傍流事業の特殊性による組織不祥事リスク

樋口（2012b）は，2010 年に発覚したメルシャンの水産飼料事業部における循環取引事件 について分析し，事件の潜在的原因として，問題の水産飼料事業部が社内で傍流事業の位 置付けで事業内容も特殊であったため，経営者の関心や知識が不足するとともに，事業部 内の人事が閉鎖的で長期配置が通例となっていたことを指摘した。その上で，こうした組 織不祥事を誘発するメカニズムを「傍流事業の特殊性による組織不祥事リスク」と整理し，

「傍流事業の特殊性のために監督が不十分になるとともに，人事配置も閉鎖的・長期的に なるために，組織不祥事が誘発されるリスク」（同 81 頁）と定義した。

また，2011 年に発覚した東海ゴム工業の労働安全衛生法違反事件について分析した樋口

（2013b）も，事件の潜在的原因として，ボイラー保守業務の特殊性により，補修担当者の人 事が長期配置となって異議の提出が心理的に困難になるとともに，上級管理者の監督が疎か になっていたと指摘し，同様に「傍流事業の特殊性による組織不祥事リスク」を抽出した。

本事件に関しては，5. で前述したように，ベネッセグループの経営者は，専門的な分野 である IT 業務について十分なリテラシーを持ち合わせておらず，情報セキュリティに関 する認識が乏しかったために監督が疎かになったものである。ただし，「傍流事業の特殊性 による組織不祥事リスク」の定義中の「人事配置も閉鎖的・長期的になる」という部分につ いては，シンフォームの業務の専門性や独立した人事採用の状況などから推測できるが，

事実関係は必ずしも明確でない。そのため，本事件に関しては，「傍流事業の特殊性による 組織不祥事リスク」が発現した可能性が高いと指摘するにとどめる^（39）。

経営実践上の含意としては，IT関係の専門知識をあらためて経営者に修得させることは

（37） 事件後の対策として，ベネッセ HD では，システムの保守・管理業務を担当する新会社を情報セキュリティ専 門企業と合弁で設立し，グループ外への業務委託を禁止することにした。また，システムの開発業務に関して は，グループ外への業務委託を許容するが，再委託を原則として禁止した上で，例外的に再委託を認める場合 には，再委託先の信用性を確保するために，ベネッセが作成するガイドラインを遵守させることとした。

（38） 現状では，企業側がアウトソーシングのリスクを認識せず，十分な監視措置を講じていない（= 監視対策に必 要なコストを負担していない）ために，アウトソーシングのコストを安価と誤認しているケースが少なくな いと考えられる。

（39） 「傍流事業の特殊性による組織不祥事リスク」の定義中の「人事配置も閉鎖的・長期的になる」については，上 級者による監督が不十分となる態様の一つにすぎず，必須の要件と考えるべきではないとの整理もあり得る。

今後の研究では，「傍流事業の特殊性による組織不祥事リスク」の定義規定の見直しも検討課題の一つとした い。

難事であり，また，そのような専門的人材の中に経営者としての適任者を見つけることも 容易ではない。したがって，外部の専門企業あるいは有識者に依頼して，IT 業務に対する 外部監査の実施，あるいは専門的な助言や提言を求めることが適当である^（40）。

おわりに

本事件の調査報告書である調査委員会（2014）は，事実関係の説明が非常に不足してお り，内容を理解することが難しい箇所が少なくない。その背景として，調査委員会の位置 付けが，「企業危機に対応するための，B 会長兼社長の諮問機関としての調査委員会であ り，（中略）いわゆる日弁連ガイドライン型第三者委員会ではない」（調査委員会（2014），2 頁）とされ，部外に対する説明を主眼としていないことが挙げられる。

そのため筆者は，ベネッセ HD に対して本研究への協力を求め，その了解を得た後に，

調査委員会（2014）の内容を確認するための質問事項を送付した。しかし，それに対するベ ネッセ HD の回答は著しく遅延した上に，質問項目のほとんどについて回答を差し控える とのことであり，実質的に意味のある情報はほとんど得られなかった。

