この記事では、よく規程の整備が求められる事項について、具体的な対応策をリスクマネジメントの観点から分析し、具体的な対応策を検討します。今回のテーマは「有事対応」。具体的には、コンプライアンス違反や情報漏洩、自然災害が生じた場合の対応を扱います。また、当団体では、これらの何か事故が起きた場合の対応のことをまとめて「クライシスマネジメント」として、規程でまとめています。
リスクを検討するときには単に「コンプライアンス」、「情報漏洩」、「自然災害」と抽象的に考えるのではなく、実際にコンプライアンス違反や自然災害等が発生した場合に、具体的に団体にどのような影響があるかという点までセットで考えることが重要です。本記事では、コンプライアンスリスクを例として、団体としてどのような有事対応が必要となるのか、平時のリスクマネジメントの取組の中で、実際に有事対応が必要な事態に備えてどのような策を検討しておくべきかといった点について解説します。
Ⅰ はじめに 有事対応とは?
有事対応とは何でしょうか?この記事では、組織が抱えるリスクが実際に顕在化した場合における対応を指して有事対応と表現しています。
組織が抱えるリスクには、種々の性質・大きさのリスクがあります。そもそも、リスクマネジメントの意義は、リスクの大きさを発生可能性、影響度といった視点で具体的に分析し、有限な経営資源を、組織の目標達成にとって重大な影響を及ぼすリスクに対する対応に注ぐという点にあります(リスクマネジメント全体についてはリスクマネジメントとは何か?をご覧ください)。
・ 法令違反等のコンプライアンスリスク
・ 役職員の逮捕、刑事訴追、SNSにおける炎上等による信用毀損リスク
・ 自然災害関連リスク(地震・風水害等の自然災害関連のリスク)
・ 事故・犯罪リスク(団体に対する脅迫、詐欺的行為、施設における火災・事故・盗難・器物損壊等によるリスク)
もっとも、いかに平時のリスクマネジメントに取り組んだとしても、リスクを抱える事業活動を一切止める(回避する)場合を除き、リスクの顕在化を完全に防ぐことは不可能です。リスクが発現した後の対応(特に初動対応)を誤った場合には組織の信用・評判や事業継続に及ぼす悪影響が拡大するおそれもあります。有事対応とは、リスクマネジメントプロセスの一環として、実際にリスクが顕在化した場合に、組織の存続や基盤を脅かすような重大な影響に発展することのないように、負の影響を可能な限り低減するための一連の取組を指すものです。
Ⅱ 有事において必要となる対応の具体例
そもそも、重大リスクが顕在化した段階において、どのような有事対応が必要となるのでしょうか。例えば、企業やNPOなどの組織において、重大な不正行為・不祥事が発覚した場合には、関連するステークホルダーに対する対応方針・説明等の検討、対外公表の要否について検討する必要があります。
まず、組織外のステークホルダーとして、組織が営む事業(商品・サービスの提供)の相手方(顧客等)、事業を営む上で連携が必要となるパートナー(調達先・外注先を含む)、組織の事業継続に必要な資金等を提供する主体(投資家、資金提供団体、金融機関等)、関係する行政機関や公的機関など、組織の事業内容・性質・規模によって多様なステークホルダーが存在します。不正・不祥事により直接的被害を被った当事者はもちろん、間接的な形で影響を受けるステークホルダーも含め、当該組織と利害関係を有する主体に対しては、事案概要や相手方に対する影響の説明(必要に応じて補償)、信頼回復のための原因分析・再発防止の実施・進捗等についての説明を求められる場合があります。
事案の内容・性質・規模や組織による説明等の対応状況次第では、ステークホルダーからの理解が得られず、取引や資金提供等の中止、記者会見等の公の場での説明を求められるといったケースもあります。
さらに、不正の内容によっては、民事訴訟や当局からの捜査・刑事訴追を受けたり、行政から不利益処分を受けたりする可能性もあり、不正についての事案の解明のみならず、どのような対応をとるかの判断に際しても、法的リスクを考慮する必要が生じます。
このような有事対応において、特に重要となるのは、以下の2点です。
- 各種対応の判断の基礎として、どのような事実が確認できていて、どのような事実が確認できていないのかの区別・整理
- 前述の区別・整理を前提に組織として、いつ、何のために、どのような情報を誰に説明するかを統一的に判断し、対応をすること
