インシデント対応後の運用設計について

はじめまして、IT企業の法務で働いているよしだです。

今回は、インシデントの対応完了後に、法務としてどのようなことを意識して、後続の対応をしていくのがいいか、自分が意識している点をお話したいと思います。
（内部統制と深く関わってくると思っていますが、内部統制は勉強中…）

インシデントの完了のタイミングで何がわかっている必要があるか

システム障害などでお客様に謝罪をする場面、経営やコンプライアンス委員会への報告などのタイミングで経緯報告書などの名称で報告書面が作られることが一般的だと思っています。

そもそも、こういった報告書に何を書くことになるのでしょうか？
私は、以下のフォーマットで作成するように心がけています。

①事実の概要・サマリー（と社外に対する場合には丁重に謝罪）
②時系列ので経緯（※表形式にすると分かりすい）
③発生した事象の詳細
④発生した事象の原因
⑤発生した事象への対応結果
⑥補填などのご提案
⑦再発防止策
⑧まとめ（社内の場合には、他部門への学びの共有・社外に対する場合には再度丁重に謝罪）

作成・検討時のポイントとしては、以下を意識しています。

・徹底した事実確認をして、文書全体のスタンスを決める。
・必ず、分かりやすく、一文は短く、余計なことは書かない。
・作成途中でも気になることがあれば、事実確認を怠らない。細かく、なぜか、どういうことか、意味がわかるまでヒアリングする。
・絶対に、誤魔化さない。
・法的な話とビジネスの話が入り混じってくるので、今何の話をしているのかを常に意識しながら、事業部とすり合わせて、文章にしていく。法務だけで決められないことも多いので、最後まで目線を合わせ続ける。
・一件の対応が、今後のビジネスに影響する場合があるので、今後の影響範囲を意識して対応する。

インシデント対応完了時には、上記の情報が出揃っている状態になるはずです。

インシデント対応後にするべきこととは？

インシデント対応後にするべきことは、再発防止策の実施です。
法務部門が関わることもあると思いますし、プロダクト部門・営業部門の中で完結することもあると思います。
今回は、法務部門が関わる場面を想定してお伝えできれば思います。

内部統制とは・・・？

ここで少し内部統制の説明を挟みたいと思います。

内部統制には6つの基本的要素があります。
「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」及び「ITへの対応」を指します。なお、JSOX・内部統制報告制度において、上記各項目の評価・報告が求められています。

内部統制の目的は、大きく4つあります。
「業務の有効性および効率性」、「財務報告の信頼性」、「事業活動に関わる法令などの遵守」及び「資産の保全」です。

参考：金融庁 財務報告に係る内部統制の評価及び監査の基準

この中でも今回は、
「業務の有効性および効率性」と「事業活動に関わる法令などの遵守」について、もう少し詳細を説明します。
「業務の有効性および効率性」とは、業務の有効性及び効率性とは、事業活動の目的の達成のため、業務の有効性及び 効率性を高めることをいいます。ITの活用などにより情報共有・モニタリングをより効果的に行える内部統制を構築することができれば、会社の資源をより有効に活用し、不正リスクを低減することが可能です。効率的にリスクを低減し、事業活動の目的を達成できるようになります。
「事業活動に関わる法令などの遵守」とは、事業活動に関わる法令その他の規範の遵守 を促進することをいいます。「その他の規範」については、コンプライアンスやインテグリティと表現されるもので、注意するべきは法令だけではない時代なので、リスクの範囲をどう考えるのかは非常に難しいと思います。

上記の画像は、こちらのサイト（EY新日本有限責任監査法人さまのWEBサイト）から引用をさせていただきました。

今回、お伝えしたいのは、「業務の有効性および効率性」と「事業活動に関わる法令などの遵守」を両立させないといけないということです。
法務として、事業部門などに過度に厳しいルールや制度設計をしてはいけず、会社全体としてどのように効率的に再発防止を実現してくかということが非常に重要です。

以下では、具体的に、私が普段どのように事業部門と対話して、オペレーションを設計しているかを参考までにお伝えできればと思います。

①現状のオペレーションと背景を把握する

現状のオペレーションには、何らかの意図があって、メリットや対応が難しいことがあるから、現状のものになっているという背景が絶対にあります。
この部分を無視して、オペレーションを検討しても、事業部門と軋轢を生むだけです。
現状と背景をしっかりと把握するのが、まずは第一歩です。
この段階から、しっかり経営や部門の責任者を巻き込んでおきましょう。あとからだと、理解を得るのが大変です。

②問題点を明確にして、リスクを評価し、優先順位を提案する

なんでもかんでも対応するのは、日々の業務がある中で事業部門もとてもしんどくなります。法務ができることは、問題点を明確にして、リスクを評価し、優先順位を提案することです。あくまで優先順位は提案で、事業部門と対話して最終的に決定することが大切だと思っています。

③ルールや倫理に従うと理想のオペレーションが何か検討する

法令、ガイドライン、社内規程などに従って、理想のオペレーションを検討しましょう。私は、①を確認する際に、③を意識しつつ、ヒアリングシートを作成して、現状（As Is）と理想（To Be）を事業部門に記載してもらうようにしています。
ヒアリングシート作成時に、法務が用意した問いに対して、事業部門からどのような回答が返ってくるかも想像しながら、準備するようにしています。
理想がどこにあるかを事業部門と目線を合わせることが大切になります。

④優先順位に従って、アクションプランを用意する

ここからは、優先順位に従って、事業部門とともにアクションプランを用意していきます。工数の分析して、担当者とスケジュール検討していきます。

実現可能なアクションプランを用意しましょう。

アクションプランが決まったら、部門の責任者を巻き込み、そこにリソースを割いてもらえるように合意形成をしましょう。

優先順位づけは大切なのですが、一方で、簡単にできることをまずはやってしまうことが大切だと思っています。
リスクの高いものでも、完璧を目指すのではなく、できることからやっていく。いきなり解決することはできないので、段々とリスクを提言していくイメージで対応する。時間のかかるものは、簡単にできるものと並行しつつ、対応をしていくことが大切だと思っています。
また、できる限り、ITツールを用いて自動化するように心がけましょう。人の目や手作業やどうしてもミスも入りますし、安定しません。安定して、リスクを低減していくことが内部統制の役割だと思うので、ここは時間をかけて対応したほうがいいと思っています。
そして、「この手順に従えば、何も考えなくてもルールが遵守できている」状態を作ることを心がけていきましょう。
また、関わるメンバーなどにしっかりと教育もセットで行い、メンバー同士でも互いに指摘ができる環境になってくると理想だと思います。

⑤モニタリング

アクションプランと実際に稼働しはじめたオペレーションについては、必ずモニタリングをしましょう。
内部監査チームとも連携するのがいいと思います。
どう実行されているのかを確認し、放置しないように徹底していきましょう。
途中で、頓挫してしまったり、運用がされていない状態であれば、何もリスクは低減できていません。
月1回、年1回のモニタリングなど、リスクに応じて、頻度と担当を決めて、継続的に実施していきましょう。
その後は、モニタリング結果に従って、PDCAを回していきましょう。

最後に

報告書に記載した再発防止策は、お客様や経営との約束です。

約束を果たすために、しっかりとアクションプランを達成し、モニタリングをしていきましょう。

法令・その他の社会規範に従ったオペレーションを構築し、サービスレベルを担保することは、法務部門が、お客様に安心して自社のサービスを届けるために直接関与できる貴重な機会だと思います。

事業部門任せにせず、一緒にこれからも頭を悩ませていきたいなと思います。

ーおわりー