イメージ(Adobe Stock)

様々な動機で起きる企業スキャンダル

企業スキャンダルは様々な理由で発生する。世間を騒がせるような事例の多くは、取締役会や経営陣の不正行為が原因となっている。しかし、中には個人的な利益のために規則を無視したり、破ったりした個人や少数の従業員グループが原因となっている場合もある。例えば、営業チームが競合他社の営業担当者と共謀して情報を共有し、目標達成につなげるケースや、金融サービス会社のトレーダーがボーナスを得るために規則を破ったりするケースなどが挙げられる。やっかいなことに、こうした「不正行為」が、たとえ会社の規則に違反しても、「会社を喜ばせよう、優秀な社員として見られたい」という従業員の願望から起こることもある。

動機が何であれ、こうした行為の影響は企業に長年にわたって及ぶ。規制当局による調査には時間がかかり、組織が不正行為を特定・軽減・根絶・防止するためには、全面的な協力と多大な時間と費用が必要となる。また、不正行為は企業が公共部門や政府との契約入札に参加できなくなったり、特定の市場への参入が制限されたり、その他の深刻な財務上の影響を及ぼす可能性もあるのだ。

従来、多くの組織は不正行為を行う従業員を特定するために従業員スクリーニング*)に頼ってきたが、その焦点は、入社後の従業員のパフォーマンスや行動を監視するよりも、候補者の事前スクリーニングに置かれることが多かった。専門家は現在、継続的な監視や組織全体のコンプライアンス向上に向けた取り組みを行わなければ、採用前のチェックだけでは効果が得られないと考えている。不正行為による悪影響を回避するためには、企業は不正行為の兆候を最も効果的に検出する方法と、将来の不正行為を防止するために講じるべき対策を理解する必要がある。

*)訳者注:従業員スクリーニング(employee screening methods)とは、企業が採用前(または在職中)に、候補者や従業員の経歴、適性、法的・倫理的リスクを評価・検証するために用いる一連の手続きのこと。単なる「能力やスキルの見極め」ではなく、「企業に法的責任や重大な不正リスクをもたらす人物ではないか」を排除・予防するという側面が強い。

量が多ければ良いというわけではない

組織が職場やソーシャルメディアにおける従業員の活動を監視するため、より高度なツールを利用できるようになったとしても、また、情報量が増えたからといって、必ずしも検出精度や従業員のコンプライアンスが向上するとは限らない。これらの新しい方法を用いても、不正行為の検出は依然として極めて困難である。「経歴調査・照会調査・信用調査は、採用候補者の経歴に関するある程度の情報を提供してくれる」と、法律事務所MK Lawのシニア弁護士であるマーカス・デニング氏は述べている。 「とはいえ、それらは将来の行動を予測する指標としては不十分で、特に従業員が非倫理的な行動に走りやすい高ストレス状況下ではなおさらである」。

一部の専門家は、企業が業績を監査・追跡し、早期に危険信号を発見することを推奨している。典型的な危険信号としては「チームメンバー間の業績の大きなばらつき」や「異常に高い目標達成」などが挙げられる。企業は、必ずしも結果ではなく、パターンに注視すべきだ。「異常な秘密主義、監視への抵抗、説明のつかない方法で同僚を凌駕する業績など、行動の急激な変化は、重要な意味を持つ」と、キングスリー・ザメット雇用弁護士事務所のパートナーであるケルシー・ザメット氏は述べている。「こうしたパターンは、特に財務や営業といったリスクの高い分野では、より詳細な調査が必要となる」。

一部の企業は、データ分析とAIベースのアルゴリズムを組み込んだスクリーニング技術を導入し、従業員の行動を分析している。こうしたツールは、パターンを追跡し、異常を特定し、問題が発生する前に不審な活動について管理者に警告を発する。例えば、変更検出ソフトウェア*)は、共有ドライブや給与計算処理における編集履歴、タイムスタンプ、ユーザーアクセスなどを検出し、従業員がスプレッドシートの数式を変更して不正行為を行った場合など、潜在的な危険信号を企業に警告する。

*)訳者注:変更検出ソフトウェア(Change Detection Software)とは、ITシステム内のファイル、設定、システムログ、あるいはウェブサイトなどの「状態」を常に監視し、許可されていない、あるいは予期せぬ「変更(改ざんやミス)」が行われた際、リアルタイムでそれを検知して管理者に通知するシステムのこと。セキュリティの業界では、特にファイルや設定の整合性を保つという意味で、FIM(File Integrity Monitoring / ファイル整合性監視)と呼ばれる技術や製品がこれに該当する。

