メインメニューをとばして、このページの本文エリアへ

不正調査・リスク管理における人工知能(AI)・機械学習の活用

沼田 知之

不正調査・リスク管理におけるAI・機械学習の活用
- 法的分析による仮説・検証アプローチ

西村あさひ法律事務所
弁護士 沼田 知之

沼田 知之(ぬまた・ともゆき)
 2004年東京大学法学部卒業、2006年東京大学法科大学院修了、2007年弁護士登録、西村あさひ法律事務所入所。M&A・業務提携における競争当局対応を含む独占禁止法案件、企業不祥事等の危機管理案件を中心とした企業法務に従事。

1 危機管理・リスク管理のための事実調査

 2019年には数多くの企業不祥事が明らかになり、経営トップの責任が問われたり、主力事業あるいは企業の存続そのものが危ぶまれるに至ったりするケースも見受けられた。企業が、企業不祥事の原因となるような不正行為(過失によるものを含む)の存在又はその可能性を把握した場合、企業が受けるダメージを最小化し、早期に企業活動を正常化させるためには、総合的・戦略的な危機管理対応が必要となる。

 企業内における不正行為の疑いが判明した場合、まず、被害の拡大を速やかに防止することが必要となる。例えば、特定の従業員が、会社の機密情報を社外に漏洩していることが疑われるのであれば、機密情報を含むデータの移動、サーバへのアクセス制限、パスワードの変更等により更なるデータ流出を防ぐことになる。また、不正行為により生じる影響の分析を行うことも重要である。漏洩したデータの中に顧客情報が含まれていて、個人情報保護法に違反する可能性はないか、取引先との契約上の秘密保持義務違反に該当しないか、機密情報の管理がずさんな企業として社会的非難を浴びたり、ビジネス上の信用が傷ついたりするのではないかなど、法律上又は事実上の影響について、幅広く検討すべきである。そして、このような影響分析に基づいて、規制当局・取引先・株主・投資家・マスメディア・消費者・金融機関といった企業を取り巻くステークホルダーへの対応方針を検討する。規制当局に対して法令上又は事実上の自主申告を行うべきか、プレスリリースや記者会見の要否やその内容についても、様々なステークホルダーへの影響を総合的に勘案しつつ判断していくことになる。不正行為に関与した関係者に対しては、社内処分や刑事・民事責任の追及についても検討すべきであろう。更に、将来に向けた備えとして、社内において同様の不正行為が今後行われることのないよう、再発防止策を策定することも欠かせない。

 事実調査は、これらの総合的・戦略的対応の全ての前提・基礎となる。不正の手口が分からなければ、被害拡大を防ぐためにどのような措置を講じるべきかが定まらず、不正行為による影響の分析もままならないであろう。そして、影響分析の誤りは、ステークホルダーへの対応や対外的な情報発信において致命的なミスに繋がりかねない。また、事実関係を正しく把握していなければ、関係者に対して適正な処分を行うことができずに社内におけるモラルハザードを招いたり、逆に過大な処分を行って被処分者から損害賠償請求を受けたりするといったことも起きかねない。再発防止策についても、不正行為の具体的内容を把握していなければ、実効的な対策を講じることはできないであろう。なお、ここでいう事実調査には、当初把握した不正行為そのものについての調査(本件調査)だけでなく、他に同種の不正行為が行われていないかに関する調査(件外調査)も含まれる点に留意が必要である。

 企業不祥事を起こさないためには、平時のリスク管理も大切になる。不祥事を起こした会社の中には、コーポレートガバナンスに積極的に取り組んだり、コンプライアンスに関する詳細な社内ルールを設けたりしている会社もあるが、不正行為を防ぐためには、組織体制や社内規程の整備だけでなく、事実調査に立脚したリスク管理が必要である。平時のリスク管理における事実調査には、①事業内容や会社の置かれた環境に照らし、会社の抱える事業のうち、どの事業のどのプロセスに不正行為のリスクがあるのか、そのリスクの具体的内容は何かを確認すること、②リスクの実現すなわち不正行為の端緒を早期に把握することの2つが含まれる。前者はいわゆるリスクマッピングと呼ばれる作業、後者はモニタリングや内部監査である。不正行為を防止するためには、事業内容・事業プロセス毎に、想定されるリスクに応じた管理体制を構築する「リスクベース・アプローチ(注1)」を採用することが有用である。この意味で、平時における2つの事実調査は、選択的・対立的関係にあるものではなく、相互補完的な関係にある。例えば、贈収賄リスクが高いとされている国・地域(注2)において、政府機関や地方自治体から許認可を得たり、道路利用や警護の提供などの行政サービスを受けたりして事業を実施している場合には、公務員に対する贈収賄(いわゆるファシリテーション・ペイメント(注3)を含む)のリスクに注意が必要であるから、より具体的なモニタリング・内部監査が必要となる。そして、モニタリング・内部監査の結果、許認可等の取得を現地のエージェントに委託しており、当該エージェントに対し高額の成功報酬が約されていることが発見された場合には、贈収賄リスクは更に高いものといえ、慎重な事実確認が求められることになる。