その後も，筆者は繰り返し説明を求めたが，何の進展もなくいたずらに時間が経過する だけであり，ついにベネッセ HD 側からの情報収集を断念するに至った。本稿において，

事実認定の資料として新聞や雑誌の記事を多用せざるを得なかったのはそのためである。

調査報告書の内容確認という最低限の情報さえ提供されなかったケースは，筆者のこれま での組織不祥事研究でも非常にめずらしい。

こうした対応ぶりの背景には，ベネッセ HD 側が「ご指摘いただいているセキュリティ 対策上の問題点につきましては，（中略）今後の民事訴訟においても，同様の点が争点とな ることも予想されるので，敢えてコメントは控えさせていただいております」（2015 年 3 月 11 日付けのベネッセ HD からの返信メール）と述べているとおり，情報漏えいの被害者か らの民事訴訟に備えて，なるべく情報を部外に出したくないという発想が存在するように 思われる。

しかし，それでは何のために不祥事の調査報告書を公表するのだろうか。企業の社会的 責任の一環として，外部のステイクホルダーに対する説明責任を果たすためではないのだ ろうか。そして，ベネッセ HD にとって最も重要なステイクホルダーの中に，情報漏えい の被害を受けた顧客の皆さんが入っていることは言うまでもない。

不祥事の事実関係をありのままに説明し，その結果として損害賠償を支払うことになっ たとしても，それは顧客に対して企業が果たすべき当然の責任であろう。調査報告書の発 表が，説明責任を果たすという本来の趣旨から外れて，不祥事の幕引きのための「禊^みそぎ」のよ うに扱われることは，決してあってはならない。

（40） 事件後の対策として，ベネッセ HD では，前述の CLO について，グローバル企業での専門性の高い実績を持 つ人材を招聘するとともに，情報セキュリティや個人情報に関する有識者により構成される外部監視機関を 設置し，①情報セキュリティ全般について助言・提言すること，②再発防止策の実施・運用状況を確認する こと，③情報セキュリティシステムが安全に機能しているか確認すること等の業務を実施させることとした。

< 参考文献 >

JNSA・情報セキュリティ大学院大学（2015）　『2013 年　情報セキュリティインシデント に関する調査報告書　―個人情報漏えい編―　第 1.1 版』

経済産業省（2012）　『「営業秘密の管理実態に関するアンケート」調査結果』

社会安全研究財団（2010）　『情報セキュリティにおける人的脅威対策に関する調査研究報 告書』

情報処理推進機構（2012）　『組織内部者の不正行為によるインシデント調査　―調査報告 書―』

情報処理推進機構（2013）　『組織における内部不正防止ガイドライン』

調査委員会（2014）　『個人情報漏えい事故調査委員会による調査報告について』

樋口晴彦（2010）　「イージス防衛秘密流出事件」『捜査研究』59（6）, 76-82 頁

樋口晴彦（2011）　「組織不祥事の原因メカニズムの分析　―18 事例に関する三分類・因果 表示法を用いた分析と原因の類型化―」『CUC Policy Studies Review』30 号 , 13-24 頁 樋口晴彦（2012a）　『組織不祥事研究　―組織不祥事を引き起こす潜在的原因の解明―』白

桃書房

樋口晴彦（2012b）　「メルシャン循環取引事件の事例研究」『千葉商大論叢』50（1）, 71-83 頁 樋口晴彦（2013a）　「東海テレビ「ぴーかんテレビ」不適切テロップ事件の事例分析」『千葉

商大論叢』50（2）, 223-236 頁

樋口晴彦（2013b）　「東海ゴム工業の労働安全衛生法違反事件の事例研究」『危機管理シス テム研究学会研究年報』第 11 号，1-9 頁

樋口晴彦（2014）　「東京ドーム遊戯施設「舞姫」における死亡事故の事例研究」『日本経営 倫理学会誌』第 21 号 , 221-233 頁

（2015.6.22 受稿，2015.7.17 受理）

－ Abstract －

Study of the Leakage Case of Customer Information in Benesse Holdings

As the causes to induce the internal crime, the study pointed out six failures of the system security: delay of updating the export control system, neglect of checking the carry-over of personal devices, no division of the access range, neglect of checking access log, unset alert system, and no designation of chief security officer. One of the backgrounds of the case is the management strategy to prioritize the active use of information.

