締役会及び社外監査役は、コンプライアンス及び管理部門とエグゼクティブ・セッション又はプライベート・セッションを行ったことがあるか。取締役会及び上級管理職は、不祥事が発生した分野における監督を行うにあたり、どのような種類の情報を調査したか。
B. 自律性とリソース
効果的な実施には、コンプライアンス・プログラムの日常的な監督を担当する者が十分な権限と身分をもって行動することも必要である。閾値の問題として、検察官はコンプライアンス・プログラムがどのように構成されているかを評価すべきである。さらに検察当局は、コンプライアンス機能内の人員とリソースの充足性、特に、コンプライアンスを担当する者が以下を有しているかどうかを評価すべきである。
(1) 組織内での十分に高い地位
(2) 必要な監査、文書化、分析を効果的に実施するための十分な資源、すなわちスタッフ
(3) 取締役会や取締役会の監査委員会に直接アクセスできるなど経営陣からの十分な独立性
しかし、各要素の十分性は、特定の会社の規模、構造、リスクプロファイルに依存する。「大組織は一般に、小組織よりも、より正式な業務とより大きな資源を……割かなければならない。」対照的に、「小組織は、より少ない形式とより少ない資源に頼ることができる。」いずれにせよ、コンプライアンス・プログラムが真に効果的であるためには、コンプライアンス担当者は企業内で権限を与えられなければならない。
検察当局は、コンプライアンス担当者が実際に権限を与えられ、不正行為を効果的に発見し、防止する態勢にあるかどうかの指標として、内部監査機能が独立性と正確性を確保するのに十分なレベルで実施されているかどうかを評価すべきである。検察官はまた、「会社がコンプライアンスに専属させるリソース」、「潜在的なリスクをもたらす取引や活動を理解し特定できるような、コンプライアンスに携わる人材の質と経験」、「コンプライアンス機能の権限と独立性、および取締役会に対するコンプライアンスの専門知識の利用可能性」を評価すべきである。(「日常的な運営責任」を有する者は、「適切な資源、適切な権限、及び統治権限者又はその適切なサブグループへの直接アクセス」を有するものとする)。
- 構造 – コンプライアンス機能は、社内のどこに置かれているか(例えば、法務部内、事業部門の下、又はCEO及び/又は取締役会に報告する独立した機能として)。コンプライアンス部門は誰に報告するか。コンプライアンス部門は、指名されたチーフ・コンプライアンス・オフィサー(最高コンプライアンス責任者)によって運営されているか、それとも社内の他の幹部によって運営されているか、また、その幹部は社内で他の役割を担っているか。コンプライアンス担当者は、コンプライアンス責任に専従しているのか、それとも社内でコンプライアンス以外の責任も担っているのか。会社は、なぜそのようなコンプライアンス体制を選択したのか。会社が構造的な選択をした理由は何か。
- 序列と地位 – コンプライアンス部門は、地位、報酬水準、役職、報告ライン、リソース、主要な意思決定者へのアクセスという点で、社内の他の戦略的部門と比較してどうであるか。コンプライアンス及び関連する管理部門の人材の離職率はどの程度か。会社の戦略上及び業務上の意思決定において、コンプライアンスはどのような役割を果たしてきたか。コンプライアンスが懸念を提起した具体的な事例に対して、会社はどのように対応したか。コンプライアンス上の懸念の結果、中止、修正、またはさらに精査された取引や案件があったか。
- 経験と資格 – コンプライアンス担当者及び管理担当者は、その役割と責任にふさわしい経験と資格を持っているか。これらの役割における経験と資格のレベルは、時間の経過とともに変化しているか。会社は、コンプライアンス担当者及びその他の管理担当者のさらなる研修と能力開発にどのように投資しているか。誰がコンプライアンス機能のパフォーマンスをレビューしているか。
- 資金と資源 – コンプライアンス担当者がコンプライアンス活動の結果を効果的に監査、文書化、分析、行動するために十分な人員配置が行われてきたか。会社はそのために十分な資金を割り当てているか。コンプライアンスおよび管理部門によるリソースの要請が拒否されたことがあるか。
