icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
SCROLL
TOP
Publications 著書/論文
ニュースレター

米司法省「企業コンプライアンス・プログラムの評価」のアップデート(2024年9月)とその背景

NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2024年9月、米国司法省(DOJ)の刑事局(Criminal Division)は、企業のコンプライアンス・プログラムを評価する指標として「企業コンプライアンス・プログラムの評価」(Evaluation of Corporate Compliance Programs)の改訂版を公表しています※1(以下「本指針」)。

 本指針は、リスクベース・アプローチに基づき、企業のコンプライアンス・プログラムが「適切に設計されているか?」、「真摯かつ誠実に適用されているか?(実効的に機能するよう十分にリソースと権限を与えられているか?)」、「実際に機能しているか?」を評価するという従前の枠組みを維持しつつ、AI等の新興技術をビジネスだけではなくコンプライアンス・プログラムにも活用すること、コンプライアンス・プログラムの実効性を検証するためのデータ分析、内部通報の促進といった近時の議論を反映する形で、評価要素がアップデートされています。

 DOJの検察官は、起訴・不起訴の処分や司法取引等の内容を含む企業犯罪事案の処理方針を決定するにあたり、「当該企業のコンプライアンス・プログラムの有無及び従来存在していたコンプライアンス・プログラムの実効性」や「企業による改善措置」等を考慮することとされています。したがって、企業が実効性のあるコンプライアンス・プログラムを整備・運用することは、単に組織内の不正のリスクを低減させるだけでなく、DOJの検察官において企業の訴追を見送るという判断や、制裁金を大きく減額するという判断を導き、DOJの調査の際に企業が被る不利益を最小限に止めることにつながります。

 そこで、本稿では、2024年9月に行われた本指針の3つの主要な改訂箇所を紹介するとともに、その背景について解説します。

1. AI等の新興技術を(ビジネスや)コンプライアンス・プログラムに活用する際のリスク管理

 DOJのDeputy Attorney GeneralであるLisa Monaco氏は、今年2月の第60回ミュンヘン安全会議(MSC)において、「今後、適切な場合にはいつでも、DOJはAIの悪用によって著しく危険性を増した犯罪行為に対して、より厳しい量刑を求めていくことになる」との見解を述べました※2。また、翌3月のスピーチでも、Monaco氏は、検察官がコンプライアンス・プログラムを評価する際には、企業の最も重大なリスクをどれだけ低減するかを考慮しており、そのリスクにはAIの悪用リスクも含まれることを述べ、AIに関連するリスク評価を、企業コンプライアンス・プログラムの評価に関する指針に盛り込むよう指示を行ったことを明らかにしていました※3

 これを受け、今回のアップデートでは、「ビジネスにおいてAIを活用する場合については、関連性がある場合、検察官は、会社及びその従業員が会社業務を行うために使用しているテクノロジー、特に新しいテクノロジーについて考慮すべきである。また、会社がそのテクノロジーの使用に関するリスク評価を実施したかどうか、及び会社がそのテクノロジーの使用に関連するリスクを軽減するための適切な措置を講じたかどうかについても考慮すべきである」とのDOJの立場が明確にされました。

 具体的な考慮要素としては、(1)ビジネスにおいてAIを活用する場合と、(2)コンプライアンス・プログラムに関してAIを活用する場合という2つの場面を想定して、以下の事項が示されています。

  1. AI等の新しい技術が、企業の刑事法遵守能力に及ぼす潜在的な影響をどのように評価しているか。
  2. AIやその他の新技術の利用に関連するリスクの管理は、より広範な企業リスク管理(ERM)戦略に統合されているか。
  3. AI等の新技術をビジネスやコンプライアンス・プログラムで利用する際のガバナンスに対する同社のアプローチはどのようなものか。
  4. ビジネスやコンプライアンス・プログラムにおける技術の利用から生じる潜在的な悪影響や意図せぬ結果を、企業がどのように抑制しているか。
  5. 企業内部者によるものも含め、意図的又は無謀なテクノロジーの悪用リスクを企業がどのようにして軽減しているか。
  6. 企業がAIや類似のテクノロジーを事業又はコンプライアンス・プログラムの一部として使用している場合、その信頼性、及び適用法や企業行動規範に準拠した使用を監視し、確保するための管理は行われているか。
  7. テクノロジーが意図された目的のみに使用されることを確保するための管理が行われているか。
  8. AIを評価するために、人間の意思決定においてどのような基準が使用されているか。
  9. AIの利用に関する説明責任はどのように監視及び徹底されているか。
  10. AI等の新興技術の利用に関して、企業は従業員をどのように教育しているか。
  11. 企業がAI等の新技術を商業活動やコンプライアンス・プログラムに活用している場合、その技術が意図したとおりに機能し、かつ、企業の行動規範に合致しているかどうかを評価できるよう、企業は技術のモニタリングやテストを行っているか。
  12. 企業は、AIやその他の新技術が企業の価値観に合致しない意思決定を行った場合、それをどの程度の速さで検知し、修正することができるか。

