1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. コンプライアンスと危機管理(前編) ~監査法人トーマツ 丸山満彦氏に聞く~

コンプライアンスと危機管理(前編) ~監査法人トーマツ 丸山満彦氏に聞く~

2005年4月より施行されたe-文書法により、領収書、契約書、請求書、送り状など多くの文書・帳票の電子保存が認められています。これにより、業務はどう変わるのか? プロセス、コストとセキュリティ確保の観点からインタビューしました。

監査法人トーマツ 丸山満彦氏

丸山満彦氏
(監査法人トーマツエンタープライズリスクサービス パートナー 公認会計士)

1992年、監査法人トーマツ入社。1998年から2000年にかけてアメリカ合衆国のDeloitte&Touche LLP デトロイト事務所に勤務。大手自動車製造業グループ他、米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連の監査およびコンサルティングを実施して現在に至る。

コンプライアンスとは社会の期待に応えること

★現在、企業の不祥事が増えている中で、「コンプライアンス」という言葉をよく聞きます。「法令遵守」と訳されることも多いこの言葉、丸山さんはどのように定義していますか?

―コンプライアンスという言葉は、もともと「準拠する」といった意味なんですけど、「何に」というところまではこの言葉では定義されていない。それは、法律であったり、規則であったり、命令であったり、いろいろあるわけです。私自身は、コンプライアンスというのは、企業として、社会の期待を守る、応えるということが重要だと考えています。たとえば、食品会社であれば、法律で決められているわけじゃないんだけど、「安全で安心な食品はこういうものだ」ということを自分たちで決めて、それを消費者に伝えて、伝えた内容を守る。そういうことが重要なのではないかと思っています。  法律は最低限守らなければいけないものです。法を守ればコンプライアンスができているかといえば、それは非常に狭い意味のコンプライアンスだと思います。今求められているコンプライアンスでは、「最低限の法律を守ってればいい」という姿勢は通用しないでしょう。では何を守るのかといえば、「社会から受けている期待」と「自分たちで決めてやろうと思っていること」だと思うんですね。「わたしたちの会社は、安全で健康によい食品を提供することに気をつけてものづくりをしていきたい」と決めて、それに従ってものをつくる。  法律を守るのは当たり前。それに加えて、自分たちが正しいと思ったことをやっていくことが、今社会から求められているコンプライアンスだと思います。

★社会の期待に応える、というとCSR(企業の社会的責任)にも通じることですね。

―はい、そういう意味ではCSRと同じです。CSRの場合、国際的にガイドラインみたいなものをつくって、CSRの評価、観点を国際的に合わせていこうという話をしているんですね。つまり、CSRという基準をつくろうという動きです。

★コンプライアンスという自主性に任される部分と、それを標準化していこうというCSRという動きがあって、さらに最低限守らなければいけないというラインに法律がある、と。

―そうですね。まず法律は守りなさいね。でもそれだけじゃだめですよ、ということです。

★某ガス機器メーカーの場合も法的には問題なかったと言われていますね。

―そのガス機器メーカーの場合だけではないですが、製品事故が報道されると、不買運動がおこったり、株価が下落したりする場合があります。株価が下落したり、収益が減少すれば、株主に迷惑をかけますよね。そして大きいのは、消費者に被害や不安を与えることです。つまり社会の期待に応えていないことになります。

★今、企業のウェブサイトのコンプライアンス方針を読むと、だいたい「法令を遵守いたします」と明言してありますね。しかし、法律は守っていた、でも人が死んでしまった、というような事件が起こってしまいます。法とそれ以外の自主性に任されている部分の隙間で起こる事件はなくならないのではないでしょうか。

―法律は、社会の最低限のルールとして国会で決める話なので、全員が法律を守ったからといって社会が安全になるわけではありません。そういうことを国に求めるのは間違っています。そもそも人が人として当然にすべきことを自らの意思でちゃんとすることが重要です。それでも、人の自主性に任せていたら社会的に損失が起こりえると判断されれば、国が法律をつくって人に守らせるということになります。したがって、法律に定められた手続きだけを守っていれば問題がないと思っては会社のリスクマネジメントとしてはだめです。まずは、自らの信念に基づいて正しいことをしようとすることが重要ですね。 例えば、法律には明確になっていなかったとしても事故が起こった場合は、きちんと社内で原因を調べて、すみやかに再発防止対策などをすることが重要となるでしょう。同じ製品等を利用している消費者に注意喚起をする、自主的に製品回収をするといった対応が必要となる場合もありえます。リスクが顕在化してしまえば危機管理が重要となります。

コンプライアンスと危機管理、CSRとの関係は?

★コンプライアンスと危機管理というのは重なる部分なのでしょうか。

―今日の社会の期待の中に危機管理も含まれていると考えていいと思います。 社会の期待って変わるんですね。会社の規模が大きくなれば当然変わるし、世の中の意見が変われば変わってくる。それを敏感に感じとって、「これは今ちょっとホットな話題だから、ちゃんと対応したほうがいいな」とか、「これは昔ほど言われていないからいいかな」とか、そのバランスをとりながらやらないといけませんね。  常に社会の期待を意識すること。自分も変わるし、相手も変わる、どっちも意識していくのが大切です。

★しかし、企業の場合はまず利益優先、というのが普通ではないでしょうか。

―もちろん、株式会社は、利益を出すことが求められます。株主に対しての当然の責任です。ただし、法律を守った上で利益を出すということです。さらに、社会の期待に応えなければ長期的な利益の確保もできませんよね。大きい会社ほど、社会に与える影響が大きいです。大企業の予算規模は小さな国のそれより大きいこともありますから。国よりも大きな力を持つ企業が変なことしたらだめでしょ、ということは重要ですね。  こういうことは会社だけじゃなくて、人でもそう。「ノブレス・オブリージュ (noblesse oblige)」という言葉があります。これは、フランス語で「貴族の義務」あるいは「高貴な義務」という意味で、「財産、権力、社会的地位には責任が伴いますよ」ということです。こういう考え方は世界共通で、昔からあるんですね。