The study extracted two typical mechanisms to induce organizational misconducts from the case. The first risk is the loss of the sense of responsibility, which led to the neglect to monitor outsourcing. The second risk is the particularities of business, which led to the board’s little understanding of IT business.

英国 Senior Management Regime と コーポレート・ガバナンス・コード

―上級管理者機能（SMFs）と非業務執行取締役ならびに取締役会評価―

藤　川　信　夫

序章

我が国では改正会社法が成立し，監査等委員会制度創設や社外取締役の要件改正などガ バナンスに関わる論点が中心を占める。日本再生・成長戦略の一環として 2014 年 2 月日本 版スチュワードシップ・コード，2015 年 6 月同コーポレート・ガバナンス・コードが策定・

導入された。この 3 つによりガバナンス改革が進められる。本稿では英国金融規制に係る Senior Management Regime（SMR）について上級管理者機能（SMFs）を中心に現地法人 のヒヤリング調査^（1）を踏まえて考察する。従来は非業務執行取締役の役割，独立性などに 焦点があったが，SMFs に拡大する点がポイントである。金融法制と交錯する新しい領域 といえる。英国 Approved Persons Regime（APR 役職員承認制度）に関して別稿^（2）で論稿 を纏めたが，2016 年以降導入に向けて拡大適用とエンフォースメント強化による実効性確 保，企業価値向上を企図したものといえる。我が国では先行研究が見当たらない中，本稿 の独創性と進取性は十分あるものと信じる。アベノミクスの攻めのガバナンスの概念と問 題意識を共有する部分もあり，我が国の改革の示唆として研究の意義は大きい。

Ⅰ．英国 Approved Persons Regime の概要と課題

英国スチュワードシップ・コード（Stewardship Code SWC）とコーポレート・ガバナ ンス・コード（Corporate Governance Code CGC）に関して，Approved Persons Regime

（1） 筆者の従前の勤務先である日本政策投資銀行の London 現地法人（欧州・中近東・アフリカ地区投融資担当）

DBJ Europe Limited（Level 20, 125 Old Broad Street London EC2N 1AR, UK）の Hideyuki Nagahiro Chief Operating Officer（Member of the Board）にヒヤリング調査を行った（2015 年 4 月 23 日東京オフィス）。もっ とも内容も含め全て筆者の個人的見解であり，文責は筆者にある。

（2） 拙稿「英国スチュワードシップ・コードの理論と実践 -Approved persons と域外適用，監査等委員会と非業務 執行取締役，米国の忠実義務の規範化概念と英国会社法の一般的義務等の接点 -」千葉商大論叢第 52 巻第 1 号

（2014 年 9 月）75-144 頁，同「英国スチュワードシップ・コードと Approved Persons 制度 - 域外適用と金融機 関のリスクガバナンスならびに監査等委員会制度などの接点 -」日本法学第 80 巻 2 号（2014 年 9 月）415-467 頁，

同「忠実義務と非業務執行取締役の考察 - 米国の忠実義務の規範化概念と英国会社法の一般的義務，英国ス チュワードシップ・コードと Approved Persons 制度等の接点 -」日本法学第 80 巻 3 号（2015 年 1 月）439-492 頁。

同「英国スチュワードシップコード，コーポレート・ガバナンス・コードの理論と実践 - 英国における新たな ガバナンス規範と非業務執行取締役ならびに我が国の導入に向けて-」法学紀要（2015年3月）第56巻35-140頁。

〔論　説〕