深水大輔 Daisuke Fukamizu
パートナー
東京
NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレター
ニュースレター
米国司法省による個人版自主報告パイロットプログラムの公表について(2024年5月)
DOJ報奨金付通報制度の運用開始: Whistleblower Awards Pilot Programの概要(2024年8月)
平時におけるコンプライアンス体制整備・運用の重要性―DOJによる直近のRemarksを踏まえて(2022年4月)
企業犯罪執行の強化に関する米国司法省の新たな指針(2022年10月)
米司法省「企業コンプライアンス・プログラムの評価」のアップデートを踏まえた人事・懲戒制度の見直し(2024年1月)
FCPAを含む米国当局の法執行強化方針とそれを踏まえたコンプライアンス・プログラムの見直し(2022年1月)
米国司法省「企業コンプライアンス・プログラムの評価」のアップデート(2)(2020年6月改定)(2020年7月)
2024年9月、米国司法省(DOJ)の刑事局(Criminal Division)は、企業のコンプライアンス・プログラムを評価する指標として「企業コンプライアンス・プログラムの評価」(Evaluation of Corporate Compliance Programs)の改訂版を公表しています※1(以下「本指針」)。
本指針は、リスクベース・アプローチに基づき、企業のコンプライアンス・プログラムが「適切に設計されているか?」、「真摯かつ誠実に適用されているか?(実効的に機能するよう十分にリソースと権限を与えられているか?)」、「実際に機能しているか?」を評価するという従前の枠組みを維持しつつ、AI等の新興技術をビジネスだけではなくコンプライアンス・プログラムにも活用すること、コンプライアンス・プログラムの実効性を検証するためのデータ分析、内部通報の促進といった近時の議論を反映する形で、評価要素がアップデートされています。
DOJの検察官は、起訴・不起訴の処分や司法取引等の内容を含む企業犯罪事案の処理方針を決定するにあたり、「当該企業のコンプライアンス・プログラムの有無及び従来存在していたコンプライアンス・プログラムの実効性」や「企業による改善措置」等を考慮することとされています。したがって、企業が実効性のあるコンプライアンス・プログラムを整備・運用することは、単に組織内の不正のリスクを低減させるだけでなく、DOJの検察官において企業の訴追を見送るという判断や、制裁金を大きく減額するという判断を導き、DOJの調査の際に企業が被る不利益を最小限に止めることにつながります。
そこで、本稿では、2024年9月に行われた本指針の3つの主要な改訂箇所を紹介するとともに、その背景について解説します。
DOJのDeputy Attorney GeneralであるLisa Monaco氏は、今年2月の第60回ミュンヘン安全会議(MSC)において、「今後、適切な場合にはいつでも、DOJはAIの悪用によって著しく危険性を増した犯罪行為に対して、より厳しい量刑を求めていくことになる」との見解を述べました※2。また、翌3月のスピーチでも、Monaco氏は、検察官がコンプライアンス・プログラムを評価する際には、企業の最も重大なリスクをどれだけ低減するかを考慮しており、そのリスクにはAIの悪用リスクも含まれることを述べ、AIに関連するリスク評価を、企業コンプライアンス・プログラムの評価に関する指針に盛り込むよう指示を行ったことを明らかにしていました※3。
これを受け、今回のアップデートでは、「ビジネスにおいてAIを活用する場合については、関連性がある場合、検察官は、会社及びその従業員が会社業務を行うために使用しているテクノロジー、特に新しいテクノロジーについて考慮すべきである。また、会社がそのテクノロジーの使用に関するリスク評価を実施したかどうか、及び会社がそのテクノロジーの使用に関連するリスクを軽減するための適切な措置を講じたかどうかについても考慮すべきである」とのDOJの立場が明確にされました。
具体的な考慮要素としては、(1)ビジネスにおいてAIを活用する場合と、(2)コンプライアンス・プログラムに関してAIを活用する場合という2つの場面を想定して、以下の事項が示されています。
上記を踏まえ、企業としては、まずは通常の企業リスク管理(ERM)の一項目として、AIの使用に関するリスク分析・管理を行うことが必要です(上記②)。その上で、AIを使用する上での社内規則等のルールの策定や社内研修等、上記各項目にあるような視点から、リスク分析及び管理を行うことになります。
DOJは、従来から、データ分析の必要性を示してきました。今回のアップデートは、このようなDOJの従来からの姿勢を踏襲し、強調するものです。
今回のアップデートで新たに盛り込まれた考慮要素は、以下のとおりです。
米国企業には、例えば、第三者への不正な支払いがないかモニタリングするために、支払いの金額、タイミング等の指標から、リスクの高い支払いを特定している例や、内部通報のデータを分析してリスクが高い部署等を特定している例があります。日本企業においても、ビジネスに関するデータがコンプライアンス・プログラムにおいて最大限活用されるよう、検討する必要があります。反対に、利用可能なデータをコンプライアンス・プログラムにおいて用いない場合には、なぜ利用しないのかを問われる可能性があり、利用しない理由について説明できる必要があります。
また、上記⑤に関連して、Albemarle社のNon-Prosecution Agreement (2023年9月28日) ※4には、「会社は、コンプライアンス担当者及び管理担当者が、取引のタイムリーかつ効果的なモニタリング及び/又はテストを可能にするために、関連するデータソースに直接又は間接的に十分アクセスできるようにする」ことが、会社の遵守項目として盛り込まれており、DOJが特にこの点を重視していることが窺われます。企業は、データをコンプライアンス・プログラムの効果検証に有効に活用するため、前提として、コンプライアンス担当者にデータソースへの十分なアクセスが与えられているかといった社内の体制・システムについても検討する必要があります。