 以上のように、事実調査は、企業不祥事対応や、企業不祥事を未然に防ぐための平時対応の前提となるものであるが、事実調査の中でも重要なのが、客観的証拠の収集・分析である。客観的証拠は、刑事事件の捜査や行政機関による調査に当たっても無論重要であるが、強制力を持たず、事情聴取が可能な調査対象者の範囲に制約がある社内調査においては、より重要性が高いともいえる。その中でも、現在では、企業における事業活動において大きな役割を果たしている電子データ(電子メール、文書・画像・音声等の電子ファイル、チャット・メッセージングツール・電子掲示板等の履歴、売上データ・顧客データ・検査データ等)の収集(注4)・分析が極めて重要となっている。かつては、特に重大な不祥事案件や、海外当局への報告を要する事案、関係者に対する事情聴取等により、不正行為に関する証拠が電子データに残されている可能性が判明した事案については電子データの調査が行われる一方、それ以外の事案については、電子データの調査を行わないこともあった。これに対し、近年は、関係者がメール等の電子データ上には記録を残していないと供述した場合であっても、念のため電子データの確認を行うことが多く、件外調査の観点から、不正行為者のみならず、その周辺も含めた比較的広い範囲の関係者を対象とするケースも珍しくない。不正行為について社内調査を実施し、その結果を監査法人、行政当局、証券取引所等の関係機関に説明する際にも、電子データに係る調査を実施したかや、その範囲等について質問を受ける機会が増えており、電子データの調査が適切に行われていることが、事実調査の信頼性を基礎付ける一要素となっているものと思われる。

2 事実調査のトリレンマとその解消

 (1) 正確性・迅速性・網羅性

 上記のとおり、危機管理対応やリスク管理のための事実調査においては、客観的証拠、とりわけ電子データの収集・分析が非常に重要となる。そして、事実調査については、①正確性、②迅速性、③網羅性の3つの要素が満たされる必要がある。

 影響分析とそれに基づくステークホルダー対応、再発防止策の策定等を実施するためには、正確な事実関係の把握が不可欠であり、不正確な事実認識に基づく対応は企業により大きな損害をもたらしかねない。例えば、先に挙げた情報漏洩の事案において、実際には内部者による情報の持ち出しが行われているにもかかわらず、不正確な調査の結果、外部からの不正アクセスが情報漏洩の原因であると誤って認識していた場合、誤認識に基づいて外部からのアクセス制限等を実施することが想定されるが、これでは被害拡大の防止には繋がらない。また、企業がどのような法的・道義的評価を受け得るかについて見込み違いをした結果、ステークホルダーへの対応や対外的な情報発信についても誤った対応をしてしまう可能性が高い。

 行政当局等のステークホルダーやマスコミへの対応を適切なタイミングで行うためには、迅速に調査を行い、事実関係を把握することも重要である。事実関係の把握が遅れると、不正行為が起きたこと自体でなく、不祥事対応のまずさについても社会的非難を受けることになる。企業が自ら事実関係の把握をし得る状況にないと判断されれば、規制当局による立入検査や、捜査当局による捜索・差押えなどを受けることになり、企業として不祥事対応の主導権を失うことにもなり得る。また、不正行為者や手口の特定が遅れた場合、アクセス記録の削除など証拠隠滅が行われてしまうかもしれない。

 事実調査の網羅性は、特に近年重要となってきている。監査法人、証券取引所、行政当局に対する報告や、社会的な説明の観点から、不正行為が発覚した場合、他に同様又は類似の不正行為が存在しないかについても調査が求められることが多い。独禁法におけるリニエンシー申請のように、法令上自主申告の制度が設けられている場合、同様の不正行為が行われていれば早期に発見し、申告することが望ましいことはいうまでもないが、それ以外の場合であっても、一旦不祥事が収束した後になって同様の問題が発覚すれば、企業に対する信頼が大きく傷つくおそれがある。