 上記を踏まえ、企業としては、まずは通常の企業リスク管理(ERM)の一項目として、AIの使用に関するリスク分析・管理を行うことが必要です(上記②)。その上で、AIを使用する上での社内規則等のルールの策定や社内研修等、上記各項目にあるような視点から、リスク分析及び管理を行うことになります。

2. データ分析に基づくコンプライアンス・プログラムの効果検証

 DOJは、従来から、データ分析の必要性を示してきました。今回のアップデートは、このようなDOJの従来からの姿勢を踏襲し、強調するものです。

 今回のアップデートで新たに盛り込まれた考慮要素は、以下のとおりです。

  1. 企業は、コンプライアンス業務の効率化とコンプライアンス・プログラムの各要素の有効性を測定するために、データ分析ツールを適切に活用しているか。
  2. 企業は、データソースの品質をどのように管理しているか。
  3. 企業は、使用しているデータ分析モデルの正確性、精度、再現性をどのように測定しているか。
  4. 企業が、コンプライアンス・プログラムにおける潜在的な不正行為や不備を特定するためのデータや情報にどの程度アクセスできるか。
  5. コンプライアンス担当者は、すべての関連するデータソースに、合理的にタイムリーにアクセスする知識と手段を持っているか。

 米国企業には、例えば、第三者への不正な支払いがないかモニタリングするために、支払いの金額、タイミング等の指標から、リスクの高い支払いを特定している例や、内部通報のデータを分析してリスクが高い部署等を特定している例があります。日本企業においても、ビジネスに関するデータがコンプライアンス・プログラムにおいて最大限活用されるよう、検討する必要があります。反対に、利用可能なデータをコンプライアンス・プログラムにおいて用いない場合には、なぜ利用しないのかを問われる可能性があり、利用しない理由について説明できる必要があります。

 また、上記⑤に関連して、Albemarle社のNon-Prosecution Agreement (2023年9月28日) ※4には、「会社は、コンプライアンス担当者及び管理担当者が、取引のタイムリーかつ効果的なモニタリング及び/又はテストを可能にするために、関連するデータソースに直接又は間接的に十分アクセスできるようにする」ことが、会社の遵守項目として盛り込まれており、DOJが特にこの点を重視していることが窺われます。企業は、データをコンプライアンス・プログラムの効果検証に有効に活用するため、前提として、コンプライアンス担当者にデータソースへの十分なアクセスが与えられているかといった社内の体制・システムについても検討する必要があります。

3. 不正等の内部通報を促進する取組(通報者への報復の防止等)

 DOJは、企業の不正を取り締まる上で、当局による不正の把握・調査には限界があること等から、企業が自ら不正を予防するとともに、不正を発見した場合には当局に報告し、是正することを期待しており、企業においてそのように対応することが合理的になるようなインセンティブ設計を行っています。企業がDOJに対して不正を自主的に報告して捜査に協力し、適切な是正措置等を講じた場合に、DOJが企業の訴追を見送ったり、制裁金を大きく減額したりすることがその典型です。その前提として、企業が自ら不正を発見する必要があり、そのために、従業員による内部通報や報告が重要な役割を果たします。そこで、本指針は、企業のコンプライアンス・プログラムが適切に設計されているかを評価する上で、内部通報を促進するための取組に着目することを明らかにしました。

 具体的には、下記の事項等が評価要素として追加されています。

  1. 通報者への報復を防止するためのポリシーがあるか(Anti-Retaliation)。
  2. 通報者への報復を防止するための社内外のポリシーや法律について従業員に教育しているか。
  3. 不正行為に関与した従業員を懲戒する際に通報した従業員と通報しなかった従業員とで取扱いに差を設けているか。
  4. 内部通報制度だけではなく社外への通報プログラムや規制体制についても従業員に教育しているか。
  5. 潜在的な不正行為・社内ポリシー違反行為を報告することを奨励しているか、それとも報告を萎縮させるような慣行があるか。
  6. 不正行為を報告しようとする従業員の意欲をどのように評価しているか。