DOJは、企業の不正を取り締まる上で、当局による不正の把握・調査には限界があること等から、企業が自ら不正を予防するとともに、不正を発見した場合には当局に報告し、是正することを期待しており、企業においてそのように対応することが合理的になるようなインセンティブ設計を行っています。企業がDOJに対して不正を自主的に報告して捜査に協力し、適切な是正措置等を講じた場合に、DOJが企業の訴追を見送ったり、制裁金を大きく減額したりすることがその典型です。その前提として、企業が自ら不正を発見する必要があり、そのために、従業員による内部通報や報告が重要な役割を果たします。そこで、本指針は、企業のコンプライアンス・プログラムが適切に設計されているかを評価する上で、内部通報を促進するための取組に着目することを明らかにしました。
具体的には、下記の事項等が評価要素として追加されています。
背景として、DOJは、企業の不正に関与した個人が自主的に当局に対して不正に関する情報を報告し、捜査への協力や被害弁償等を行った場合に、当該個人に対するNPA(Non-Prosecution Agreement:不起訴合意)の提案を行うというパイロットプログラム(以下「自主報告パイロットプログラム」)を2024年4月15日に開始するとともに※5、不正に関与していない個人(及び不正への関与が限定的である個人)についても、企業の不正に関する情報を当局に通報した場合に報奨を与えるというパイロットプログラム(以下「通報報奨パイロットプログラム」)を同年8月1日に開始しています※6。これらのパイロットプログラムは、個人(例:役職員)が企業の不正に関する情報を当局に提供することを促し、当局が不正を発見するためのツールを創設・強化するとともに、企業が内部通報制度を強化する等して自らプロアクティブに不正を発見し、当局に報告することを促す狙いがあります。本指針において、内部通報を促進するための評価要素が補強されたことも、その一環であると考えられます。
また、潜在的な不正行為・社内ポリシー違反行為の報告を萎縮させるような慣行があるか(上記⑤)に関連して、「Pretaliation」という概念があります。これは、従業員が不正行為等について報告することを妨げる行為を指し、例えば、当局への報告を控えさせるような指示や合意がある場合、「Pretaliation」として問題視される可能性があります。日本企業においてはまだ十分に意識されていない概念であり、注意が必要といえます。
本指針において、DOJが企業のコンプライアンス・プログラムが実際に機能しているかを評価する上で、①企業が教訓を踏まえてコンプライアンス・プログラムを見直しているかという観点から、企業が時間の経過とともに潜在的な不正行為やリスクの報告にどのように対処したか、企業が「他の不正行為」の事例にどのように対応したかを考慮すること、また、②コンプライアンス・プログラムが「他の不正行為」を防止又は発見した実績があるか、企業が犯罪行為を防止・発見するためにデューデリジェンスを実行したかを考慮することが新たに示されました。
「他の不正行為」を防止又は発見した実績や、「他の不正行為」への対応状況を評価することについては、米国企業から懸念の声も上がっており、今後の運用を注視する必要があります。仮に、問題となっている不正行為と同種の不正行為に限らず、(過去一定期間の)あらゆる不正行為の情報をDOJに開示する必要があるとすれば、企業にとって想定外のリスクが生じる可能性があります。このような事態も想定した上で、DOJと協議する必要があります。
今回のアップデートにより、DOJは、本指針にAI等の新興技術を踏まえた最新の議論を新たに盛り込むとともに、従来から議論されてきたコンプライアンス・プログラムにおけるデータ分析の活用や、通報者保護による内部通報の促進についての見解をさらに詳細に示すことで、企業に対して、これらの分野におけるより積極的な対応を期待しています。特に、生成AI等をはじめとする技術の急速な進化と活用により、企業には新たなリスクが生じているところです。複雑化する企業環境・ビジネスの中で、コンプライアンス・プログラムについても、適時に、かつ統合的にアップデートを行い、実効性を確保していくことが重要であり、企業には、今回のアップデートを機に、既存のコンプライアンス・プログラムを再評価し、改善していくことが期待されます。
また、自主報告パイロットプログラムや通報報奨パイロットプログラムは、いずれもパイロットプログラムとしてのテスト段階にあり、DOJ自身も、制度運用に伴うデータ分析を行う等、試行錯誤を繰り返しているところです。企業は、今後もDOJの動向を注視し、DOJのガイダンスに応じて柔軟に対応していく必要があります。
※5
自主報告パイロットプログラムの概要については、NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレターNo.90「米国司法省による個人版自主報告パイロットプログラムの公表について」(2024年5月)をご参照ください。
※6
通報報奨パイロットプログラムの概要については、NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレターNo.98「DOJ報奨金付通報制度の運用開始:Whistleblower Awards」(2024年8月)をご参照ください。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
箕輪俊介
(2024年12月)
福原あゆみ(共著)
若江悠
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
箕輪俊介
大久保涼
(2025年1月)
大川友宏、髙野紘輝、万鈞剣(共著)
金田聡
大久保涼
逵本麻佑子、中村勇貴(共著)
逵本麻佑子、木原慧人アンドリュー(共著)
塚本宏達、佐藤恭平(共著)
大久保涼
逵本麻佑子、中村勇貴(共著)
逵本麻佑子、木原慧人アンドリュー(共著)
塚本宏達、佐藤恭平(共著)