なぜ今「コンプライアンス」が問われるのか
コンプライアンスは法令遵守にとどまらず、社内規程や社会的要請への適切な対応を含む総合的な枠組みである。不祥事を受けた規制強化、SNSによる不適切行為の可視化で、社会的信頼を損なうような逸脱した行為は企業価値の毀損(きそん)に直結する。
中小企業においても「規程の明文化」「役割別教育」「記録の整備」「是正の仕組み」を循環させる運用が必須である。経営・管理職・実務担当が役割を分担し、継続的に仕組みを磨くことが今、問われている。
コンプライアンスとは
コンプライアンスとは、法令遵守にとどまらず、社内規程・業務プロセスの整合、ならびに社会的妥当性(社会の期待・倫理)を含めて適切に対応する組織運営の枠組みである。実務的には、①適用法令の把握、②社内ルールの設計と運用、③利害関係者への影響評価の三点を統合的に管理する。
三層モデル(同時充足の要件)
法令:自社事業に適用される法律・省令・ガイドラインを特定し、遵守する。
社内規程:行動規範、各種ポリシー、手続書、権限規程などの整備と運用を通じ、再現性のあるルールに落とし込む。
社会的妥当性:法令や規程に適合していても、社会的に許容されるかを検討する。判断に迷う場面では「社会から見て妥当か」を補助線として用いる。
ISO 37301の考え方(コンプライアンス・マネジメントシステム)
ISO 37301は、認証取得も可能な国際規格であり、コンプライアンスを「マネジメントシステム」として継続的に運用することを重視している。柱は次の5点である。
・トップのコミットメント:経営層が方針を明示し、必要な資源を付与する。
・リスクベースアプローチ:重大性と発生可能性に基づき優先度を定め、対策と資源配分を最適化する。
・規程整備:行動規範・ポリシー・手続の体系化と整合管理を行う。
・教育・コミュニケーション:役割別教育、周知、相談・通報チャネルの機能化。
・監視・是正:監視・監査による有効性評価と是正措置、継続的改善。
弁護士に聞く!よくある違反事例Q&A
ここからはコンプライアンスのよくある違反事例を取り上げ、TMI総合法律事務所に所属する弁護士の堀田陽平先生に法務実務の立場から、どのような法的リスクがあるか、再発防止策として何に留意すべきかをアドバイスしていただいた。
個人情報・機密情報の社外持ち出し(私物PC・個人クラウド保存)
<ケース1>業務データ(顧客情報、見積り、設計資料など)が私物端末や個人クラウドに保存されていた事例が判明した。漏えいは確認されていないが、社外持ち出しの管理不備が疑われる。
法的リスク<ケース1>
個人情報や機密情報を含む業務データが私物端末や個人クラウドに保存されているというように社外から重要な情報が持ち出されているケースでは、結果的に情報漏えいが発生するリスクがあります。
ケース1では漏えいが確認されていないという状況ではあるものの、当該従業員が自分の端末など等をどのように利用したかを追い切ることは難しく、「実際に漏えいしたか」は不明であることが多いでしょう。したがって、これらの情報が会社の管理下から外れ従業員が管理する端末などに移ってしまっていること自体が問題と言えます。
個人情報や機密情報が漏えいしてしまった場合、個人情報保護法違反があることはもちろんのこと、機密情報が顧客リストや仕入れ情報、その他自社の経営情報である場合や、自社が開発している特殊な製品、技術情報などであった場合は、これが競合他社に利用され自社の競争力の低下を招くリスクがあります。
また、当該情報は、特定の取引先との契約に関する情報である場合、当該取引先との取引契約上の秘密保持条項に違反し、当該取引先から契約の解除や損害賠償請求を受ける可能性があります。なによりも、そのような情報漏えいを起こしてしまったということが報じられると、社会的信用を大きく失ってしまうリスクもあります。
再発防止策
再発防止策としては、情報管理の徹底が必要となります。具体的な対応としてはさまざま考えられますが、一つの参考となるものとしては、経済産業省の「情報セキュリティ管理基準」が挙げられます。
「情報セキュリティ管理基準」では、情報管理の基準として、
①組織体のガバナンスのうち、情報セキュリティガバナンスを確立するための目的およびプロセスについて示す「ガバナンス基準」
②情報セキュリティマネジメントの計画、実行、点検、処置に必要な実施事項を定める「マネジメント基準」
③組織における情報セキュリティマネジメントの確立段階において、リスク対応方 針に従って管理策を選択する際の選択肢を示す「管理策基準」