しかし、テクノロジーには限界があると、テクノロジーセキュリティ企業OrcusのCEO、ニック・アダムス氏は警告する。AI、ソーシャルメディアチェック、心理測定スクリーニングは膨大なデータを提供できるが、そのすべてが有用とは限らない。対象を絞ったスクリーニングではなく、包括的なキーロギング*)を行うと、膨大な量のデータが蓄積され、精査が困難になることが多い。ほとんどの場合、従業員の大多数は規則を遵守しようとするため、不正行為の兆候は現れないだろうとアダムス氏は述べている。さらに、過剰な監視とデータ収集は不信感を生み、不正行為者は暗号化された個人用デバイスを使用するようになり、社内監視はさらに困難となる。

*)訳者注:「キーロギング(Keylogging )」とは、PCやスマートフォンなどのキーボードで「どのキーが、どの順番で叩かれたか」という入力をすべて記録(ログ化)する技術や行為のこと。一般的には「パスワードを盗むマルウェア」として知られているが、ビジネスやコンプライアンスの文脈では、「セキュリティ対策としての監視」と「プライバシー・労働法上のリスク」という、表裏一体の二面性を持つトピックとして扱われる。

「情報が増えれば予防策が増えるとは限らない」と、ソフトウェアベンダーGuardian HRのCEO、マイケル・ゴールドファーブ氏は語る。「テクノロジーだけではこの問題を解決できない。文化、ポリシー、そして執行こそが重要だ」。解決策は「採用は慎重に、解雇は迅速に行うこと。業績と行動を監視し、そして何よりも重要なのは、問題がニュースになる前に危険信号を察知できる権限とトレーニングをマネージャーに与えることだ」と、彼は考えている。

不正行為の早期警報

人事サービスプロバイダーPEO-Marketplace.comのCEO、ギレルモ・トリアナ氏によると、企業が犯す最大の過ちは「不正行為を突如として発生するものと考えること」だという。「そうではなく、何カ月もかけて徐々に進行するのだ。誰かが規則を破るとき、大抵のケースではまず規則を少し捻じ曲げていたのである。でも、それに気づけなかったのだ」。

トリアナ氏は、一つの兆候として「プロセスの逸脱」を挙げている。「以前は3時間で済んでいたレポート作成に7時間かかるようになったら、その理由を問わなければならない。従業員がベンダーデータの取得方法を頻繁に変更したり、これまで必要なかったアカウントへの読み取り専用アクセスを要求し始めたりしたら、それは監査のトリガーとすべきだ。ほとんどの人は突然不正行為に走るのではなく、下準備をする。従って、パターンに変化が見られたら、原因が判明するまでその状況を注視すべきである」。

「不正行為を働く従業員は、決していい加減な印象を与えない」とトリアナ氏は警告する。「実際、私が最初にチェックするのは、最もきれいに見えるExcelシートだ」と彼は言う。「誰かがローテーションやレビューなしに過剰な権限を握っている場合、それはシャドーシステム*)を運用していることになる。そこで損害が発生するのだ。中堅アナリストがベンダークレジットを監視されていない総勘定元帳に振り替え続けたために、1四半期で8万ドルもの損失を出したチームを私は見た。彼は他の従業員にソフトウェアの使い方を教えていたため、誰も彼の編集に疑問を抱かなかったのだ」。

*)訳者注:「シャドーシステム(Shadow Systems)」とは、企業のIT部門の許可や管理を得ずに、現場の部門や個人の判断で導入・運用されているシステムやソフトウェア、データ管理の仕組みのこと。近年よく耳にする「シャドーIT(Shadow IT)」とほぼ同義だが、シャドーシステムという場合は、単一のアプリだけでなく、現場が独自に構築した「業務プロセスやデータベースそのもの」を指す場合が多い。

企業はリスクを軽減するために、アクセス権限を分割し、影響力を分離する必要がある。「支払スケジュールを承認し、編集できる人は誰でもリスクだ」とトリアナ氏は言う。「職務分掌とは、誰にも完全な権限を与えないということだ。人は捕まる心配がなくなると、好き勝手に振る舞い始める。つまり、(包括的な権限を避け、権限は複数の人に分けて)少しでも捕まりやすくしておくことが肝要なのだ」。

しかし、企業は従業員の不正行為を個人の責任とみなし、会社とは何の関係もないと考えるべきではない。「不正行為のほとんどは、目標達成へのプレッシャーが社内規定遵守へのプレッシャーよりも高い場合に発生する」とトリアナ氏は述べている。「これは経営上の問題なのだ。ボーナス制度が正確性ではなく量を重視している場合、不正行為を招くことになる。私が分析する不正事件はすべて報酬制度から始まり、最終的にはずさんな監督で終わる。倫理規定のポスターにばかり気を取られるのではなく、インセンティブ制度にもっと注意を払うべきなのである」。

