「俺もいい年だし、そろそろ継いでもらえないか――」。そんな父親の申し出から1年後、Aさん(38)は、地元老舗企業の専務取締役になりました。

 新卒でメガバンクに就職し、営業マンとして支店回りをした後、ロンドン支店にも赴任。退職時には経営企画部に所属し、サラリーマンとして堅実に歩んできました。

 一方、継いだ会社は地元の和菓子メーカーでした 。なかでも祖父の代から毎朝5時30分に起きて小豆から丁寧に作り上げたもなかは、地元の銘菓として長く愛され、全国のデパートや結婚式の引き出物などでも多く利用されています。2000年代後半からは自社の通販サイトを通じて販売され、全国でファンを増やしています。

 そんなAさんが専務取締役に就任して、最初にしなくてはならないこととは何でしょうか?

 今回は架空の和菓子メーカーが舞台ですが、実際にあり得るケースを想定し、様々なコンプライアンスの事例にフォーカスします。

  Aさんが在籍していた銀行では法務部があり、新たな取引が発生すると、部署内で調整のうえ、法務部員に指示した後、契約書を作成。先方との合意がなければ、取引は始められませんでした。ところが、この和菓子メーカーには総務部はあるものの法務部はなく契約書を作るスタッフもいないようでした。

 出だしから予想外の実態に驚いたAさん。早速、営業部長と総務部長を呼んで実情についてヒアリングしました。すると、注文請書付きの発注書がメールで送信され、それに返信する形で取引が成立し、納品後、翌月に請求書を送付する、という運用がなされていることが発覚しました。通常、このような運用は基本契約があった状態で行われますが、それがないままでは条件を何も決めずに取引していることになります。

 社長である父親に「顧問弁護士は?」と聞くと、「一応、いるにはいるけど、トラブルがあった時に頼んでから顧問になってもらった先生で、日々の取引の契約書のことまでは相談したことがない」との回答がありました。

契約書が無ければどうなる?

 原材料の仕入れから、東京のデパートへの商品の輸送まで、和菓子メーカーには様々な取引があります。まずは、それぞれの取引において、契約書の有無を確認してみることが必要です。しかし、契約書がなかった場合、どのような事態が起こってしまうのでしょうか。

 例えば、春のシーズンの結婚式等でのまとまった需要を見込んで、予め材料の仕入れ注文を出していたところ、コロナのような伝染病や大地震、災害等で見込んでいたようなお菓子の発注が実際にはなされなかったとします。この場合、民法上は、契約自由の原則により、発注をしないことに対する制限・責任は生じないことから、基本契約がなければ、メーカーに大きな損失が出ることになってしまいます。

 しかし、仮に基本契約書で月次の最低発注数量などを定めておけば、一定の範囲でコストを回収できる可能性が確保されます。

 また、委託先である輸送業者が事故で立ち往生したことにより、デパート等に納品ができなかったり、遅れてしまったりした場合等に備えて、損害賠償の範囲を「販売利益の範囲」と明記するなど一定の範囲に限定することも有益です。こうすることで、万が一の場合にも損害賠償の範囲が無限に拡大することを防ぐことができます。

 今回は発注や、納期と損害賠償の範囲について触れましたが、他にも検収の期間、業務の委託先の責任や訴訟になった場合に第一審裁判所の管轄をどこにするか、などの問題もあります。こうした事態を想定して、契約書を作成しておくことが必要と言えます。

 相手先との関係で自社が親事業者となる場合がありますが、その際には、下請法の基準に則った発注書を作ることが義務付けられます。なお、自社が発注側であるにもかかわらず、下請代金の支払遅延・減額や返品等を不当に行うなどの下請法違反が公正取引委員会に発覚した場合、是正の勧告措置を受け、社名及び違反内容が公正取引委員会のホームページに公表される可能性があり、そうなれば、信用低下につながる恐れもあります。

 下請法については、公正取引委員会による書面調査が毎年実施されていますが、この調査に対する対応の有無から、経営者の方は会社担当者に取引実態について予め確認しておく必要があるかもしれません。

