米司法省「企業コンプライアンス・プログラムの評価」のアップデート（2024年9月）とその背景

1. AI等の新興技術を（ビジネスや）コンプライアンス・プログラムに活用する際のリスク管理

　DOJのDeputy Attorney GeneralであるLisa Monaco氏は、今年2月の第60回ミュンヘン安全会議（MSC）において、「今後、適切な場合にはいつでも、DOJはAIの悪用によって著しく危険性を増した犯罪行為に対して、より厳しい量刑を求めていくことになる」との見解を述べました※2。また、翌3月のスピーチでも、Monaco氏は、検察官がコンプライアンス・プログラムを評価する際には、企業の最も重大なリスクをどれだけ低減するかを考慮しており、そのリスクにはAIの悪用リスクも含まれることを述べ、AIに関連するリスク評価を、企業コンプライアンス・プログラムの評価に関する指針に盛り込むよう指示を行ったことを明らかにしていました※3。

　これを受け、今回のアップデートでは、「ビジネスにおいてAIを活用する場合については、関連性がある場合、検察官は、会社及びその従業員が会社業務を行うために使用しているテクノロジー、特に新しいテクノロジーについて考慮すべきである。また、会社がそのテクノロジーの使用に関するリスク評価を実施したかどうか、及び会社がそのテクノロジーの使用に関連するリスクを軽減するための適切な措置を講じたかどうかについても考慮すべきである」とのDOJの立場が明確にされました。

　具体的な考慮要素としては、(1)ビジネスにおいてAIを活用する場合と、(2)コンプライアンス・プログラムに関してAIを活用する場合という2つの場面を想定して、以下の事項が示されています。

1. AI等の新しい技術が、企業の刑事法遵守能力に及ぼす潜在的な影響をどのように評価しているか。
2. AIやその他の新技術の利用に関連するリスクの管理は、より広範な企業リスク管理（ERM）戦略に統合されているか。
3. AI等の新技術をビジネスやコンプライアンス・プログラムで利用する際のガバナンスに対する同社のアプローチはどのようなものか。
4. ビジネスやコンプライアンス・プログラムにおける技術の利用から生じる潜在的な悪影響や意図せぬ結果を、企業がどのように抑制しているか。
5. 企業内部者によるものも含め、意図的又は無謀なテクノロジーの悪用リスクを企業がどのようにして軽減しているか。
6. 企業がAIや類似のテクノロジーを事業又はコンプライアンス・プログラムの一部として使用している場合、その信頼性、及び適用法や企業行動規範に準拠した使用を監視し、確保するための管理は行われているか。
7. テクノロジーが意図された目的のみに使用されることを確保するための管理が行われているか。
8. AIを評価するために、人間の意思決定においてどのような基準が使用されているか。
9. AIの利用に関する説明責任はどのように監視及び徹底されているか。
10. AI等の新興技術の利用に関して、企業は従業員をどのように教育しているか。
11. 企業がAI等の新技術を商業活動やコンプライアンス・プログラムに活用している場合、その技術が意図したとおりに機能し、かつ、企業の行動規範に合致しているかどうかを評価できるよう、企業は技術のモニタリングやテストを行っているか。
12. 企業は、AIやその他の新技術が企業の価値観に合致しない意思決定を行った場合、それをどの程度の速さで検知し、修正することができるか。

　上記を踏まえ、企業としては、まずは通常の企業リスク管理（ERM）の一項目として、AIの使用に関するリスク分析・管理を行うことが必要です（上記②）。その上で、AIを使用する上での社内規則等のルールの策定や社内研修等、上記各項目にあるような視点から、リスク分析及び管理を行うことになります。

2. データ分析に基づくコンプライアンス・プログラムの効果検証

　DOJは、従来から、データ分析の必要性を示してきました。今回のアップデートは、このようなDOJの従来からの姿勢を踏襲し、強調するものです。

　今回のアップデートで新たに盛り込まれた考慮要素は、以下のとおりです。

1. 企業は、コンプライアンス業務の効率化とコンプライアンス・プログラムの各要素の有効性を測定するために、データ分析ツールを適切に活用しているか。
2. 企業は、データソースの品質をどのように管理しているか。
3. 企業は、使用しているデータ分析モデルの正確性、精度、再現性をどのように測定しているか。
4. 企業が、コンプライアンス・プログラムにおける潜在的な不正行為や不備を特定するためのデータや情報にどの程度アクセスできるか。
5. コンプライアンス担当者は、すべての関連するデータソースに、合理的にタイムリーにアクセスする知識と手段を持っているか。

　米国企業には、例えば、第三者への不正な支払いがないかモニタリングするために、支払いの金額、タイミング等の指標から、リスクの高い支払いを特定している例や、内部通報のデータを分析してリスクが高い部署等を特定している例があります。日本企業においても、ビジネスに関するデータがコンプライアンス・プログラムにおいて最大限活用されるよう、検討する必要があります。反対に、利用可能なデータをコンプライアンス・プログラムにおいて用いない場合には、なぜ利用しないのかを問われる可能性があり、利用しない理由について説明できる必要があります。

　また、上記⑤に関連して、Albemarle社のNon-Prosecution Agreement (2023年9月28日) ※4には、「会社は、コンプライアンス担当者及び管理担当者が、取引のタイムリーかつ効果的なモニタリング及び/又はテストを可能にするために、関連するデータソースに直接又は間接的に十分アクセスできるようにする」ことが、会社の遵守項目として盛り込まれており、DOJが特にこの点を重視していることが窺われます。企業は、データをコンプライアンス・プログラムの効果検証に有効に活用するため、前提として、コンプライアンス担当者にデータソースへの十分なアクセスが与えられているかといった社内の体制・システムについても検討する必要があります。

