のぞみ総合法律事務所
弁護士　吉田　桂公　

 １　「コンダクト・リスク」とは

　近時、「コンダクト・リスク」という概念が注目されています。金融庁「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方（コンプライアンス・リスク管理基本方針）」[1]では、「コンダクト・リスク」について、「法令として規律が整備されていないものの、①社会規範に悖る行為、②商慣習や市場慣行に反する行為、③利用者の視点の欠如した行為等につながり、結果として企業価値が大きく毀損される場合が少なくない。」と指摘しています（同11～12頁）。
　また、金融庁「コンプライアンス・リスク管理に関する傾向と課題」（2020年7月一部更新）（以下「傾向と課題」といいます。）[2]では、「ルールの整備よりも、社会の目、社会の要請、対企業といった観点では、各種ステークホルダーの要請といったものの方が、より早いスピードで変化している。そして、そのような要請に反する行為に対しては、たとえ明確に禁止するルールがない行為等であったとしても、それが不適切だとの見方が社会的に高まれば、容赦のない批判が寄せられ、コンプライアンス・リスクが顕在化し、企業価値が大きく毀損されることが起こり得ることから、経営陣を中心に想像力を柔軟に働かせつつ、企業価値の向上につながるコンプライアンス・リスク管理を実践すべく、継続的な検討を行っていくことが望ましいと考えられる。」と記載し（同32頁）、「ルール」だけでなく、「各種ステークホルダーの要請」を意識することの重要性を説いています。
　さらに、日本取引所自主規制法人「上場会社における不祥事予防のプリンシプル」の「原則1」[3]でも、「自社のコンプライアンスの状況を制度・実態の両面にわたり正確に把握する。明文の法令・ルールの遵守にとどまらず、取引先・顧客・従業員などステークホルダーへの誠実な対応や、広く社会規範を踏まえた業務運営の在り方にも着眼する。その際、社内慣習や業界慣行を無反省に所与のものとせず、また規範に対する社会的意識の変化にも鋭敏な感覚を持つ。これらの実態把握の仕組みを持続的かつ自律的に機能させる。」と記載し、「明文の法令・ルールの遵守」にとどまらず、「取引先・顧客・従業員などステークホルダーへの誠実な対応」や、「広く社会規範を踏まえた業務運営の在り方」を重視しています。
　法律はさまざまな社会的事実を背景として作られますが、国会での審議等を経る必要があり、どうしても制定・改正には時間がかかります。こうした中で、法律だけに目を向けていては、常に変化する世の中の動きや社会常識に後れをとるおそれがあります。「法令」や「ルール」に違反していなくても、「社会規範」や「各種ステークホルダーの要請」に反するような行為を行えば、企業のレピュテーションを毀損し、企業価値を低下させてしまうのです。

２　「コンダクト・リスク」の管理手法

「コンダクト・リスク」の管理は、リスクベース・アプローチの考え方、すなわち、コンダクト・リスクの「特定・識別」、「評価」、「低減・制御」の観点で行うことが有用です。

（１）特定・識別

　①PEST分析（注）等の外部環境分析、②（他業種・他業態を含む）他社で発生した不適切事例の研究、③自社の事業計画・営業戦略に内在するリスクの分析、④現場自主点検、内部監査等の結果、⑤現場に対するアンケート・ヒアリングの結果（現場におけるリスク・懸念・問題意識等の把握）、⑥業務提携先に対するモニタリング結果、⑦顧客からの苦情等といった情報をもとに、コンダクト・リスクの特定・識別を行うことが考えられます。

　（注）PEST分析とは、Politics（政治的要因：政治、法規制等）、Economy（経済的要因：消費動向等）、Society（社会的要因：世論、環境等）、Technology（技術的要因：技術革新等）の4つの視点からマクロ環境の分析を行うことをいいます。例えば、昨今、「ビジネスと人権」[4]は企業経営における重要課題ですが、これは「Society」に関する事項です。

（２）評価

　「問題発生時の影響度」と「問題発生の可能性」を掛け合わせてリスク量を算出することになりますが、例えば、リスクの高まっている領域を特定して「見える化」すべく、リスク・マトリックスやリスク・ヒートマップ（顕在化の可能性と顕在化した際の影響度等の観点から対応すべきリスクを図式化したもの）等を活用するとともに、定期的に見直しを実施することが考えられます（傾向と課題30頁参照）。
　また、不祥事件届出件数、社内規程の違反件数、指導者層の不適切行為の件数、懲罰事案の件数、内部告発件数、課徴金支払件数、研修の未受講者数、職員から聴取した自社の推奨度、職員向け意識調査やストレスチェックのスコア、労働時間等に着目し、警戒基準を設定することが考えられます（傾向と課題30頁参照）。

（３）低減・制御

　低減・制御の取組みとしては、①PDCAサイクル（Plan（計画）：方針・規程の策定、Do（実行）：組織体制の整備、役職員に対する教育・管理・指導、Check（評価）：態勢の評価、Act（改善）：当該評価に基づく態勢の改善活動（規程、組織体制等の見直し）をそれぞれ適切に行っているかを検証する業務改善のプロセス）の実践（図1）と②3線管理（事業部門（第1線）、管理部門（第2線）、内部監査部門（第3線）によるリスクマネジメント）が重要です。近時、事業部門の内部に牽制のための職員（第1.5線）を配置して、当該職員にて準拠性の検証を行う等、日常業務におけるリスク管理のPDCAサイクルをよりフロントに近いところで行う事例も増えています（傾向と課題18～19頁参照）（図2）。

＜図1＞

＜図2＞

３　最後に

　VUCA時代と呼ばれる昨今、全役職員がよって立つ、ぶれない「パーパス」が重要です（よく経営の“北極星”とも呼ばれます）。「自分たちは何のために存在するのか」「自分たちが本当に達成したいことは何か」を真摯に考える。最近流行りの「SDGs」や「ESG」といった言葉に踊らされるのではなく、また、他社の真似事をするのではなく、自社独自のパーパスをしっかりと考え抜くことが必要です。こうしたパーパスを策定し、それを全役職員が腹落ちでき、1人1人が自分事化できれば、業務・サービス品質は高まり、コンダクト・リスクを意識せずとも、その顕在化を抑制することができると思います。そうした企業文化の醸成が重要です。

[1] https://www.fsa.go.jp/news/30/dp/compliance_revised.pdf

[2] https://www.fsa.go.jp/news/r2/dp/compliance_report_update.pdf

[3] https://www.jpx.co.jp/regulation/listing/preventive-principles/index.html

[4] https://www.moj.go.jp/JINKEN/jinken04_00090.html、https://www.mofa.go.jp/mofaj/gaiko/bhr/index.html参照。