上記の内容が徹底できていない場合には、組織の役員やスタッフが個別に取材等で質問を受け、不用意に虚偽や誤解を招く説明をしてしまうことで、組織に対する更なる批判を招いたり、内容によっては行政処分や捜査等につながるおそれもあります。したがって、顧客等のステークホルダーに対する説明、対外公表の内容等については、その時々に有している情報を踏まえ、一定の説明や回答を公にした場合の影響等も踏まえながら統一的に準備・対応をしておく必要があり、弁護士など専門家を適宜起用・助言を得ながら進めることが必要となります。
他方、組織内に目を向ければ、役職員やスタッフ、ボランティア等にとっての業務上の障害、負荷も大きく、組織内に対しても、単に取材を受けた場合のQ&A等の対応のみならず、定期的な説明や方針共有、再発防止策の実施等の対応が求められます。
Ⅲ 有事対応の特色を踏まえたリスクマネジメントプロセスの重要性
平時のリスクマネジメントとは異なり、有事対応を難しくさせる要因はその非日常性・緊急性にあります。通常と異なり、上記Ⅱで挙げたような内外に対する重要な対応について、緊急の判断・対応を迫られるという時間的制約、また、事態が日々刻々と変化し、調査が進むまでは事実関係やステークホルダーの対応などについて不確実性が高い状況で対応を進めざるを得ないという難しさがあります。
このような観点を踏まえれば、有事対応で失敗しないためには、以下の(1)から(4)で紹介するような平時のリスクマネジメントからこれを意識した仕組み・取組を行うことが重要です。
(1)不正等のリスク情報の早期把握・調査のための仕組み
そもそも、組織自らが不正や不祥事を発見し、早期に是正・再発防止の対応をとることができれば、万が一、社外から指摘を受けた場合であっても、十分な情報をもとに説明等の対応方針を準備することが可能となります。他方、社外からの告発等が契機となって組織が自ら不正を発見・是正する前に不正が発覚した場合には、事実調査と並行する形で説明対応を求められ、それゆえに十分に説明ができない、説明をしたとしてもその内容が後に結果として虚偽と批判を受けるおそれがあります。有事対応の成功につながる第一歩の仕組みとして、組織内で、役職員が重大なリスクに関する情報を把握した場合に報告するルートが明確でわかりやすく、手間がかからないなど使いやすいものとなっているか、実際に機能しているかが重要です。
また、リスク情報の報告、内部通報や監査等を契機として、不正の疑いを把握した場合、組織ごとに調査の必要性や方法をどのように判断するかといった調査プロセスもリスクマネジメントプロセスの一環として確認・整備しておくことが重要です。
(2)有事対応の基礎となる調査の重要性
重大な不正・不祥事が発覚した場合、少なくとも事案の解明、原因分析、それに基づく再発防止策・改善策の策定、実施等が求められます。そして、その調査結果が上記Ⅱのような対外説明等の基礎となるという意味で、可能な限り、正確かつ客観的な調査を実施することが重要です。
NPOがそのような調査のために取り得る選択肢は一つではなく、費用が高額になりやすい外部弁護士に調査を依頼する場合も含めて、コスト・ベネフィットはそれぞれです。重要なのは、特に事案の内容・規模・性質、調査に必要となる専門性、国内外の訴訟リスク、経営者関与の程度などを考慮し、リスクの大きさに応じた客観性・専門性のある調査主体・方法を検討することです。NPOにおいても第三者委員会など外部の専門家のみからなる調査委員会を設置するケースが存在しますが、例えば、日弁連のガイドラインに準拠するタイプの調査委員会を設置する場合には、上記Ⅱで挙げたようなリスク対応の面からは制約となりうる要素もあります。例えば、組織と調査委員会の間の厳格な情報遮断、訴訟リスク等です。そのため組織にとっての具体的な調査目的・必要性に照らして、適切な調査体制を検討することが必要です(①ガイドラインに準拠しない形で弁護士ら専門家による調査委員会を設置する、②外部弁護士事務所に調査を委託する、③外部弁護士の助言・協力を得つつ、組織内のリソースで調査する、④組織内のリソースのみで調査する等)。
(3)調査結果を踏まえた対応の重要性
事実関係等についての調査を実施し、重大な不正が認められた場合には、原因分析とそれに基づく再発防止策を検討、実施することが必要となります。不正によって得られた教訓を、組織において不正を防止・早期発見・是正するための仕組み・取組(いわゆるコンプライアンス・プログラム)の課題として、具体的な改善につなげるというサイクルが重要です。
一般には、不正・不祥事の場合には、関与した役職員に対する処遇を検討することが求められます。具体的には役員であれば、その進退、報酬減額又は自主返上等、従業員であれば懲戒処分や事実上の注意等の方針を検討する必要があります。
(4)迅速に起用できる専門家の重要性