- データ・リソースとアクセス – コンプライアンス及び管理部門の要員は、方針、管理及び取引の適時かつ効果的なモニタリング及びテストを可能にするために、関連するデータ・ソースへの直接的又は間接的なアクセスを十分に有しているか。関連するデータ源へのアクセスを制限するような障害が存在するか、また存在する場合、その障害に対処するために会社は何をしているか。
- 自律性 – コンプライアンス及び関連する管理部門は、取締役会や監査委員会の誰かに直接報告するラインを持っているか。取締役との面談の頻度はどうか。上級管理職はこれらの会議に出席しているか。会社は、コンプライアンス及び管理担当者の独立性をどのように確保しているか。
- コンプライアンス機能の外部委託 – 会社は、コンプライアンス機能の全部又は一部を外部の会社又はコンサルタントに委託しているか。外部委託している場合、その理由と、外部委託先との監督や連絡の責任者は誰か。外部の会社またはコンサルタントは、会社の情報にどの程度アクセスできるか。外部委託したプロセスの有効性はどのように評価されているか。
C. 報奨体系と結果管理
コンプライアンス・プログラムの効果的な実施のもう一つの特徴は、コンプライアンスに対するインセンティブとコンプライアンス違反に対するディスインセンティブを確立することである。検察官は、企業が明確な結果管理手続き(法律、規制、または方針に対する違反を特定し、調査し、懲戒し、是正するための手続き)を導入し、組織全体で一貫してそれを実施し、その手続きが違反に見合ったものであることを保証しているかどうかを評価する必要がある。検察官はまた、非倫理的な行為は許されず、その行為を行った従業員の地位や肩書きに関係なく、迅速な結果がもたらされることを、会社による情報伝達として従業員にどの程度伝えているかを評価すべきである。(「組織のコンプライアンス・プログラムは、(A)コンプライアンス・プログラムおよび倫理プログラムに従って業務を遂行するための適切なインセンティブ、(B)犯罪行為に関与した場合、および犯罪行為を防止・発見するための合理的な措置を講じなかった場合の適切な懲戒措置」を通じて、組織全体で一貫して推進・実施されなければならない)。
例として、検察官は、適切かつ可能な場合には、企業が懲戒処分を社内で公表しているかどうかを考慮することができる。また、検察当局は、調査及び結果管理機能の有効性を測定するために、企業が懲戒処分に関連するデータを追跡しているかどうかを検討することができる。これには、立証されたコンプライアンス関連の申し立て件数、コンプライアンス調査が完了するまでの平均時間(及び異常値)、組織のレベル、地域、ユニットや部署にわたる懲戒措置の有効性及び一貫性の監視が含まれる。
報奨制度の設計と実施は、コンプライアンス文化を醸成する上で重要な役割を果たす。検察官は、会社の価値観や方針と一致する行為に関連する一定の報奨を繰り延べたり、エスクローしたりする報酬制度を設計することによって、会社がコンプライアンスを奨励したかどうかを検討することができる。また、企業によっては、報奨の受領者が企業の不正行為に関与した、あるいはその他の責任を負うことが判明した場合、企業が過去に授与された報奨を回収することを認める契約条項を施行した例もある。最後に、検察当局は、コンプライアンス違反や不正行為による報奨払い戻しや減額に関する規定が、会社の方針や適用される法律に従って維持され、実施されているかどうかを検討することができる。
不正行為に対して明確かつ効果的に金銭的ペナルティを課す報酬体系は、リスクの高い行動を抑止し、コンプライアンス文化を醸成することができる。同時に、コンプライアンス・プログラムの改善・発展や倫理的リーダーシップの発揮に対する昇進、報奨、ボーナスなどの積極的なインセンティブを提供することで、コンプライアンスを推進することができる。検察官は、企業がコンプライアンスに取り組むことを昇進の手段にしているかどうか、管理職や従業員にコンプライアンスの「チャンピオン」として活躍する機会を提供しているかどうか、コンプライアンスを管理職の賞与の重要な指標にしているかどうかを調べる必要がある。報奨や結果管理のスキームが肯定的なコンプライアンス文化を示しているかどうかを評価する際、検察当局は以下の要素を考慮すべきである。