★企業なり、個人なり、社会的に強い影響を持つ場合は責任があるというわけですね。  

企業なり、個人なり、社会的に強い影響を持つ場合は社会に対して大きな責任をもつべきであろうと私は思っています。私がアメリカにいて驚いたのは、アメリカのお金持ちってすごく寄付するんですよ。アメリカの社長は会社のお金ではなくて自分のお金で寄付するんです。  アメリカの場合、会社の金は株主の金という意識が強いですから。会社のお金で社会的貢献をするというよりも、自分がそうしたいと思ったら自分のお金で寄付をする、とそういう意識があるような気がします。もちろん、個人差があるので全体的な傾向としてという意味ですが・・・。

★だとすると、アメリカではあまりCSRということは言われないのでしょうか?  

CSRというのは、国によって捉え方も違いますから、日本のCSRとはちょっとニュアンスが違うかもしれません。アメリカの場合、マイノリティーへの配慮とか、人権侵害、児童保護などに注目があつまりやすいのかもしれません。やはりその国の主要な問題に企業がどう関わっていくかということが問われるのだと思います。

コンプライアンス時代の経営者のあり方

★今回の内部統制では経営者の意識ということが繰り返し問われています。逆に、たとえば従業員がそれなりにコンプライアンス意識を持っていたとしても、それを反映させるのって難しいですよね。やはり経営者の考えかたが大きいと思うんですが、丸山さんがはそのへんのところどう思ってますか。

―経営者は内部統制を無効にしてしまうことができるので、経営者の不正をとめることは難しいです。従業員が一生懸命法令遵守をしていても、経営者がその努力をすべて無駄にしてしまうこともありますね。経営者は、利益をだすことが重要ですが、その前提として社会の基本的な約束事として少なくとも法律をまもって利益を出してくださいということですから、利益を出すよりも法律を守ることが重要なわけですね。さらに長期的な視点でいえば社会の期待に応えた対応をしなければ短期的には利益がでても長期的な利益は確保できないということになります。このあたりの意識を経営者が持たなければ、従業員がいくらコンプライアンス意識をもったとしても会社全体としてのコンプライアンスはできませんね。

★本末転倒であることには間違いないのですが、ただ従業員を守るがために不正をしてしまった、なんていう経営者のメンタリティもありそうですね...。

―それは経営者の覚悟が足りないのです。結局不正をして事故が起こったら皆に迷惑がかかるんです。普段からそういうことを考えていなければいけません。  隠したいという気持ちは元をたどれば、「自分を守りたい」という保身の気持ちから出てくるもの。自分の立場を考えるから隠したくなるんですよね。「俺は最後に死刑になってもいいから何とかしなくては」という気持ちがあれば、隠しませんよ。会社を守りたいといいながらも結局は自分を守りたいということなんでしょうね。  昔の戦争は大将が腹を切って済ませる場合があります。秀吉の有名な高松城の水攻めの話しがありますが、その時は、高松城主の清水宗治が自分の命と引き換えに城兵の命を救いました。戦国時代でもこのような人ばかりではなかったと思いますが、それでも城主ともなれば相当な覚悟であったと思うんですね。  自分が目をかけていた従業員などが不正をした場合でも、経営者はやはり厳正に対応しなければなりませんね。―「泣いて馬謖(ばしょく)を切る」という言葉がありますよね。かわいがっていた部下であっても、不正があったら切らなきゃいけない。そういう覚悟が必要ですね。

★そのような覚悟が、現代の「大将」である企業の社長には欠けているということですね。

―もちろん、会社の社長は不祥事になっても、会社がつぶれても命まではとられませんから、昔ほどの覚悟はいらないけど、ある程度の覚悟は持って欲しいわけです。現在は法治国家なので、最低、法律を守る覚悟は持ってほしいわけです。大企業であれば自らの社会的な影響力を考えてそれ以上の社会の期待に応える経営をしてほしいわけです。現代社会の要請ですね。社長の報酬をもっと上げるのもいいと思いますよ。10億やるから真剣にやれ、と。3千万とか4千万とか、社員よりちょっと多いくらいじゃ覚悟も決まらない。アメリカは逆にもらいすぎといわれてますけどね。あれはもらいすぎた上に責任とらないからいけないわけで。日本の社長は少なすぎるかもしれません。

★日本の経営者はサラリーマンのゴール地点、といわれていますしね。

―従業員から社長をだすのであれば、社長になるべき人に対して早めに帝王学を学ばせることが重要かもしれません。逆に非上場の同族会社の社長に覚悟と自信がある場合があるんですよ。創業者社長で成功した人は覚悟があるんですよね。自信過剰となって、他人の意見をきかずに失敗する社長もいますが。

★外部から呼んでくる社長はどうですか?腹を切る覚悟がなさそうですが。

―一概にはいえないように思います。いずれにせよ、社長になれば覚悟を決めてもらわないと、従業員も気の毒ですね。

コンプライアンスと危機管理(後編)~監査法人トーマツ 丸山満彦氏に聞く~後編へ
関連キーワード:

コンプライアンス

  • リッチテキストファイルにマルウエアを組み込む手口が多発?
  • カテゴリートップへ
  • 日立システム情報セキュリティブログ リニューアルのお知らせ