新しい法制度に対応したコンプライアンス・プログラムの定立を

コンプライアンス経営実践のヒント 

自動車メーカーによる燃費データの改ざん、旅行会社からの顧客情報流出――。この１年間に表面化しただけでも、日本を代表する企業が絡む不祥事は数知れない。未然防止を目的とした法制度が整えられる中で、なぜ事件は後を絶たないのだろうか。

髙野一彦

この十数年の間に、企業の内部統制強化を目的とした法制度は着実に整備されています。

それでも不祥事が絶えないのは、企業においてこれら法制度が求める体制の構築と運用が不十分であることが原因の一つといえるのではないでしょうか。今回は、そのポイントをわかりやすく紹介したいと思います。

新しい法律が求める要点を理解する

自社の体制を見直す前に、近年整備された法制度の特徴を理解しておく必要があります。新しい法制度には大きく３つの特徴があります。

第一に、親会社等による企業グループ管理が強く求められるようになったことです。会社法成立以前、企業は親会社からリスクの高い事業などを切り離し、子会社として別法人化することでリスク回避を図っていました。リスクが顕在化しても親会社に影響が及ばないように、できるだけ子会社の経営に親会社が立ち入らないようなグループ管理を行なっていた観があります。

ところが、2006年に公布された会社法施行規則には、内部統制システム構築義務の一つとして、親会社等の取締役に企業グループ管理の義務が課せられたのです。2014年成立の改正会社法ではさらに、強く求められる内容になりました。

第二は、企業内の自浄努力の仕組みを要求されるようになったことです。近年、法の牽制機能の主役は公的機関から〝私人〟へと移ったといわれています。従前は、行政機関が許認可権を行使することで産業界に対して強い影響力を持ち、それが企業不祥事の抑止力になっていました。ところが現在、法は企業自身に自浄努力を求め、さらに違法行為の摘発と追及を私人に委ねるようになりました。

わかりやすい例を挙げれば、公益通報者の保護に関する法制化、取締役の善管注意義務としての内部統制システム構築義務の明確化などがこれにあたります。近年の企業不祥事の多くは、内部告発により発覚しており、株主代表訴訟の件数も増加しています。企業そのものに内部のネガティブな情報をいち早く把握させ、自浄努力で不正を防止する体制整備を求めたのです。

第三は、「ソフトロー」と呼ばれる、企業の中でのみ拘束力を持つルールによる企業統治が求められるようになったことです。例えば、個人情報は業種・業態に関係なくすべての企業が保有しています。したがって個人情報保護法は立法技術上、条文を明確に規定することが困難で、結果として適法・違法の判断が難しい、グレーゾーンの広い法律条文となっています。

例えば情報セキュリティー体制の構築を事業者に課した、個人情報保護法の安全管理措置（第20条）では、個人情報取扱事業者に「必要かつ適切な措置」を講ずることを義務づけています。この条文を現場に示しても、どこまでの措置を講ずれば適法なのか判断ができません。したがって、「当社では、適法ラインをこう考える」と企業独自のルールを定立し、これを現場で運用する必要があります。

こうした法の変化に対応するためにも、企業はグループ横断的なコンプライアンス体制を構築するとともに、適法性判断が難しい個々の法分野には企業グループ独自のルールを策定し、判断基準を共有する必要があります。

※本記事は、マネジメント誌「衆知」2017年3･4月号、「コンプライアンス経営実践のヒント 」連載第5回より一部を抜粋編集したものです。