- 人事プロセス – 問題となっている不正行為の種類を含め、誰が懲戒決定に参加しているか。会社は懲戒プロセスの設計と実施についてどの程度透明性があったか。コンプライアンス違反を理由に役員を退社させた場合、会社は従業員に対し、その離職条件についてどの程度透明性を保ってきたか。懲戒の実際の理由は、すべてのケースで従業員に伝えられているか。そうでない場合、その理由は何か。また、そうでない場合はなぜか。会社は、懲戒プロセスに関する情報の開示または入手を制限する措置を講じているか。情報を制限する法的または調査関連の理由があるのか、あるいは内部告発や外部からの監視から会社を守るために事前の理由が提供されているのか。
- 懲戒処分 – 経営陣がコンプライアンス方針を実施しようとする場合、どのような種類の懲戒処分を利用できるか。会社は、役員または従業員に直接的または間接的に起因する不正行為がなければ達成されなかったであろう報酬を回収するための方針または手続を有しているか。会社は、不正行為の潜在的な成果から利益を得られないことを従業員に知らせるために、どのような方針と慣行を設けているか。問題となっている特定の不祥事に関して、会社はこの点に関する方針と慣行に従うよう誠実に努力したか。
- 一貫した適用 – 懲戒処分と報奨は、組織全体で公正かつ一貫して適用されているか。コンプライアンス部門は、一貫性を確保するために、調査とその結果としての懲戒を監視しているか。差別的な扱いを受けた類似の不正行為があるか。どのような指標を適用して、すべての地域、事業単位、組織のレベルにわたって懲戒処分の一貫性を確保しているか。
- 財務報奨制度 – 会社は、財務報奨およびその他の報奨がコンプライアンスに及ぼす影響を検討したか。コンプライアンスと倫理に則って業務を遂行した場合に、商業的目標が達成可能かどうかを評価したことがあるか。コンプライアンス部門は、組織の上級レベルにおける金銭的インセンティブの設計と付与において、どのような役割を担っているか。会社はコンプライアンスと倫理的行動にどのようなインセンティブを与えているか。役員報酬の何パーセントが、永続的な倫理的事業目標を奨励するように構成されているか。賞与や繰延報酬の条件は、賞与が支給される前または支給された後に、コンプライアンス違反または非倫理的な行動が露見した場合に、適用される法律の下で利用可能な範囲で、取り消しまたは払い戻しの対象となるか。不正行為があった場合、会社は支払われた報酬を取り戻すための方針を持っているか。コンプライアンスや倫理を考慮した結果、具体的にどのような措置(昇進や表彰の拒否、報酬の払い戻し、繰延報酬の取り消しなど)が取られたか。
- 有効性 – コンプライアンス違反に対する効果的な結果管理をどのように実施してきたか。企業のホットラインの運営から、その企業のコンプライアンス文化や通報の管理状況を示すどのような知見が得られるか。会社全体(すなわち、2つ以上の異なる州、国、または部門間)で報告された類似の種類の不正行為について、または類似の状況にある会社がある場合はその会社と比較して、立証率はどのように比較されるか。会社は、特定の行為が比較的過大または過小に報告されている領域について、根本原因分析を行ったか。ホットライン報告に対する調査が完了するまでの平均時間はどのくらいか、また、担当部署によって一貫性のない調査がどのように管理されているか。不正行為に関与したことが判明した役員に支給された報酬のうち、倫理違反が理由で取り消しまたは払い戻しの対象となった報酬の割合はどうか。報酬制度の関連部分に適用される関連法および現地の事情を考慮して、その組織はコンプライアンス違反をどのように強制し、あるいは倫理的な過ちにどのような罰則を科そうとしてきたか。コンプライアンスに関連する活動を理由として、実際にどれだけの補償が(プラスまたはマイナスの)影響を受けたか。
