SOX法とコンプライアンスとIT：何かがおかしいIT化の進め方（27）（2/3 ページ）

[公江義隆，＠IT]

問題を整理してみると

　結果的にこのような問題が発生した場合、一般的には次の2つのケースに分類できると思う。

（1）意図したわけではないが、結果的にプログラム仕様が正しくなかった、プログラムや運用にミスがあったなどにより、データが不適切に処理されていた。その結果、法令が遵守されなかった

（2）直接・間接はともかく、法令の網をくぐり抜ける意図が背景にあって、不正な仕様のシステムを開発・運用し、事実の偽装や問題の隠ぺいができるようになっていた

　（1）は、その結果の重大さは別として、過失といえるケースである。問題の多くはIT側にある場合が多い。業務の理解不足やコミュニケーションミス、ちょっとした仕様上のミス、確認ミス、プログラムのミス、テストのミス、あるいは運用上のミスが結果的に大きな問題を引き起こす場合である。

　しかし、もし最初に業務や周辺の条件を十分に理解していたら、間違った仕様を作る可能性は減るし、後段の作業へのブレークダウンの過程や、テストでこのような部分に特に注意を払う指示をするなど、マネジメント機能によって、問題発生を避けられる可能性の高い問題である。

　これに対して意図的である（2）は、多くの場合が組織的である。IT部門やIT担当者にとって、自らこんなことを意図的に行うメリットがほとんどないからだ。誰かから求められてやった、誰かの期待に応えようとしてやったと考えるのが多くの場合に自然である。

　そして、その場合にも2つのケースが考えられる。1つは「顧客やユーザー部門から、いわれたとおりの仕様でプログラムを作っただけ」というケースである。「業務のことはよく分からないので、指示されたとおりに……」とIT担当側がいい訳をしても、結果的に不正のほう助をしたことになる。「知らなかったからやった」ということが、少なくとも道義的に許されるわけではない。知らなかったこと自体がプロとして問題である。

　2つ目には「不正であることは分かっていてやった。あるいは相手の直接・間接の要請から方法を提案した……」など、消極的・積極的は別として、結果的に共同で不正をやってしまったという場合である。

1つ目の問題：法令を知らずに法令遵守はできるのか？

　上記のケースから2つの重要な問題が浮かび上がってくる。

　第1の問題は、システムの仕様をまとめるSEには、対象業務分野にかかわる法律や、ユーザー組織の社内規定などに対する関心と理解が必要になるということだ。しかし、その対象は無数にある。この問題は、座学による知識教育やCD-ROMを配って解決する問題ではないのだ。ここで特に重要になるのが、SEのコンピテンシー（※）である。

---

※コンピテンシー：成果を生み出すために行動として安定的に発揮される能力―単なる技術や知識ではなく、習慣化されている行動・思考・価値観・人の基本動機などに基づく

---

　まず、上記のケースなら、

（1）「当該ユーザーや、そのシステムが対象とする業務分野には、どんな法的規制や協定があるだろうか？」といったことに思いをはせる

（2）「それならちょっと調べてみようか」と、自分で調べるかその分野に詳しい人を見つけて聞くなど（回りにそんな人を持っている）方法は問わないが、すぐ気軽に行動に移る

（3）詳細は別として、その法律の内容の大枠と、基本的な目的や考え方を短期間で把握する（法律などの専門知識の不足を補うのは社会常識である）

（4）仕様の重要部分を適切な相手と確認する

　上記のような行動が、習慣として自然にできるか否かが重要な岐路になると思う。（1）〜（4）のような行動を評価し、習慣付けていくための、マネジメントの役割が非常に大切になる。従来、“もの作り”こそが仕事であり、多忙をいい訳に、周辺のこのような問題は個人の問題としてきてはいないだろうか。

　行動特性の育成は、組織、つまり“場”の雰囲気・価値観に大いに依存する問題だ。これらを作っていけるのはマネジメントに携わっている人でしかない。

　効率性・迅速性など、目先の作業を前に進めることのみを重視する組織では、下流の“もの作り”フェイズに関心が集中しやすく、業務の理解、関連分野や周囲環境や社会環境への関心を高める動機が生まれない。これは、コンプライアンスという面で、極めてリスクの高い体制だ。

　前へ一歩前進していくため、組織の中で、まず「問題の認識」、次に「意識の共有」すること、そして「日常の仕事の中に取り込み・習慣付けていく」「成長を評価する」「これらの一連のプロセスを辛抱強く継続する」ことによって、初めて行動特性・能力が育っていく。「急がば回れ」である。

2つ目の問題：法令を知れば法令を守れるのか？

　“法令遵守―コンプライアンス”を大方針に掲げる企業は多い。多くの企業では、これに関する社員の教育にもかなりのエネルギーを割いてきたと思う。しかし、本音とこの掛け声の間や、掛け声と日常の作業の間にギャップはないだろうか。また掛け声を現場作業にブレークダウンする仕組みが組織として整っていなければ、この大方針は絵に描いたもちに終わる。

　内部統制のコンサルや研修を行う監査法人が粉飾決算に手を貸していたり、コンプライアンスを掲げる一方で談合を繰り返す業界もあった。問題は簡単であっても、答えは、特に過去のしがらみを抱えているところにとっては、なかなか難しい問題のようである。

　日本の社会には「お家大事」という価値観の土壌がある。かつて、会社のため（？）に法に触れることをし、刑事被告人の立場にありながら経営トップにとどまり続け、社業を大きく発展させた航空会社の社長がいた。当時は、内外からの批判はそれほど強くはなかったようであった。

　現在でも「金銭の私的使用はなかった」といって、何となく免責するような空気が残っている。つまり個人が私服を肥やすために周囲に迷惑を及ぼすのはけしからぬが、所属する集団のためなら容認するという心情である。

　なお、ここでいう集団には、小は家族や身近のコミュニティ、大は国や全人類といったいろいろなケースがあるが、要はある行動によって「利益を受ける集団と利益の内容」対、そのために「不利益を受ける集団と不利益の内容」とのバランスいう相対的な問題の場合が多い。自分の側の利益は分かっても、それによる他人の不利益はなかなか理解できないものである。それ故に越えてはならない一線としての法律がある。

　最初の製鉄所のケースの続報で、データの改ざん・隠ぺいは、二十数年も前から行われていたことが判明したとあった。数年前にコンピュータ化する際にも、この問題はそのままシステム仕様となって継承された。現在までの長い期間の中で、理屈からはこんな悪弊を是正する機会は何度かあったはずであるが、そうはならなかった。