 契約締結の際には契約書に貼る印紙にも注意が必要です。中小企業の場合、税務署によって印紙の貼布の有無が調査されることも珍しくありません。印紙の貼布の要否は契約書のタイトルではなく、その契約が請負(必要)なのか委任(不要)なのか、といった契約の性質によって判断されます。

 印紙を貼っていないことが発覚した場合、印紙税未納として、納付すべき印紙代の3倍に相当する額の過怠税が徴収されます。詳しくは国税庁のホームページを参照してください。

 なお、2020(令和2)年4月からスタートしている改正民法に則した内容に、契約書を書き換えることも忘れてはなりません。できていないのであれば早急に着手すべきです。

 お歳暮を必ず発注してくれるお得意さん、引き出物として利用してくれる結婚式場、そしてECサイトから注文してくれたお客さんなど、Aさんの会社は企業や顧客の情報を数多く預かっています。Aさんが勤めていた銀行では、USBを抜き差しして会社の情報を勝手に持ち帰ることなどできなかったのですが、この会社では、残念ながらUSBの使用は禁止されていませんでした。しかも、PC上の営業部の共有フォルダに顧客情報のエクセルがあり、必要に応じて部署外の社員でもアクセスできる状態でした。

 顧客情報の滅失・漏洩は、企業の信頼を守る上で一番大切なものと言っても過言ではありません。個人情報保護の定義は広いですが、ここでは会社内部の個人情報保護の体制について紹介します。具体的にはどのようなことが必要なのでしょうか。

個人情報保護のポイント10箇条

 個人情報保護を図るために必要なことは、社内全体で個人情報を安全に保護するためのルールを共有し、運用することです。そのために、経営者側がルールや運用のための体制を作ることが不可欠となります。

 個人情報保護委員会作成の「個人情報の保護に関する法律についてのガイドライン (通則編) 」の86P以下によれば、講ずべき安全管理措置として、1.基本方針の策定、2.個人データの取扱いに係る規律の整備、3.組織的安全管理措置、4.人的安全管理体制、5.物理的安全管理措置、6.技術的安全管理措置が挙げられています。これらをふまえて、以下の10箇条を見ていきましょう。

  1. 基本方針、社内ルールの策定
  2. 責任者の選定などの体制整備
  3. 定期的な社内研修の実施
  4. 個人情報にアクセスできる従業員の限定
  5. 個人情報への物理的・技術的なアクセス制限
  6. 個人情報データのパスワード設定
  7. 廃棄時の個人データの削除
  8. OSやセキュリティソフトの最新版への更新
  9. メール添付ファイルのパスワード設定など外部への漏洩防止
  10. プライバシーマークやISO取得の検討

①基本方針、社内ルールの策定

 まず、基本方針の策定が必要です。一般的には、「個人情報保護法その他の関係法令及びガイドラインの遵守」「個人情報の適正な取得と利用目的の限定」「第三者提供の原則禁止と例外事由」「安全管理措置の内容」「質問及び苦情処理の窓口」について、それぞれ簡潔に定める内容になります。

 また、個人情報を扱う上での社内ルールを策定し、マニュアルを作成・運⽤することが必要になります。個人情報保護委員会のホームページなどには、マニュアル作成のヒントとなるひな形などが掲載されています。業務マニュアルがない場合には直ちに作成しましょう。

 この時に重要なのが、保護すべき情報の定義を正確に把握することです。個人情報とは生存する個人に関する情報で、 特定の個人を識別することができるものを指します。この場合、個人の名前、住所はもちろん、「個人識別符号」とされる旅券番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー等も個人情報にあたります。

 なお、従来は取り扱う個人情報の数が5,000以下の会社には個人情報保護法の適用が認められていませんでしたが、2017年5月の改正後はすべての事業者に適用されています。

②責任者の選定などの体制整備

 個人情報保護の責任者を選任したうえで、①で定めた社内ルールに従った個人情報の運用状況を責任者に対して報告し、また、責任者が個人情報の取扱いが適切になされているか等の点検を定期的に行う仕組みを整備することが必要です。