III. 会社のコンプライアンス・プログラムは実際に機能しているか?
「企業組織に関する連邦検察原則」は、検察官に対し、「起訴決定時だけでなく、犯罪発生時においても、企業のコンプライアンス・プログラムの適切性と有効性」を評価するよう求めている。最初の調査が後ろ向きであるため、検察官が不祥事後のコンプライアンス・プログラムを評価する際に答えなければならない最も難しい質問の1つは、特に不祥事が直ちに発見されなかった場合、そのプログラムが犯罪時に効果的に機能していたかどうかである。
この質問に答える上で重要なことは、不祥事が存在したからといって、それだけでコンプライアンス・プログラムが機能していなかったり、違反時に効果がなかったりしたことにはならないということである。(「即座の犯罪を防止または発見できなかったからといって、プログラムが不正行為を防止および抑止する上で一般的に有効でないことを意味するものではない」を参照のこと。)実際、「いかなるコンプライアンス・プログラムも、企業の従業員によるすべての犯罪行為を防止することはできない。もちろん、コンプライアンス・プログラムが、適時の是正や自己申告を可能にするなど、不祥事を効果的に特定していた場合、検察官は、コンプライアンス・プログラムが効果的に機能していたことを示す有力な指標とみなすべきである。
企業のコンプライアンス・プログラムが不祥事発生時に有効であったかどうかを評価する際、検察官は、不祥事が発見されたかどうか、どのように発見されたか、不祥事の疑いを調査するためにどのような調査リソースが用意されていたか、企業の改善努力の性質と徹底性を考慮すべきである。
企業のコンプライアンス・プログラムが起訴決定時または解決時に効果的に機能しているかどうかを判断するために、検察当局は既存のコンプライアンス・リスクや変化するコンプライアンス・リスクに対処するために、そのプログラムが時間をかけて進化したかどうかを検討すべきである。また検察当局は、企業が、不正行為の要因と、今後同様の事象を防止するために必要な是正の程度を理解するために、適切かつ誠実な根本原因分析を行ったかどうかも考慮すべきである。
A. 継続的改善、定期的テストおよびレビュー
効果的なコンプライアンス・プログラムの特徴の一つは、改善し進化する能力である。実際に管理策を実施すると、必然的にリスクのある領域や潜在的な調整事項が明らかになる。企業の事業は、その事業を取り巻く環境、顧客の性質、その行為を規律する法律、適用される業界標準と同様に、時とともに変化する。従って検察当局は、企業がコンプライアンス・プログラムを見直し、それが陳腐化していないことを確認するための有意義な取り組みを行っているかどうかを検討すべきである。企業によっては、コンプライアンス文化を測定し、統制の強さを評価するために従業員を調査したり、統制が十分に機能していることを確認するために定期的な監査を実施したりしているが、評価の内容や頻度は企業の規模や複雑さによって異なる可能性がある。
検察官は、改善と持続可能性を促進するための努力に報いることができる。特定のコンプライアンス・プログラムが実際に機能しているかどうかを評価する際、検察当局は、”教訓に照らした企業のコンプライアンス・プログラムの改訂”を検討すべきである。(「その有効性を保証するためのコンプライアンス・プログラムの監査」)。検察官は同様に、企業が「犯罪行為を発見するための監視や監査を含め、組織のコンプライアンスや倫理プログラムが遵守されていることを確認」し、「組織の」プログラムの有効性を「定期的に評価」するための「合理的な措置」を講じているかどうかに注目すべきである。このような積極的な努力は、解決や起訴の形で報われるだけでなく(例えば、是正クレジットや量刑ガイドラインの下で適用される罰金額の引き下げなど)、さらに重要なことは問題を未然に防ぐことができる可能性があるということである。
- 内部監査 – 内部監査が監査を実施する場所と頻度を決定するプロセスは何か。監査はどのように実施されるか。どのような種類の監査が、不祥事に関連する問題を特定したのか。 そうした監査の結果、どのような発見があったか。どのような種類の関連する監査結果および是正の進捗が、経営陣および取締役会に定期的に報告されたか。経営陣と取締役会はどのようにフォローアップしたか。内部監査はどれくらいの頻度で高リスク分野の評価を実施しているか。
- 統制テスト – 会社は、不祥事に関連する分野のコンプライアンス・プログラムを見直し、監査したか。より一般的には、会社はどのような統制のテスト、コンプライアンス・データの収集と分析、従業員や第三者へのインタビューを行っているか。結果はどのように報告され、行動項目はどのように追跡されるか。