 背景として、DOJは、企業の不正に関与した個人が自主的に当局に対して不正に関する情報を報告し、捜査への協力や被害弁償等を行った場合に、当該個人に対するNPA(Non-Prosecution Agreement:不起訴合意)の提案を行うというパイロットプログラム(以下「自主報告パイロットプログラム」)を2024年4月15日に開始するとともに※5、不正に関与していない個人(及び不正への関与が限定的である個人)についても、企業の不正に関する情報を当局に通報した場合に報奨を与えるというパイロットプログラム(以下「通報報奨パイロットプログラム」)を同年8月1日に開始しています※6。これらのパイロットプログラムは、個人(例:役職員)が企業の不正に関する情報を当局に提供することを促し、当局が不正を発見するためのツールを創設・強化するとともに、企業が内部通報制度を強化する等して自らプロアクティブに不正を発見し、当局に報告することを促す狙いがあります。本指針において、内部通報を促進するための評価要素が補強されたことも、その一環であると考えられます。

 また、潜在的な不正行為・社内ポリシー違反行為の報告を萎縮させるような慣行があるか(上記⑤)に関連して、「Pretaliation」という概念があります。これは、従業員が不正行為等について報告することを妨げる行為を指し、例えば、当局への報告を控えさせるような指示や合意がある場合、「Pretaliation」として問題視される可能性があります。日本企業においてはまだ十分に意識されていない概念であり、注意が必要といえます。

4. その他の留意事項

 本指針において、DOJが企業のコンプライアンス・プログラムが実際に機能しているかを評価する上で、①企業が教訓を踏まえてコンプライアンス・プログラムを見直しているかという観点から、企業が時間の経過とともに潜在的な不正行為やリスクの報告にどのように対処したか、企業が「他の不正行為」の事例にどのように対応したかを考慮すること、また、②コンプライアンス・プログラムが「他の不正行為」を防止又は発見した実績があるか、企業が犯罪行為を防止・発見するためにデューデリジェンスを実行したかを考慮することが新たに示されました。

 「他の不正行為」を防止又は発見した実績や、「他の不正行為」への対応状況を評価することについては、米国企業から懸念の声も上がっており、今後の運用を注視する必要があります。仮に、問題となっている不正行為と同種の不正行為に限らず、(過去一定期間の)あらゆる不正行為の情報をDOJに開示する必要があるとすれば、企業にとって想定外のリスクが生じる可能性があります。このような事態も想定した上で、DOJと協議する必要があります。

おわりに

 今回のアップデートにより、DOJは、本指針にAI等の新興技術を踏まえた最新の議論を新たに盛り込むとともに、従来から議論されてきたコンプライアンス・プログラムにおけるデータ分析の活用や、通報者保護による内部通報の促進についての見解をさらに詳細に示すことで、企業に対して、これらの分野におけるより積極的な対応を期待しています。特に、生成AI等をはじめとする技術の急速な進化と活用により、企業には新たなリスクが生じているところです。複雑化する企業環境・ビジネスの中で、コンプライアンス・プログラムについても、適時に、かつ統合的にアップデートを行い、実効性を確保していくことが重要であり、企業には、今回のアップデートを機に、既存のコンプライアンス・プログラムを再評価し、改善していくことが期待されます。

 また、自主報告パイロットプログラムや通報報奨パイロットプログラムは、いずれもパイロットプログラムとしてのテスト段階にあり、DOJ自身も、制度運用に伴うデータ分析を行う等、試行錯誤を繰り返しているところです。企業は、今後もDOJの動向を注視し、DOJのガイダンスに応じて柔軟に対応していく必要があります。

脚注一覧

※5
自主報告パイロットプログラムの概要については、NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレターNo.90「米国司法省による個人版自主報告パイロットプログラムの公表について」(2024年5月)をご参照ください。

※6
通報報奨パイロットプログラムの概要については、NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレターNo.98「DOJ報奨金付通報制度の運用開始:Whistleblower Awards」(2024年8月)をご参照ください。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

危機管理/リスクマネジメント/コンプライアンスに関連する著書/論文

海外業務に関連する著書/論文

南北アメリカに関連する著書/論文

米国に関連する著書/論文

決定 業務分野を選択
決定