上記のように、重大な不祥事発覚の局面では、有限な質・量の情報を前提に、迅速に対応を判断することが求められる一方で、法令違反やその場合の影響度の評価、それぞれの対応策がどのような影響(ポジティブ、ネガティブを含む)を与えうるかといった適切な評価を実施し、それを考慮に含めることは容易ではありません。そのため、平時の段階から危機対応フェーズを見据えて、素早く相談等ができる専門家を探したり、ネットワークを構築しておくことが重要といえます。
Ⅳ コンプライアンスリスク以外を含む緊急事態に対する対応体制
上記Ⅲまでで説明をした重大な不正・不祥事が発覚した場合に限らず、組織にとっての緊急事態に備えた仕組みや取組としてはどのようなものが挙げられるでしょうか。特に重要なのは、自然災害のように、可能性が低い又は不明であったとしても、影響度が極めて大きいような事象については、万が一リスクが発現した場合の危機対応に備えた事前の準備をしておくという対応が重要となります。
特に事前の準備として重要な観点をまとめれば、緊急事態として想定しうる範囲を検討し、組織が緊急事態に至った段階の必要な報告・対応・意思決定のルールについて整備し、緊急対応の際に実際に活用できるような訓練を定期的に実施しておくことです。
①緊急事態の範囲
組織として、緊急事態としての有事対応をするためには、通常と異なる対応として負荷・コストを要し、通常の事業活動にも制約を及ぼすこととなることを踏まえれば、実際に対応体制をスイッチすることとなる、緊急事態の範囲をあらかじめ決めておく例もあります。
例えば、組織内部の原因(情報漏洩、コンプライアンス違反行為、業務遂行上の過失等)又は組織外の原因(通信、電力等の社会インフラの障害、大規模な地震、火災、津波、台風、洪水その他の自然災害、テロ等の凶悪犯罪、感染症の蔓延、社内外からのSNS投稿等による風評への影響)の発生により、人命が脅かされる(身体・健康への重大な被害)、団体の信用・信頼の大きな失墜、事業運営が困難になる等が考えられます。そこで情報漏洩等により団体の信用・信頼の大きな失墜につながるおそれがある場合といった形で明示しておくことが考えられます。
②緊急事態の懸念がある場合の報告ルート・早期の予兆把握
不正・不祥事に限らず、何よりもまず、リスクの変化・顕在化の兆候にアンテナをはり、職員が把握した場合には団体としての責任者に速やかに情報が共有される仕組み・取組が重要です。
③緊急事態発生時の対応方針 速やかで明確な意思決定体制
上記の仕組みの活用により、その時々の情報・認定できる事実を前提に、迅速に関係者・権限者が集まり、種々の対外対応についての判断ができる仕組みを定めておくことが重要です。特に、緊急時に混乱しやすい事項(誰がどのように誰を集めて、誰が対応についての意思決定をするのか、どのように必要な情報を確認するのか等)はあらかじめ緊急事態発生時の体制として定めておくことが望ましいといえます。
上記の①②③を意識した例として、自然災害等について、発生時の対応体制、行動フローや連絡先・連絡ルート、対応判断者等を定めたコンティンジェンシープラン(緊急時対応計画)を策定しておくことも考えられます。もっとも、詳細なプランを多く用意していたとしても、実際にはそこで想定されたシナリオが発生するわけではなく、多くの詳細なプランを記憶し、発生時にそのとおりに行動することを期待するのは難しいといえます。特に人やリソースの少ないNPO法人においては、このような現実を踏まえて、必要最低限の報告ルートや責任者について認識共有するためのマニュアルの他、対応が必要な職場において定期的に訓練を繰り返し、その都度フィードバックを受けて改善すべき点を改善していくという取組がより重要といえます。仮に訓練が難しい場合であっても、時間をとって実際に起きた場合の対応をシミュレーションすること等も有益と考えられます。
Ⅴ 規程整備の視点
また、規程について、個人情報、ハラスメント、コンプライアンス、リスク管理等それぞれの規程がある場合には、規程ごとに〇〇委員会というものを設置していることも少なくないと考えられます。
しかし、実際には、少人数のスタッフで運営している場合、上記〇〇委員会というメンバーが全く同じという場合も少なくないと考えられます。また、明確にいずれの委員会で扱うべき事案かが判断できないケースも想定されます。その場合には、そのような有事の対応については、団体として、「クライシスマネジメント規程」等のかたちで一つにまとめて、対応部署も理事会等に統一することも考えられます。ぜひ、規程を今後作成または見直しをされる際に、上記視点でもご検討いただき、団体の実態に沿った体制を構築いただければと思います。
(勝伸幸)