- 進化する更新 – 会社は、リスクアセスメントをどの程度の頻度で更新し、コンプライアンス方針、手順、慣行を見直したか。会社は、特定のリスク領域が方針、統制、または研修において十分に対処されていないかどうかを判断するために、ギャップ分析を実施したか。会社は、方針・手順・慣行が特定の事業セグメント/子会社にとって意味があるかどうかを判断するために、どのような措置を講じたか。会社は、自社の不祥事や同様のリスクに直面している他社の不祥事から学んだ教訓に基づいて、コンプライアンス・プログラムを見直し、適応させているか。
- コンプライアンス文化 – 会社はコンプライアンス文化をどのような頻度で、どのように測定しているか。倫理的な企業文化へのコミットメントを強化するための雇用とインセンティブの仕組みはどうなっているか。従業員が上級管理職や中間管理職のコンプライアンスに対するコミットメントを認識しているかどうかを判断するために、あらゆる階層の従業員から意見を求めているか。コンプライアンス文化の測定結果を受けて、会社はどのような措置を講じたか。
B. 不正行為の調査
効果的に機能しているコンプライアンス・プログラムのもう一つの特徴は、会社、その従業員、または代理人による不正行為の申し立てまたは疑いを適時に徹底的に調査するための、適切に機能し、適切な資金が提供される仕組みが存在することである。効果的な調査体制はまた、取られた懲戒または是正措置を含む、会社の対応を文書化する手段を確立している。
- 専門家による適切な調査 – 会社は、調査が適切に計画され、独立し、客観的で、適切に実施され、適切に文書化されていることをどのように確保しているか。
- 調査への対応 – 会社の調査は、監督責任者や上級管理職を含め、根本原因、システムの脆弱性、説明責任の不履行を特定するために利用されたか。調査結果への対応プロセスはどうなっているか。調査結果は社内のどのレベルまで報告されているか。
- 独立性と権限 – 不祥事の調査および裁定を担当する従業員に対する報酬は、コンプライアンス・チームが会社の方針および倫理的価値観を実施する権限を確保するような形で構成されているか。賞与を含む報酬、コンプライアンス担当者または懲戒プロセスに関与する組織内のその他の者の懲戒と昇進は、一般的に誰が決定するのか。
メッセージング・アプリケーションは多くの市場でユビキタスになっており、企業が成長を達成しコミュニケーションを促進するための重要なプラットフォームを提供している。潜在的な不正行為や法律違反を特定し、報告し、調査し、是正するための企業の方針と仕組みを評価する上で、検察官は、個人用デバイス、通信プラットフォーム、及びエフェメラル・メッセージング・アプリケーションを含むメッセージング・アプリケーションの使用を管理する企業の方針と手続きを考慮すべきである。このようなアプリケーションを管理する方針は、企業のリスクプロファイルや特定のビジネスニーズに合わせて調整されるべきであり、適切かつ可能な限り、業務関連の電子データや通信にアクセスでき、企業による保全が可能であることを保証しなければならない。検察官は、方針と手順がどのように従業員に伝達されたか、また、企業が方針と手順を定期的かつ一貫性をもって実践しているかどうかを検討すべきである。この評価を行うにあたり、検察官は以下の要素を考慮すべきである。 - コミュニケーション・チャネル – 企業とその従業員は、業務を遂行するためにどのような電子的コミュニケーション・チャネルを使用しているか、または使用を許可しているか。またその理由は何か。各電子的コミュニケーション・チャネルに含まれる情報を管理・保存するために、会社はどのような仕組みを導入しているか。各コミュニケーションチャネルにおいて、各従業員はどのような保存または削除設定が可能で、会社のポリシーはそれぞれに関して何を要求しているか。どのコミュニケーション・チャネルおよび設定が許可されるかを決定する会社のアプローチの根拠は何か。
- ポリシー環境 – 交換されたデバイスから通信やその他のデータが保全されることを保証するために、どのようなポリシーと手順があるか。セキュリティを確保したり、業務関連の通信を監視・アクセスしたりする組織の能力を管理するための関連する行動規範、プライバシー、セキュリティ、雇用に関する法律やポリシーは何か。BYOD(Bring Your Own Device)プログラムを導入している場合、メッセージング・プラットフォームに含まれるデータを含め、個人用デバイスに保存されている企業データおよび通信の保存とアクセスに関するポリシーはどのようなものか、またそのポリシーの根拠は何か。個人用デバイスとメッセージング・アプリケーションに関して、会社のデータ保持と業務遂行に関するポリシーがどのように適用され、実施されてきたか。組織のポリシーは、BYODやメッセージング・アプリケーション上の業務上の通信を会社がレビューすることを許可しているか。これらのポリシーに対して、組織でどのような例外や制限が認められているか。メッセージ、データ、および情報を保存および保持するために、従業員が私用電話またはメッセージング・アプリケーションから会社の記録管理システムに転送すべきかどうかに関して、会社にポリシーがある場合、そのポリシーは実際に遵守されているか、またどのように実施されているか。