 そして、万が一、漏洩等の事案が発生してしまった場合、2次被害の防止や類似事案の発生防止等の観点から事実関係及び再発防止等の対策を早急に発表できる体制作りも必要です。

③定期的な社内研修の実施

 マニュアルを作っただけでは、個人情報の保護は不十分です。社内に周知徹底するために、年に1度は個人情報保護に関する研修を行い、Webテストなどで知識の定着を図ることが不可欠です。

④個人情報にアクセスできる従業員の限定

 世間を賑わせている個人情報漏洩の事例は、ミスやハッカーなどの外部からの攻撃によるものもありますが、従業員が故意に業者に個人情報を売っていたケースもあります。このような事故が起きてしまった場合、従業員個人の責任のみならず、会社の監督責任を問われるので注意が必要です。

 実際、ある大手教育会社の情報漏洩事案では、グループ会社の業務委託先社員のSEが、顧客の個人情報を名簿業者に売却し、数千万件にも及ぶ個人情報の漏洩が発覚しました。同社は顧客へのお詫び対応等のために、1人あたり500円の金券を送付するなど対策費も含めて多額の特別損失を計上。この事件で社会的信用が損なわれ、株価の低下も招く事態に発展しました。

 こうした事態を防ぐためにも、個人情報にアクセスできる従業員を一定の階層以上の管理職や個人情報の使用が業務に不可欠な担当者に限定し、個人情報が流出するリスクを最小限に抑える取り組みが必要です。

⑤個人情報への物理的・技術的なアクセス制限

 アクセス権限者以外の第三者による不正利用を防止するために、個人情報に対して容易にアクセスできない措置を講ずることも必要です。

 具体的には、個人情報を保管するPCを限定したうえで、パスワードを設定してログインの制限をする、また紙媒体で保管する場合には施錠できるキャビネットなどに保管することなどが挙げられるでしょう。

 誰もがアクセスできる共有フォルダに個人情報を置いていないか、従業員がUSBなどを用いて会社の情報を安易に取り出せる状況にないか。また、書類が保管されているキャビネットに鍵をきちんとかけているか。意識付けの徹底から始めましょう。

⑥個人情報データのパスワード設定

 万が一、社内で権限のない第三者が個人情報のデータにアクセスできたとしても、閲覧ができない状態にしておけば不正利用は防止できます。具体的には、個人情報が記載されたワードやエクセルなどの各データに、パスワードを設定する方法が考えられます。定期的にパスワードの変更を行い、より情報保護に適した運用をすることも必要です。

⑦廃棄時の個人データの削除

 業務で個人情報の利用が終わった後も、そのまま利用できる状態にしてはいないでしょうか。個人情報の記載のある用紙は早めにシュレッダーにかける、また、不要となった個人データはPCやCD-ROM等の媒体から削除し、それを責任者が確認する等の習慣を徹底させましょう。

⑧OSやセキュリティソフトの最新版への更新

 不正アクセスやウィルスによる情報流出を防ぐために、PCのオペレーションシステム(OS)やセキュリティソフトウェアを導入し、自動更新機能等により最新状態にしておくことが必要です。なお、業務効率化のため、様々なソフトを会社に断りなく入れている従業員はいませんか。情報漏洩の原因になる場合もあるので、インストールできるソフトウェアを会社側で限定しておいた方が得策です。

⑨メール添付ファイルのパスワード設定など外部への漏洩防止

 社内管理だけでなく、個人情報を社外へ持ち出す時にも注意が必要です。特に日常的になされるメールのやり取りでは事故が発生しやすいので、個人情報が記載されたファイルや文書を送る際は、パスワードを必ず付けましょう。メールの初期設定で自動的にパスワードが付くようにすれば逐一設定する手間が省けます。こうすれば、万が一、誤送信があったような場合にも安心です。

⑩ プライバシーマークやISO取得の検討

 個人情報保護のための安全管理体制の構築や運用には、プライバシーマークやISOなどのマネジメントシステムの認証取得が効果的です。個人情報保護法では、個人情報保護監査責任者の設置は義務ではありませんが、取引先によっては事故防止の観点から、個人情報の管理体制が構築できていない企業とは取引しないと決めている会社もあります。