雇用関係の弁護士としての経験を持つシャメット氏は、「不正行為を行った従業員にレッテルを貼ること」は「より組織的な問題を隠蔽する可能性がある」と警告している。重要な要因の一つは、組織が強固な内部統制を適用していないことなのだ。「不正行為の多くは、企業が適切なチェック・アンド・バランスの仕組みを備えていない場合に発生する」と彼女は述べている。「職務分担、業務のローテーション、高額取引における二重承認の義務化は、不正行為の機会を制限することができる」。

人事コンサルティング会社Career NomadのCEO、パトリス・ウィリアムズ=リンド氏も、「不正行為を行う従業員は突如として現れるわけではない」と考えている。「彼らは、そもそも不正行為を検知するように設計されていない、時代遅れのシステムをすり抜けているのだ」と彼女は言う。「実際には、こうした従業員は、一線を越えるまでギリギリのところで報酬を得てきた優秀な人材であることが多い。警告の兆候はあったにもかかわらず、無視されてきた。なぜだろうか?それは、彼らが成果を上げていたからだ」。

彼女はさらに、倫理観に欠けるインセンティブ制度が不正行為の「温床」になると付け加えた。「報酬制度が倫理を無視して業績指標ばかりを重視しているなら、リスクを管理しているのではなく、リスクを生み出しているのだ」と彼女は言う。したがって、企業は業績だけでなく、仕事の実態も追跡し、報酬制度を、あたかもフォレンジック会計士のように監査すべきなのである。

透明性と説明責任の文化を醸成せよ

不正行為を行う従業員の問題に対処するには、人事部門とリスク管理部門は「懲罰的な対応だけでなく、積極的な対応」を取り、「声を上げることで、キャリアを台無しにすることはない環境を醸成する」必要があると、ウィリアムズ=リンド氏は考えている。企業は、従業員が報復を恐れることなく、企業方針の悪用の可能性について懸念を表明できる適切なチャネルを提供することで、従業員の権利を強化する必要がある。「内部告発者はしばしば不正行為者を最初に発見するが、社内通報システムが罠だと評判になっていると、誰も声を上げようとしない」と彼女は述べている。

企業が不正行為を行う従業員を排除し、潜在的な犯罪行為を摘発するには、経営陣が正しい姿勢を示すことが不可欠だ。この文化を促進するためには、経営幹部や上級管理職が、企業が重視する行動を率先して示す必要がある。これは、規則違反者をより効果的に特定するのにも役立つ。 「透明性と説明責任を重視する文化こそが、問題のある従業員を見抜く最良の方法だ」とデニング氏は述べた。なぜなら、不正を犯す従業員はミスや業績不振を隠蔽する傾向が強く、組織の潮流に逆行するからである。

サメット氏は、リーダーがコンプライアンス文化の構築に注力することが極めて重要だと考えている。これには、不正行為の兆候を早期に察知して迅速に対応すること、模範的な行動を奨励すること、そして「トップリーダーが部下と同じ基準で行動すること」が含まれると彼女は述べている。

不正行為を行う従業員を、被害をもたらす前に特定することは決して容易ではないが、企業は少なくともリスクとインセンティブが存在する場所を評価し、それらを抑制することができる。明らかな危険信号としては、結果を問うことなく高額な報酬を提供するボーナス制度や、従業員が自身の業務の監視と承認を自ら行っている業務領域などが挙げられる。こうした高リスク領域を明らかにすることで、企業自身のガバナンスが問題を解決するどころか、むしろ助長しているのではないかという社内議論が生まれ、経営陣、人事部門、リスク管理チームは、組織が状況を改善するためにどのような措置を講じるべきかを検討するようになるはずだ。

トピック
コンプライアンス、不正行為、リスク管理

*)この記事は、” Going Rogue: How to Detect and Prevent Employee Misconduct,” Neil Hodge | April 30, 2026, RIMS Risk Management Site:
https://www.rmmagazine.com/articles/article/2026/04/30/going-rogue--how-to-detect-and-prevent-employee-misconduct
をRIMS日本支部が翻訳したものであり、原文と訳文に差異がある場合には原文を優先します。
原著者のニール・ホッジは英国を拠点とするフリーランスジャーナリスト。
訳者である鈴木英夫はRIMS日本支部主席研究員。