事業継続性を高めるERM導入のススメ

事実を証明できますか? 内部リスクを知る方法ERMへ向かう企業経営

経営を脅かす重大なリスクの芽は、日常業務のデータの中にも潜んでいる。万が一の事態において、事実を正しく証明できる準備は整っているだろうか。

» 2009年02月26日 08時10分 公開
[國谷武史,ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「事業継続性を高めるERM導入のススメ」でご覧になれます。


 企業活動に伴って生じる可能性があるリスクは、製品やサービスの開発・提供、顧客との関係、組織内や取引先との人間関係、業務ミスなど広範囲に及ぶ。顧客対応において配慮を欠いた従業員の暴言が社会問題にまで発展することもある。日常の1コマで生まれた小さなリスクであっても、それを放置すればビジネスに大きなダメージを与える。

 いかに立派なリスク対策のプランを用意していても、リスクの芽を把握する仕組みを持たなければそのプランを正しく機能させるのは難しい。リスクにつながるさまざまな要因を知り、それらを事実として受け止めながら適切に行動することが企業に求められている。

米国訴訟に不可欠な電子の証拠

 米国で事業を営む企業にとって欠かせないリスク対策の1つになるのが、「eディスカバリー」と呼ばれる制度だ。eディスカバリーは、製品やサービスに対する消費者からの民事訴訟や知的財産の所有を巡る民事訴訟などにおいて、事前に被告と原告が必要となる電子的な証拠を開示する制度。電子メールや業務データといった訴訟内容に関連する適切なデータを当事者双方が提出し、それらの資料を基に弁護士や裁判所が公判を実施するか、和解などを行うかを判断する。

 近年の企業活動においてITは不可欠なものとなり、訴訟に必要となる証拠が電子データである場合が珍しくなくなった。2006年に米連邦裁判所の民事訴訟規則に、eディスカバリー実施に関する詳細な取り決めやルールが定められた。

 eディスカバリーを行う際には、事前に企業の担当弁護士や被告(もしくは原告)の企業担当者が開示するデータの内容や調査・分析の方法、開示プロセス、必要なコストなどを取りまとめ、裁判所や相手方にその概要を伝える。双方の当事者から提出された内容に応じて裁判所がeディスカバリー実施の有無を決め、実施する場合には必要なデータの消去や破棄、改ざんを防ぐ目的で、関連するすべてのデータの保全が義務付けられる。違反があれば、証拠の開示以前に制裁金などの処分が適用されることもある。

eディスカバリーの実施プロセスモデル。必要となるデータの定義化や抽出方法(検索キーワードなど)の設定、実施の有無の検討、データの分析、開示資料としての取りまとめなどの手順が定められている(出展:「The Electronic Discovery Reference Model」)

 しかし、企業内に存在する膨大な電子データの中から開示に必要なデータを抽出・特定するのは多大な手間とコストを生じることになり、さらにデータの分析や開示内容に取りまとめるにも技術や法務などに関する高度な専門知識が求められる。このため、実際の作業は証拠の正当性を担保する目的も含めて第三者に委託するケースが一般的だ。

 eディスカバリーの実施に必要なコストが数千万円から数億円になる場合があり、開示プロセスに不備があれば制裁金を課せられる恐れもある。米国で活動する企業には、突発的な訴訟へ対応できるよう従前からeディスカバリーを実施できる準備が求められている。

リスクの芽を捉える環境作りを

 米国でeディスカバリーの支援業務を行うJi2の松本一文氏によれば、ある大手企業では年間10件程度の公判を抱えているが、実際には公判に至らないケースを含めると年間100件程度の訴訟が発生している。

 「製造者責任や知的財産に関連する訴訟は年間1万件程度あり、そのうち数%が公判に発展している」(松本氏)。公判に至らないケースでも、eディスカバリーが伴う事案が多数に上るとみられている。

 企業が提訴される背景には必ずしも企業側に一方的な原因が存在するわけではない。しかし、松本氏は「内部不正を防止するという観点でも、eディスカバリーを参考に突発的なインシデント(重大事故)において事実関係を迅速に把握する仕組みを普段から用意しておくべきだろう」と話す。

 例えば近年はコンプライアンスや内部統制に対応する目的で上場企業の多くが電子メールのアーカイビングシステムを導入しているが、リスク対策を念頭にした環境を構築しているケースは少ないと松本氏は指摘する。

 「ある企業ではメールシステムを10システム保有していたが、アーカイビングは個別に実施していた。内部関係者が不正行為をした場合、やり取りした電子メールデータを探すだけでもすべてのシステムを調べなければならず、多大なコストと手間が生じる」(松本氏)

 この場合、すべてのメールシステムのデータを1つのアーカイビングシステムに集約する必要がある。システム構築に伴うコストが発生するが、eディスカバリーのような事後対応における作業コストや手間を考慮した場合、必ずしも無駄にはならないという。

 「すべてのメールデータを監視、保管していることを従業員にも周知する。それにより、従業員が不正を行うリスクが大幅に緩和され、万が一の場合でも証拠データの収集や分析を適切に行えるだろう」(松本氏)

 J-SOXなどを契機に数多くの企業が内部不正などの経営リスクに備える環境作りを進めている。システムによってこうしたリスクの発生を抑止する場合、リスクの予兆を知るための情報が正しく把握できることを十分に考慮した設計や構成が重要になる。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