を挙げています。
詳細については「情報セキュリティ管理基準」をご覧いただければと思いますが、社内の情報は有用な情報であるためある程度の利用が前提です。また、些末な情報にまでコストをかけてシステムを活用することも現実的ではありません。
したがって、重要なのは、社内の情報を一度洗い出し、その重要度を評価・区分したうえで、セキュリティソフトの活用や管理方法、アクセス権限などを区分していくことです。そのうえで、社内の規程作成や管理、従業員教育を地道に行っていくことが重要でしょう。
ハラスメント疑義(指導の行き過ぎに関する複数指摘)
<ケース2>上司の指導が行き過ぎているという声が複数上がり、被害申告が出ている。事実認定が難しく、評価が割れる状況である。
法的リスク<ケース2>
昨今、ハラスメントに対する社会的関心の高まりから、企業でハラスメントが発生するとテレビや新聞などで大きく取り上げられたり、SNS上で“炎上”してしまうことも多いです。
このような社会的な状況から、残念ながら従業員側も「SNSを投稿する」という旨を述べて対応を迫るケースもあります。
そのため、社内でハラスメントが発生した場合には、迅速かつ適切な対応が必要になります。いわゆるセクハラ、パワハラ、マタハラについては、各種労働関係法令によって、会社に対してこれらのハラスメントを防止する措置義務が課せられています(たとえば、パワハラについては労働施策総合推進法30条の1項および2項)。
具体的には、
(1)事業主の方針等の明確化およびその周知・啓発
(2)相談・苦情に応じ、適切に対応するために必要な体制の整備
(3)職場におけるパワーハラスメントに係る事後の迅速かつ適切な対応など
を講じる必要があります。
そのため、パワハラの申告があった場合には、「迅速かつ適切な対応」が必要となり、具体的には事実関係の迅速かつ正確な確認と、それに基づくハラスメント加害者に対する適正な対応が求められています。
1)ハラスメント申告への対応
上記のとおり、ハラスメントの申告があった場合には、申告者に対してヒアリング調査の希望の有無を確認し、希望がある場合にはヒアリングを実施しましょう。
ここで注意が必要であるのは、申告者が、匿名でのヒアリングを希望しているのか、実名でのヒアリングを希望しているのかの確認です。ハラスメントを申告した人は、加害者とされている従業員に自らが申告した事実が発覚し、2次被害が発生することを恐れているケースが多いです。
そのため、ハラスメントの申告はしたものの自らの名前を明かさずに調査を希望するケースもあり、匿名でのヒアリングを希望しているのか否かを確認したうえで調査を進めましょう。
また、ヒアリングにあたっては、まず被害者とされる方からヒアリングを行い、その後、加害者とされる方からのヒアリングを行います。
そこで、被害者とされる方と加害者とされる方とのヒアリング結果に相違がある場合には、他に客観的な証拠により事実関係を確定できないのであれば、第三者に対してヒアリングを行うことになります。
この場合も、申告者としては、第三者にまで話を広げてほしくないという希望を持っていることがあるため、申告者から第三者へのヒアリングの可否を確認しておくと良いでしょう。
2)事実認定上のポイント
ハラスメント(特にセクハラ)は、秘密裏に行われることが多く、メールなどの客観的証拠はもちろん、他の目撃者もおらず第三者からのヒアリングを行うことも難しい可能性が高いです。
そのような場合に、企業としてどのように事実関係を認定すればよいかが問題になります。この点は悩ましいところですが、後述3)のとおり、ハラスメントがあると認定した場合には、企業としては加害者に懲戒処分を行うことが選択肢となります。
そして、仮に加害者からその懲戒処分が無効であると主張され、訴訟や労働審判になった場合には、会社側において懲戒処分の有効性を主張しなければならず、会社が「ハラスメントの事実があった」ことを証明しなければなりません。
このようにハラスメントに対する懲戒処分が訴訟等で争われた場合を考えると、被害者とされている方と加害者とされている方の供述が一致しておらず、他の目撃者や客観的証拠もない場合には、会社としては、当該事実は「認定できなかった」(≠なかった)という結論を出さざるを得ないでしょう。
3)調査結果を踏まえた対応
ヒアリング調査や客観的資料に照らして、事実関係が確認できた場合には、その事実が「パワハラ」に当たるのか否かを評価する必要があります。ここでは法的な評価も入ってくるため、弁護士や社労士等の専門家に相談することも検討すると良いでしょう。
