——企業で発生する不正の現状はどうでしょうか。

増加の一途をたどっています。日経新聞の紙面において「不正」「不祥事」を含む記事の件数を調査すると、2011年から19年にかけて2倍に増加しました。20年以降、コロナ禍に突入すると件数は減少しましたが、コロナ禍が収束しオフィス勤務へと回帰するようになると再び上昇し始めました。リモートワークでは明らかになりにくかった、会計不正や品質不正が顕在化した格好です。

近年の傾向としては、サイバー攻撃によるデータの漏えいが挙げられます。中でも、企業内のデータを人質にとり、「身代金」を要求するランサムウェア攻撃が増加傾向です。その背景には匿名で資産を移転できる暗号資産の発展があります。

当社は国内企業476社を対象に調査を行い「企業の不正リスク調査白書 Japan Fraud Survey 2022-2024」としてまとめました。その結果、「何らかの不正が発生した」と回答をした企業は過半数に達しており、他にも不正が顕在化していないだけの企業もあると考えられます。

——日本企業における不正・不祥事の特徴とは何でしょうか。

個人の利得を目的とした横領が多い点は国内外で共通しています。特に日本では品質偽装や粉飾会計など、組織ぐるみの不正が目立ちます。これは、予算や納期、品質などの目標が厳しく設けられる中、プレッシャーから逃れるために、数字の偽装が常態化するようなケースと考えられます。当社が調査や再発防止の支援を行った企業では、組織内の従業員が不正行為をしている自覚が無いままに、慣習的に行われていた事例も少なくありませんでした。

——不正や不祥事が発生した場合に、取るべき行動とは何でしょうか。

まずは正確な情報を迅速に集めて上層部に報告するべきです。同時に、意思決定を迅速に行うため、対策本部の設置が必要です。メンバーは法務担当者のほか、ステークホルダーに対応する広報担当者、業務を復旧する現場担当者、IT担当者など、全社横断的に選ぶ必要があります。対策本部長はマネジメント層が務め、複数の組織を柔軟かつ強力に束ねるリーダーシップを発揮しなければなりません。

不正の性質や被害状況の見極めも重要です。ユーザーの安全性に関わる場合、製品の出荷停止や回収を迅速に行わなければなりません。一方で、直接的な危害をおよぼさない事態であれば、実態解明を優先させた方がよい場合もあります。事案ごとの特性を把握し、対応方針を判断していくべきでしょう。

不正や不祥事が発生すると、内部リークや規制当局の介入、混乱に乗じたサイバー攻撃など、不測の事態が発生することもよくあります。刻一刻と変化する状況の中で発生する、不測の事態も想定に入れた骨太のストーリーを組んでいくことが求められます。不祥事が発生した多くの企業にとって、未曽有の経験であると同時に時間との戦いともなるので、必要があれば専門家の手を借りることも躊躇（ちゅうちょ）せずに、迅速な対応が迫られます。

——不正への対策として、日本企業が抱える課題とは何でしょうか。

日本企業では、全般的に情報ガバナンスの統率が十分ではありません。米国では訴訟手続きにおいて所有する情報をすべて開示する「ディスカバリー制度」が導入されているため、文書管理体制が高度化されています。情報管理体制の強化は、不正や不祥事の予防にもつながります。

従業員に対するコンプライアンス教育も地味なようですが重要な要素です。組織の一員としての行動規範を決めて、繰り返し教育していくことで、遵法意識が醸成できます。処分ルールを明確にし、実際に処罰することで“会社の本気度”を示していくことも大切です。

——今後、備えるべき不正や不祥事とはどのようなものでしょうか。

東京で開催された世界的なスポーツ大会での贈賄に関する事件が大きな話題となりました。カルテル・談合・不当な取引制限など独占禁止法違反に対する摘発も増えています。背景には、欧米に比べて遅れている規制強化に、規制当局が本腰を入れて取り組み始めていることが挙げられます。

