日本版SOX法の本質は文書化ではなく防犯だ：ビジネスに差がつく防犯技術（1）（2/2 ページ）

[杉浦司，杉浦システムコンサルティング,Inc]

性弱説に立って考えよう

　よく、性善説と性悪説とで議論が起きることがある。世の中、そんなに悪いやつはいないよとか、いや、誰でも根は悪いなどと。

　しかし、警察や司法関係者の立場は性善説でも性悪説でもない。あえていうならば、性弱説なのだ。

　社内で窃盗や横領に走ってしまう人たちの多くが、ほかの人以上に高い信頼を得ていることが多い。そうした人が、借金を背負ったり、家族が病気になったりしたときに、目の前にある不正への機会に“魔が差して”しまうのだ。

　一般的に、「動機」と「正当化」と「機会」の三要素がそろったときが、社内犯罪が起きる危険性が高まるとされている。

　例えば、家族が病気になってしまい医療費の支払いに困っているという「動機」に加えて、給与が不当に低いのだから少しくらい借りてもいいだろうという「正当化」と、金庫を自由に開けることができる立場にあるという「機会」がそろったときに、黙って金庫からお金を拝借してしまうという“社内犯罪”が起きるのだ。こうしたケースの場合、犯人は当初は良心的にお金を返していることが多く、そのうち、何度もお金を拝借しているうちに、返せなくなってしまうのである。

　お金を勝手に借りる行為が決して許されないことは、いうまでもない。

　しかし、もし、会社がもっとしっかりとした防犯の仕組みを築いていたら、この人は盗人にならないで済んだかもしれない。警察の防犯活動では、国民を犯罪から守るだけでなく、国民が犯罪者になってしまわないように保護している。遊ぶ金が欲しい、発散したいという「動機」と、親や先生が分かってくれないという「正当化」の2つをそろえてしまっている少年たちに、非行の「機会」を与えないようにと、警察官はパトロールしているのだ。

　学校だけが話題になっているいじめの問題も、会社の中ではハラスメントという呼び名で同じことをやっている。見て見ぬふりをする教師を責める前に、自分たちの職場をよく見てみるべきだ。

ブログも飲み屋も同じパブリックスペース

　この連載では、情報セキュリティについても、企業にとって欠かすことのできない防犯テーマとして取り上げていきたいと思う。

　情報セキュリティといえば、ウイルス対策とバックアップくらいしか意識していない企業も多いが、本来、企業活動においては、他社に知られてはまずい営業機密がいっぱいあるはずである。

　ところが、「自社の営業機密は何か？」について、しっかりと把握できている企業は少なく、それどころか、社員も役員も平気で営業機密を漏らしている。ブログで会社の情報を公開していた従業員が新聞ざたになることがあったが、飲み屋で酒を飲みながら大声で仕事の話をするお偉いさんとどこが違うというのだろうか。

　企業にとって、最も重要な情報セキュリティの目的は、商売のネタである情報を他社に知られないようにすることのはずである。

　仕入先と顧客を知られてしまい、不満を持つ社員や退職者を何人か引き入れられてしまって、同業者として立ち上げられたとしても、取引優位は変わらないと自信を持てる会社はどれほどあるだろうか。野球でもサッカーでも優れた監督は、大事な戦術練習は非公開にする。ノーガードで打ち合う会社が、チャンピオンの座にいつまでもいられるわけがないのだ。

日本版SOX法の本質は文書化ではなく防犯である

　上場企業はいま、日本版SOX法への対応で3点セット（業務フローチャート、業務記述書、RCM：リスクコントロールマトリックス）の文書化作業で忙しい。

　しかし、日本版SOX法対応で求められているものは果たして文書化だろうか。

　3点セットは内部統制システムを構築する中で有効な方法として例示されたにすぎず、決して目的ではない。リスクを漏れなく識別してリスクの大きさを見誤ることなく評価し、リスクに対するコントロールを設計して、そのコントロールが有効性を失っていないかモニタリングする仕組みを考えることが、日本版SOX法対応である。

　リスクを探すことにあまり時間をかけずに、与えられたテンプレートで業務フローを書くことに必死になっている上場企業を見ていると、不安ばかり募ってくるのは筆者だけなのだろうか。

　賢明な読者よ、文書化の大合唱に惑わされてはいけない。日本版SOX法対応の本質は「防犯」である。

次回の予告

　次回は、現代企業にとって、いかに防犯意識を持つことが重要になってきているかについて、さらに踏み込んで説明してみたい。

　安心安全を確保できない企業は今後、取引先選定をクリアできず、提案見積もりの機会すらもらうことができなくなる。防犯意識のない会社にもはや未来はないといっても過言ではないのだ。

筆者プロフィール

杉浦 司（すぎうら つかさ）

杉浦システムコンサルティング,Inc　代表取締役

京都生まれ。

• 立命館大学経済学部・法学部卒業
• 関西学院大学大学院商学研究科修了

京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。

「ビジネスに差がつく防犯技術」バックナンバー

• “企業に役立つリスクマネジメント”を振り返る
• “企業に役立つ防犯技術”を振り返る
• 目的意識の低い内部監査では意味がない
• 財務諸表は不正探知のレーダーだ
• リスクに対応できるモニタリング技術とは
• 最強武田軍は組織と人を重んじた
• なぜ幹部は褒めるべき社員をしかってしまうのか
• 意味も分からず2ちゃんねるを規制していませんか？
• 人の心の弱さを突くソーシャルエンジニアリング
• 日本企業の弱点はリスクアセスメントにあり
• 内部統制はリスクアプローチを求めている
• 営業や経理職への“無条件の信頼”が危ない
• Winny事件は防犯意識のなさが生んだ必然
• 日本版SOX法の本質は文書化ではなく防犯だ