なお、上記2)のとおり、被害者とされている方と加害者とされている方の供述が一致しておらず、他の目撃者や客観的証拠もない場合には、被害者とされている方の主張する事実は認定できないことになります。
ただし、その場合でも、被害者とされている方が主張する事実関係に一部でも認定できる場合は一部だけ認定したうえでハラスメントか否かを評価したり、結論的にハラスメントとまではいえないにしても、「不適切」な言動があったのであれば、それはそれで職場秩序を害する行為として注意指導や軽微な処分を行うべきでしょう。
4)再発防止策
会社に課されているハラスメントの防止措置として、再発防止措置も含まれています。
ハラスメントが発生しないのであれば、それにこしたことはないものの、やはりハラスメントは起こり得ますので、この再発防止が特に重要になります。
再発防止策としては、典型的にはハラスメント研修を行うことが挙げられます。ハラスメント研修は、一度行っても徐々に効果が薄れていくとされているため、定期的にハラスメント研修を実施すると良いでしょう。
また、加害者である上長などの降格や異動を行ったり、1対1になる場面をできる限り減らすなどの物理的な措置を講じることも重要です。
労働法違反(残業代未払い・労働時間管理 など)
<ケース3>固定残業代(一定時間分の残業手当を定額で支払う制度)の設定・説明があいまいで、所定時間を超える分の未払いが疑われる。勤怠記録と給与計算の整合性が問題になっている。
残業代未払いや労働時間管理の不備といった事象も、労働基準法違反につながり、労働基準監督署からの是正勧告がなされたり、消滅時効にかかっていない過去3年分の未払賃金請求がなされるといった法的リスクをもたらします。
また、この点もハラスメントと同様にSNSなどで取り上げられると“炎上”してしまい、社会的な信用を損なうとともに、「労働基準法を守らない会社だ」として人材獲得にも重大な影響を及ぼす恐れがあります。
残業代を含めた賃金の支払いや労働時間の管理は、労使関係において極めて基本的かつ重要な事項であるので、しっかりと対応しておく必要があります。
固定残業代
1)法的リスク
まず、ケース3のうちの固定残業代についてみていきましょう。時々SNSなどでも「固定残業代は適法・有効なのか」という議論がなされていることがありますが、結論的には、固定残業代は、しっかりと要件を充足しておくことで適法かつ有効に導入できます。
具体的には、固定残業代が①割増賃金の対価として支払われているか(対価性)、②通常の賃金部分と割増賃金としての部分が明確に区分されているか(明確区分性や区別可能性などと言われます)の2つの要件を満たす必要があります(➁の程度については学説や裁判例でも若干見解が割れていますが、本稿では省略します。)。
固定残業代は、原則的な割増賃金の支払い方法とは異なることから、裁判所は上記2要件を厳格に判断する傾向にあります。 時折、会社の方から、口頭で「基本給には残業代も入っていることを説明しているので分かっているはずだ。」という主張をされることがありますが、口頭でそのように説明されただけでは有効にならないと考えておきましょう。
2)再発防止策
固定残業代が無効である場合の再発防止策としては、まずもって上記の要件に従った固定残業代制度をしっかりと導入することです。
上記のとおり「口頭で伝えているから分かっているはずだ」という理屈は通用しないと考えましょう。
また、一度上記要件に従って固定残業代を導入した場合でも、昇給などによって割増賃金の算定基礎が上がった場合には、固定残業代の金額に変更が生じる可能性があります。そのため、昇給などのタイミングで随時固定残業代制度を見直し、みなされる労働時間や金額を明示しなおすようにしましょう。
なお、固定残業代が有効であったとしても、みなされる時間・金額を超える労働時間が発生した場合には、超えた分は通常どおり割増賃金を支払うことになります。
労働時間の適正把握・管理
1)法的リスク
労働時間の把握・管理は、残業代の未払いという問題のほかに、長時間労働による過労死等にもつながる可能性があります。特に後者のような事象が発生した場合は、法的なリスクだけでなく、マスコミやSNSなどで取り上げると大きな社会問題になるリスクもありますので、しっかりと対応しておきましょう。
また、長時間労働が疑われる事業所に対する監督指導の結果は厚労省のHPで公表されてしまう可能性がありますので、このような公表リスクもあります。