- リスクマネジメント – 会社の通信手段へのアクセスを拒否した従業員には、どのような影響があるか。会社はこれらの権利を行使したことが あるか。会社は、ポリシーまたは会社に対してこれらの通信へのアクセス権を与えるという要件に従わない従業員を懲戒処分したことがあるか。個人用デバイスやメッセージング・アプリケーション(エフェメラル・メッセージング・アプリケーションを含む)の使用によって、組織のコンプライアンス・プログラムや、内部調査を実施したり、検察官や民事執行機関、規制機関からの要請に対応したりする能力が、何らかの形で損なわれたことはあるか。組織はどのようにセキュリティを管理し、組織の業務を遂行するために使用される通信チャネルを管理しているか。BYODやメッセージング・アプリケーションを含むコミュニケーション・チャネルの許可と管理に対する組織のアプローチは、会社のビジネス・ニーズとリスク・プロファイルに照らして妥当か。
C. 背景にある不正行為の分析と是正
最後に、実際に効果的に機能しているコンプライアンス・プログラムの特徴は、企業が不祥事の根本原因分析を熟慮し、その根本原因に対処するために適時適切な是正を行うことができる程度である。
コンプライアンス・プログラムの有効性を評価する検察官は、”犯罪的違法行為の程度と蔓延度、関与した企業従業員の数とレベル、違法行為の深刻さ、期間、頻度、および、例えば、以前のコンプライアンス・プログラムによって摘発された過去の違反者に対する懲戒処分、教訓に照らした企業のコンプライアンス・プログラムの修正など、企業によって取られた改善措置”を振り返るよう指示される。(FCPA 企業取締方針の下、「適時かつ適切な是正の完全な信用を受ける」ために、企業は「根本原因の分析」と、適切な場合には「根本原因に対処するための是正」を示すべきである)。
検察官は、「例えば、事前のコンプライアンス・プログラムによって摘発された過去の違反者に対する懲戒処分など、企業が行ったあらゆる改善措置」を考慮すべきである。(「直接参加または監督不行き届きによって、不正行為に責任があると会社が特定した従業員、および犯罪行為が発生した領域を監督する権限を持つ従業員を含む従業員に対する適切な懲戒」、および「不正行為の重大性の認識、それに対する責任の受諾、および将来のリスクを特定するための措置を含む、そのような不正行為を繰り返すリスクを低減するための措置の実施を示す追加的な措置」に注目)。
- 根本原因分析 – 問題になっている不祥事について、会社はどのような根本原因分析を行っているか。体系的な問題は特定されたか。社内の誰が分析に関与したか。
- 事前の脆弱性 – どのような管理体制が機能しなかったか。不正行為を禁止すべき方針や手続きがあった場合、それらは効果的に実施されたか。
- 支払いシステム – 問題の不正行為はどのように資金調達されたか(発注書、従業員への払い戻し、割引、小口現金など)。これらの資金への不適切なアクセスを防止または検出できたプロセスは何か。それらのプロセスは改善されたか。
- ベンダー管理 – ベンダーが不正行為に関与していた場合、ベンダー選定のプロセスはどのようなものであったか、またベンダーはそのプロセスを経たか。
- 事前の兆候 – 関連する管理上の不備や申し立てを特定する監査報告書、苦情、調査など、当該不正行為を発見する機会は事前にあったか。そのような機会を逃した理由についての会社の分析は?
- 改善策 – 将来、同じまたは類似の問題が発生するリスクを低減するために、会社は具体的にどのような変更を行ったか。根本原因および機会損失分析で特定された問題に対して、どのような具体的な是正を行ったか。
- 説明責任 – 不祥事に対してどのような懲戒処分を行ったか、またそれは適時に行われたか。管理職はその監督下で発生した不祥事に対して責任を負ったか。会社は監督不行き届きに対する懲戒処分を検討したか。問題となった行為に関する従業員の懲戒処分について、会社はどのような記録(懲戒処分の回数や種類など)を残しているか。会社は問題となっている種類の不祥事について、解雇またはその他の懲戒処分(賞与の減額または廃止、警告書の発行など)を行ったことがあるか。会社は、責任ある従業員に対する報酬を、適用される法律の下で実行可能かつ利用可能な範囲で返納または減額する措置をとったか。(結)
〈注記〉本資料に関し、以下の点をご了承ください。
- 本ニューズレターは2024年2月時点の情報に基づいて作成されています。
- 今後の政府による発表や解釈の明確化、実務上の運用の変更等に伴い、その内容は変更される可能性がございます。
- 本ニューズレターの内容によって生じたいかなる損害についても弊所は責任を負いません。