また、海外を中心にESG（環境・社会・企業統治）に関連した規制強化が進められていますが、これらに対して多くの日本企業はどのようなリスクに晒されているかを把握できていないのが現状です。例えば人権問題の場合、自社やグループ会社だけでなく、サプライヤーの管理責任にまで追及がおよびます。対策をしようとすれば、グローバルサプライチェーン全体を対象とする必要があるため、膨大な手間となります。コストとベネフィットを比較しながら、予防策と発覚後の有事対応のバランスを検討すべきと考えます。

——企業に求められる危機管理戦略とガバナンスとは何でしょうか。

不正を完全に防ぐことは難しいと心得て、初動体制を整えていくことです。不祥事対応は初動が最も大切と言われていますが、事実確認や対応方針が不完全なまま挑んで失敗するケースは数多いです。

平時からの取り組みとしては、大きく「発見・エスカレーション（上役への報告）」と「事前シミュレーション」に分けることができます。

「発見・エスカレーション」では、組織として不正に関する情報を迅速に認識する仕組み・風土を構築・醸成することが重要です。不正を発見しても、報復や監督責任の追求などを恐れて、エスカレーションが進まない現象がみられます。また、品質偽装や粉飾決算では、一時しのぎで始まったものが常習化し、不正と認識できずに長期間放置される場合もあります。このような停滞を避けるために、人間の行動原理や心理を踏まえ、経営層・従業員間の意識ギャップを埋める研修・対話、人事評価や処分への反映、定期的な配置換え、内部監査等のモニタリング強化など複数の施策を入れる必要があります。

内部通報制度の整備も重要です。日本企業の通報件数は海外と比較して少ない傾向にあります。欧米では法令違反に巨額の制裁金が課されることもあり、専門部署を用意して通報者を保護し、迅速に対応する仕組みが用意されています。日本企業は制度としては導入していますが、そうした体制整備・運用が不十分で、従業員の不信を払しょくできていないと言えます。

経営者が自ら不正に関与する事例「マネジメント・オーバーライド」も後を絶ちません。この場合、不正に対峙すべき経営者だけでなく、関与者の範囲も予測が難しいため、ガバナンスが空洞化し、初動対応が後手に回って、事態が深刻化しやすい傾向にあります。一方で、厳しい行政処分や損害賠償を受ける可能性が高く、経営体制の刷新も視野に入れる必要があります。そのようなガバナンスの空洞化を避け、迅速な初動を実現するために、エスカレーションルートの複線化が必要です。有事を想定して社外取締役の役割を強化し、しかるべき方を指名するとともに、危機管理委員会などの場で平時から情報共有するルートを確保することが有効な対応手段となります。

「事前シミュレーション」として、経営層を含む上位職層向けに、実例に近いトレーニングを施すことも有用です。実際に起こりうる不正を想定し、収集すべき情報の検討・分析や対策本部の組成・運用を、不測の事態の発生を織り込みつつ疑似体験してもらうのです。そこに臨場感のある模擬記者会見を組み込むとより効果的です。会見の雰囲気に慣れ、想定される質問に対して回答することで、記者対応における重要なポイントや、備えるべき事象が明らかになるなど多くの気づきを得られ、危機意識の向上にもつながります。

企業は営利組織であり、不正対策を常とする部門を用意することが難しいこともあります。また、部門間での力関係や慣習のために、不正を自浄する組織体制への変革が難しいかもしれません。そのような場合には、“外部者”として専門家のコンサルティングや支援サービスを利用するのも一案です。

——デロイト トーマツ グループの不正対策の強みをお聞かせください。

当グループでは不正や不祥事に関して、予防（Readiness）、対処（Response）、回復（Recovery）の「3つのR」を提唱しています。会計事務所系のファームとして、粉飾決算や横領など会計に絡んだ不正調査を中心としてきましたが、近年の不正や不祥事の増加を受け、品質不正やサイバー攻撃、法令違反など取り扱うサービス範囲も拡大しています。調査に加え、規制当局、取引先・消費者への対応、メディアやステークホルダーへの対応、ガバナンスを含む内部統制改善、組織風土改革などの再発防止策の導入など、幅広い支援を行っています。さらに、内部通報プラットフォームや危機管理に関する顧問契約など、平時のサービスも幅広く提供可能です。不正リスクに対し、各領域の専門家が協働して一気通貫で支援可能であることが当グループの強みです。