<参考>長時間労働が疑われる事業場に対する令和6年度の監督指導結果を公表(厚生労働省)
2)再発防止策
実は、労働基準法には、「事業主は労働時間を把握・管理せよ」と義務付けた規定はありません。
しかし、「労働時間の適正な把握のために使用者が講ずべき措置に関するガイドライン」(平成29年1月20日策定)では、労働基準法の労働時間規制を前提とすると、事業主には労働時間を適正に把握・管理する“責務”があるとし、労働時間の適正な把握・管理を求めています。
同ガイドラインでは、原則的な把握方法として、①現認による確認、②タイムカード、パソコンの使用時間の記録などの客観的な記録による把握を挙げています。
他方で、③自己申告制は「やむを得ない」場合の例外的な把握方法とされており、自己申告制によって労働時間を把握する場合には、労働者自身も含めて説明し、PCログなどの客観的な労働時間との乖離がある場合は実態調査を実施し、労働時間の補正を行うなどの措置が必要とされています。
したがって、会社としては当該ガイドラインに従った労働時間の把握・管理するために、PCログやオフィスへの入退館記録などで客観的に労働時間を管理できるツールを活用することが適当です。
もちろん、費用などの観点からそのようなツールの導入が難しい場合がありますが、自己申告制を採用している場合は、従業員としても過少申告をしてしまうケースがあります。残念なことに、長時間労働の抑制を進めている会社ほど、「長時間労働がばれたくない」という理由から過少申告をしてしまうケースがあります。
上記のとおり、会社としてそれだけに頼った労働時間管理をすることはできないこととなっていますので、定期的に客観的な労働時間の記録との整合性を図りつつ、従業員に対しても、適正な労働時間記録を定期的に指導するとよいでしょう。
そして、長時間労働の実態がみられる場合には、業務量の調整や人員体制の見直しなど、長時間労働が起きないようにする取り組みも重要になります。
実効性あるコンプライアンス体制をつくる――役割設計から運用・監査まで
コンプライアンスは、先述したとおり、法令遵守だけでなく、組織の信頼性と持続可能性を支える「経営基盤」である。規程を整備し、教育し、記録を残し、問題があれば是正する。その一つひとつは部分的に見えるが、本質的には組織全体で回すマネジメントサイクルである。
しかし、サイクルが形骸化するケースは少なくない。その背景には、役割分担のあいまいさ、現場への落とし込み不足、記録の不統一、是正措置の未完了、内部通報やSNSリスクの過小評価、監査が「点検」で終わる構造的課題、といった要因が考えられる。
下記に、経営・管理職・実務担当の役割設計から、規程運用・教育・記録管理・是正のサイクル、さらに内部通報・SNS・監査とモニタリングまでを一連の流れとして整理し、組織が「機能するコンプライアンス」を構築するための実務的ポイントをまとめた。
体制整備――経営・管理職・実務担当の役割分担
経営:守るべき範囲(コンプライアンス義務)を明確化し、方針と資源を付与する。重要リスクの優先度を定め、重大事案の最終判断に責任を持つ。
管理職:行動基準を現場の言葉に置き換え、具体的なOK/NGを示す。教育・面談・点検で判断の型を浸透させ、兆候を把握したら事実確認と関係者保護を優先して担当部門と連携する。
実務部門(人事・総務・法務・内部監査など):規程・教育・記録・モニタリング・是正の仕組みを設計・維持する。規程は簡潔かつ具体的に記し、例外手続きを明記。教育は役割別・テーマ別に設計し、KPIで追跡。記録は一元管理し、ナレッジ化して事案対応と監査の効率を高める。モニタリングは定点+イベントで運転し、是正は原因分析から効果検証まで標準様式で回す。
横断連携:情報セキュリティ、労務、品質、サプライヤーなどのテーマ別リスクを四半期に共有し、指標・事例・是正状況を持ち寄って優先度と資源配分を更新する。
実務の運用ポイント――規程、教育、記録、是正のサイクル
運用の中核は「規程→教育→記録→是正」の循環である。各要素は短く・具体的・検証可能であることが鍵となる。
①規程整備
行動規範・ポリシー(情報、ハラスメント、労務、安全衛生、SNS など)は抽象論を避け、現場の選択肢まで踏み込む。禁止例/望ましい例を対で示し、例外の承認条件を明文化。改定時は差分・適用開始日・経過措置を示し、詳細はハンドブックやFAQへ分離して可読性を確保する
②教育・コミュニケーション