3. 不正等の内部通報を促進する取組（通報者への報復の防止等）

　DOJは、企業の不正を取り締まる上で、当局による不正の把握・調査には限界があること等から、企業が自ら不正を予防するとともに、不正を発見した場合には当局に報告し、是正することを期待しており、企業においてそのように対応することが合理的になるようなインセンティブ設計を行っています。企業がDOJに対して不正を自主的に報告して捜査に協力し、適切な是正措置等を講じた場合に、DOJが企業の訴追を見送ったり、制裁金を大きく減額したりすることがその典型です。その前提として、企業が自ら不正を発見する必要があり、そのために、従業員による内部通報や報告が重要な役割を果たします。そこで、本指針は、企業のコンプライアンス・プログラムが適切に設計されているかを評価する上で、内部通報を促進するための取組に着目することを明らかにしました。

　具体的には、下記の事項等が評価要素として追加されています。

1. 通報者への報復を防止するためのポリシーがあるか（Anti-Retaliation）。
2. 通報者への報復を防止するための社内外のポリシーや法律について従業員に教育しているか。
3. 不正行為に関与した従業員を懲戒する際に通報した従業員と通報しなかった従業員とで取扱いに差を設けているか。
4. 内部通報制度だけではなく社外への通報プログラムや規制体制についても従業員に教育しているか。
5. 潜在的な不正行為・社内ポリシー違反行為を報告することを奨励しているか、それとも報告を萎縮させるような慣行があるか。
6. 不正行為を報告しようとする従業員の意欲をどのように評価しているか。

　背景として、DOJは、企業の不正に関与した個人が自主的に当局に対して不正に関する情報を報告し、捜査への協力や被害弁償等を行った場合に、当該個人に対するNPA（Non-Prosecution Agreement：不起訴合意）の提案を行うというパイロットプログラム（以下「自主報告パイロットプログラム」）を2024年4月15日に開始するとともに※5、不正に関与していない個人（及び不正への関与が限定的である個人）についても、企業の不正に関する情報を当局に通報した場合に報奨を与えるというパイロットプログラム（以下「通報報奨パイロットプログラム」）を同年8月1日に開始しています※6。これらのパイロットプログラムは、個人（例：役職員）が企業の不正に関する情報を当局に提供することを促し、当局が不正を発見するためのツールを創設・強化するとともに、企業が内部通報制度を強化する等して自らプロアクティブに不正を発見し、当局に報告することを促す狙いがあります。本指針において、内部通報を促進するための評価要素が補強されたことも、その一環であると考えられます。

　また、潜在的な不正行為・社内ポリシー違反行為の報告を萎縮させるような慣行があるか（上記⑤）に関連して、「Pretaliation」という概念があります。これは、従業員が不正行為等について報告することを妨げる行為を指し、例えば、当局への報告を控えさせるような指示や合意がある場合、「Pretaliation」として問題視される可能性があります。日本企業においてはまだ十分に意識されていない概念であり、注意が必要といえます。

4. その他の留意事項

　本指針において、DOJが企業のコンプライアンス・プログラムが実際に機能しているかを評価する上で、①企業が教訓を踏まえてコンプライアンス・プログラムを見直しているかという観点から、企業が時間の経過とともに潜在的な不正行為やリスクの報告にどのように対処したか、企業が「他の不正行為」の事例にどのように対応したかを考慮すること、また、②コンプライアンス・プログラムが「他の不正行為」を防止又は発見した実績があるか、企業が犯罪行為を防止・発見するためにデューデリジェンスを実行したかを考慮することが新たに示されました。

　「他の不正行為」を防止又は発見した実績や、「他の不正行為」への対応状況を評価することについては、米国企業から懸念の声も上がっており、今後の運用を注視する必要があります。仮に、問題となっている不正行為と同種の不正行為に限らず、（過去一定期間の）あらゆる不正行為の情報をDOJに開示する必要があるとすれば、企業にとって想定外のリスクが生じる可能性があります。このような事態も想定した上で、DOJと協議する必要があります。

おわりに

　今回のアップデートにより、DOJは、本指針にAI等の新興技術を踏まえた最新の議論を新たに盛り込むとともに、従来から議論されてきたコンプライアンス・プログラムにおけるデータ分析の活用や、通報者保護による内部通報の促進についての見解をさらに詳細に示すことで、企業に対して、これらの分野におけるより積極的な対応を期待しています。特に、生成AI等をはじめとする技術の急速な進化と活用により、企業には新たなリスクが生じているところです。複雑化する企業環境・ビジネスの中で、コンプライアンス・プログラムについても、適時に、かつ統合的にアップデートを行い、実効性を確保していくことが重要であり、企業には、今回のアップデートを機に、既存のコンプライアンス・プログラムを再評価し、改善していくことが期待されます。

　また、自主報告パイロットプログラムや通報報奨パイロットプログラムは、いずれもパイロットプログラムとしてのテスト段階にあり、DOJ自身も、制度運用に伴うデータ分析を行う等、試行錯誤を繰り返しているところです。企業は、今後もDOJの動向を注視し、DOJのガイダンスに応じて柔軟に対応していく必要があります。