 正確性・迅速性・網羅性が必要となるのは、平時のリスク管理のための調査においても同様である。適切なリスク評価のためには正確な事実把握が前提となるし、リスク評価のための事実調査に費やすことのできる時間的・経済的コストには制約があることが一般的であるから、ひとつひとつの事業分野・事業プロセスに係る調査は可能な限り迅速・効率的に行われることが望ましい。また、企業不祥事の原因となる不正行為は、企業におけるコア事業だけで起き得るものではなく、むしろノンコア事業においてこそ、発生・継続するリスクがある。このため、リスク管理のため事実調査においても、特にリスクマッピングの段階では、様々な事業を広く対象とし網羅的な調査を行うことが望ましい。

 (2) 事実調査のトリレンマ

 事実調査においては、①正確性、②迅速性、③網羅性の3要素が重要であるが、実際の事実調査、とりわけ電子データの収集・分析作業において、この3要素を全て同時に満たすことは容易ではない。

 正確な事実認定を行うために、事案を熟知した限定的なメンバーのみで調査を行おうとすると、1人当たりが検討可能なデータの量には限度がある以上、迅速性を損なうことになる。また、与えられた時間内に、1つ1つのデータにつき詳細に調査しようとすると、関連するデータに網羅的に目を通せなくなる。

 他方で、迅速な調査のため、1件のデータの分析にかける時間を削減しすぎると、誤った事実認定をするリスクがあるし、時間的制約から対象とすべきデータの範囲を限定しすぎると、問題事象を見落とすおそれがある。

 網羅的にデータを収集・分析しようとすれば多くの時間を要することになるし、これを避けようとして短い時間の中で無理に大量のデータを検討すると、分析の質が低下して、誤った認定をするリスクが生じる。

 このように、事実調査における正確性・迅速性・網羅性のうち、どれか2つを達成しようとすると、残りの1つを実現するのが難しくなる。ここに、事実調査のトリレンマがある。

 (3) 機械学習の活用によるトリレンマの解消・緩和

 近時、電子データの分析(対象となるデータとして、文書データが中心であることから一般に「ドキュメントレビュー」と呼ばれる。以下、本稿でも「ドキュメントレビュー」と呼ぶことがある。)に当たって、AI、とりわけ機械学習を活用する事例が増えてきている。

 一般的なドキュメントレビューのプロセスは以下のようなものである。まず、対象とする組織及びアカウント(データの保持者)等の範囲を定めた上でデータを収集する。次に、収集したデータのうち分析を行うデータの種類・対象期間等を特定し、キーワード検索等によりレビュー対象となるデータを絞り込む。キーワード等にヒットしたレビュー対象データにつき、調査担当者(法務・コンプライアンス部門や監査部門の担当者、外部弁護士等)がレビューを実施し、当該事案に関連するデータをピックアップする。そして、レビューの結果得られた関連データを基に事実認定を行ったり、必要な追加調査を実施したりする。

 機械学習を活用したドキュメントレビュー(注5)とは、このうちのレビュー作業について、キーワード等にヒットしたデータを一律に全て人間がレビューするのではなく、一部のデータについて人間がレビューした結果を教師データとしてAIに学習させ(注6)、人間が「当該事案に関連する」と評価したデータと同様の特徴を持つデータを、AIに選別させたり、ランク付けさせたりする手法である。

 電子データの分析において機械学習を活用することにより、事実調査のトリレンマを解消ないし緩和することが期待できる。例えば、キーワード・期間等で絞り込んだ大量のデータの一部について先行的にレビューを実施した上で、先行レビューの結果を教師データとして機械学習させ、その結果を残りのデータに適用することで、当該事案に関連する可能性が高いデータを速やかに抽出し、調査の迅速性向上に資することになる。あるいは、網羅性確保のために機械学習を活用することも考えられる。すなわち、不正行為が疑われる直接的な事案(本件)の調査のため、まず、アカウント・キーワード・期間等で絞り込んで本件に係るデータに関するレビューを実施し、レビュー結果を機械学習させる。その後、機械学習の結果を、本件に係るデータ以外にも適用することで、本件以外にも類似の不正行為が行われていないかの調査(件外調査)を行う。正確性確保のために機械学習を活用することも可能である。まず、事案を深く理解した調査担当者がレビューを実施し、その結果を機械学習させた上で、キーワードにヒットしなかった(従って人間によるレビューに回ってこなかった)データについても、念のため機械学習の結果を適用することで、キーワードにはヒットしなかったものの、当該事案に関連する可能性が高いドキュメントを見逃すことを防ぐことができる。