役割別(経営・管理職・一般)×テーマ別で年次必修+スポットを設計。ケースと小テストで理解度を測り、受講率/合格率をKPIにする。教材は最新事例を反映し、10~15分のマイクロラーニングを混ぜて反復性を高める。周知はメール、朝礼、ポータル、チャットを組み合わせる。
③記録(証跡)
受講履歴、チェックリスト、承認フロー、通報・調査記録、是正報告を一元管理し検索可能なナレッジにする。調査メモ/原因分析/是正計画/フォロー結果のテンプレートを用い、属人性を排除する。記録の完全性は監査と外部説明の基盤である。
④是正・予防
事案ごとに事実認定→原因分析→再発防止策→効果検証を標準手順で実施。原因は個人・プロセス・技術・文化で切り分け、再発防止策には期限・責任者・評価指標を付す。未完了の是正を残さないようフォローアップを徹底する。
内部通報(ホットライン)と調査の運用
内部通報は自浄作用の要である。窓口設計/初動/調査/是正・報告/透明性を整えることが必要だ。
窓口設計:匿名・実名の選択、社外窓口、報復禁止の明記。電話・メール・Web・対面など複数チャネルを用意し、受付からクローズまでの一般的な流れをガイドラインで示す。
受付~初動:受付記録を作成し、重大性・緊急性を一次評価。関係者保護と証拠保全を迅速に行い、対応期限を設定する。
調査:範囲設定、ログ・メール・勤怠などの証拠保全、インタビューのバイアス管理、推論過程の記録化。反証機会の付与を含め、結論の根拠を残す。
是正・報告:是正計画、懲戒の適用基準、教育の再設計、再発防止のフォローまで一連で扱う。経営報告は事実/判断/是正/残課題を簡潔にまとめる。
透明性:匿名化事例を四半期に共有し、基準の再確認と教材更新に接続。可能な範囲で通報者へフィードバックする。
SNS時代の炎上・不適切投稿対策
主なリスクは機密漏えい、顧客情報の不適切な扱い、差別的・攻撃的表現、誤情報拡散である。対策は行動基準/モニタリング/初動対応/教育で構成する。
行動基準:私的領域と業務の線引き、社名・顧客情報の扱い、批判への対応原則、画像・位置情報・第三者同意の留意点を具体例で提示。生成AIの取り扱い(著作権、出典、ディープフェイク禁止)を含める。
モニタリング:キーワード監視などでガイドライン違反を早期検知。ただし目的と範囲を明確にし、プライバシーに配慮する。
初動対応:事実確認→謝罪・訂正→原因分析→再発防止を標準化し、広報・法務・人事で複眼的に確認して判断する。謝罪文・訂正方法・社内説明・外部Q&Aの準備をしておく。
教育:最新事例を短時間で学習できる動画などの教材にし、画像・位置情報・生成AIの利用規律を具体的に示す。管理職向けには相談対応の要点を含める。
モニタリングと内部監査
モニタリングと内部監査は仕組みの有効性評価と改善の駆動力が必要とされる。
KPI:教育受講率・合格率、通報件数とクローズ率、是正完了までの日数、監査指摘の再発率。指標は背景解釈が重要。(たとえば、通報増は制度信頼の向上の可能性でもある。もっとも、同一類型の通報が継続的に発生している場合は、是正の実効性に課題が残っている可能性も併せて検討する必要がある。)
リスクレビュー:重大性×発生可能性のマトリクスを四半期更新。新規事業・制度改定時は臨時レビューを行い、優先度と資源配分を規程、教育、技術対策に連動させる。
サンプリング監査:規程遵守の抜き取り、証跡の完全性、是正の実効性を検証。チェックリストに現場インタビューとプロセス追跡を併用し、再発率の追跡で効果を確認する。
年次総括:成果と残課題を経営へ報告し、次期資源配分へ接続。規程改定、教育刷新、技術対策、体制再編の改善提案を優先順位付きで提示する。
まとめ
コンプライアンスは特定部署の業務ではなく、すべての従業員が日常的に担う組織運営の基盤である。まず重要なのは、自社が何を守るべきか、そして迷ったときにどう判断するかという基本を押さえることである。
そのために必要なのは、①行動規範・主要ポリシーの理解、②役割に応じた教育の受講、③判断に迷う場面での早期相談と記録の徹底、という三点に尽きる。これらを丁寧に実行するだけでも、逸脱の予防とリスクの早期発見に大きな効果がある。
一方で、管理運営を担う部門には、規程整備、教育設計、記録管理、改善プロセスの運用を継続的に磨く責務がある。大がかりな仕組みでなくとも、実情に合わせた小さな改善の積み重ねが、組織全体の信頼と健全性を高める。
コンプライアンスは「守る項目の一覧」ではなく、事業を持続させるための学習システムである。本文で示したポイントを手がかりに、自社の仕組みを一歩ずつ更新していくことが、もっとも確実な前進となる。