3 法的分析による仮説・検証アプローチ

 機械学習を活用した電子データの分析を更に有効なものとする方法として、法的分析を前提として「仮説」を立て、仮説に合致するドキュメントや仮説と整合しないドキュメントに注目してレビューを進める(「仮説の検証」)という、「仮説・検証アプローチ」を採用することが考えられる。

 仮説・検証アプローチは、以下のような順序で行われる。

  1.  初期的調査: 関係者へのインタビューや、初期段階に入手した関係資料等を調査し、当該事案において適用の有無が問題となり得る法的規制等を検討する。
  2.  仮説の設定: 問題となる規制の法律要件等に照らし、当該事案においてポイントになる事実(Key Fact)を定め、Key Factに関する仮説を設定する。
  3.  レビューの実施: 仮説を直接的又は間接的に裏付けるデータ、あるいは、逆に仮説と整合しないデータに着目してレビューを進める。この際、仮説はあくまで仮説であって棄却・修正され得るものであるから、事実関係について先入観を持たないよう十分留意する。
  4.  仮説の評価・修正: レビューの結果を踏まえて仮説を評価する。必要に応じて、仮説を修正した上でレビューを続ける。

 仮説・検証アプローチのケーススタディとして、例えば、ソフトウェアベンダーであるA社が、P社に対し継続的にソフトウェア製作を下請発注していたところ、P社からの下請代金請求の一部につき、対応する役務提供がなされていない架空請求であったことが発覚した事案を想定する。

 当初、A社の内部監査において、P社への発注に係る納品書・検収書等の帳票を精査していたところ、一部につき役務提供の実態がなかったことから、P社からの架空請求が疑われるに至ったとしよう。

 そして、A社の担当者Xにインタビューをしたところ、そのような架空請求の事実を把握していなかったと供述した。この場合、「P社側が、A社の担当社であるXを騙して架空請求を行っていたのではないか?」との仮説を設定することが考えられる。

 ところが、レビューを実施すると、架空請求とみられる請求書の中には、簡易な作業につき100万円ぴったりの請求がなされるなど、請求内容からして一見して不自然な内容なものが含まれていた。そこで、改めてXにインタビューを実施してこの点を指摘したところ、架空請求を承知で支払いを行ったことを認めたが、その理由として、「予算との関係でP社には本来の対価よりも安い金額でソフトウェアを納めさせることがあるので、予算に余裕がある際に、その穴埋めを行っていたものである」との弁解をした。他方で、A社の内部通報窓口には「Xは最近分不相応に羽振りが良く、会社の金銭を横領しているのではないか」との通報が寄せられていた。

 この場合、「担当者XがP社(担当者Y)と共謀の上、架空請求をさせ、P社からキックバックを受けるなどしてA社の金銭を着服していたのではないか?」と仮説を修正した上で、改めてレビューを実施し、Xに対するキックバックを窺わせるデータの有無について調査をすることが必要となるであろう。

4 まとめ

 企業不祥事対応や、企業不祥事を未然に防ぐための平時対応のためには、その前提として事実関係の把握が不可欠であるが、事実調査に当たっては客観的証拠、とりわけ電子データの収集・分析が重要である。もっとも、事実調査において、正確性・迅速性・網羅性の3要素を同時に満たすことは容易ではない(事実調査のトリレンマ)。トリレンマを解消・緩和するため、電子データの分析に機械学習を活用することが有用である。その際、法的分析を前提として仮説を立て、データのレビューを通じて仮説を検証するという「仮説・検証アプローチ」が有用である。

 適切な仮説の設定のためには、企業における事業内容への理解と、法的分析の双方が必要となるため、法務・コンプライアンス部門や監査部門の担当者と、外部弁護士等が協力して仮説を検討することも有用であると考えられる。

 ▽注1:リスクベース・アプローチとは

・・・ログインして読む
(残り:約865文字/本文:約8374文字)