 また、例えばEU圏在住のお客様がお菓子を気に入り、ECサイト等を通じて顧客となった場合には、GDPR(一般データ保護規則)に即した体制作りも必要となります。これに違反した場合には高額な制裁金が科されるとされています。

 経済産業省管轄の個人情報保護委員会では、法令・ガイドラインの紹介の他、中小企業のためのお役立ちツールとして、自己点検チェックリストや業務マニュアルの作り方なども紹介しています。

 経営者自身がこうした情報にアクセスして理解を深め、事故防止のための安全管理体制を構築することが大切です。個人情報保護法は2017年に大きな改正がありましたが、2020年にも、情報主体による利用停止等の権利の拡充、漏洩等の報告の義務化、個人データの提供先基準の明確化など、企業に対する新たな義務を定めた改正が予定されています。

 契約書の作成や個人情報保護をはじめ、企業にコンプライアンスを定着させるには、日々の運用の徹底が欠かせません。このためには、日々の業務の運用について、経営者や管理職が定期的に現場の従業員を指導し、チェックすることが必要です。具体的には、計画→実施→確認→改善(Plan→Do→Check→Action)のサイクルを繰り返します。

 このような姿勢は契約書や個人情報保護といった法律が直接関係する業務に限りません。例えば、次のようなケースが起こったらどうでしょうか。

 Aさんが、和菓子メーカーの専務取締役に就任して早々、新人アルバイトによるお菓子の納品ミスが発覚しました。お客様の指定とは違う種類の商品を混ぜて送ってしまったのです。聞けば1年間に2~3回はこのような人為的ミスが発生しているとのこと。人はミスをするものですが、お客様からの信頼を維持するためにも、こうしたミスは避けたいものです。

 ここで経営者として考えるべきは「なぜそのミスが起きてしまったのか」ということです。2次チェック、3次チェックはあったのか、アルバイトに対する入社時の意識付け、教育はしっかりできていたのか。こうしたことを定期的にチェックし改善する姿勢が必要です。

内部監査が経営の無駄を省く

 現在の売り上げはそれほどではなくとも、会社が急成長して売り上げが数十億規模になった場合、業務の運用やそれが適正になされているかのチェックを徹底させるため、内部監査制度の導入が必要となります。

 内部監査というと、一般的にはコンプライアンスを思い浮かべますが、実はそのためだけにあるものではありません。一般社団法人日本内部監査協会は、内部監査を「組織体の経営目標の効果的な達成に役立つことを目的として、合法性と合理性の観点からなされるべき業務」と位置付けています。

 つまり、内部監査は「合法性」のみなならず、企業活動の無駄を省いて効率良く運営するという「合理性」の観点からも必要な制度なのです。

 中小企業の中には、内部監査制度を含む内部統制の構築に割く余裕はなく、管理体制は従来のままどころか、そのレベルが後退している会社も少なくありません。しかしながら、人為的なミスを防止し、無駄な作業を削減し、資産を適切に管理することで企業価値の向上を図るために、内部監査制度の採用は非常に有効です。

 内部監査導入の手順は大きく分けて2つです。

 まずは、内部監査の責任者と担当者を決め「内部監査室」を設置し、専任のスタッフを置くことが原則です。中小企業の場合は専門部署は設けず、社長直轄の「経営企画室」などが内部監査を担当することもあります。

 次に運用ですが、先程述べたPDCAのサイクルを繰り返します。内部監査で発見された問題点は経営者に報告され、経営者は確認の上、都度改善措置を取ることとされています。特に株式の上場審査では、最低でも申請直前までに1年間の運用実績が求められますので、将来上場を考えている会社は早急に導入が必要です。

 最後に、コンプライアンス意識の徹底で一番重要なのは、従業員に対する意識付けです。日々の業務において、個人情報の保護はもちろん、SNSで会社の大事な情報を不用意に公表していないか、プレゼン資料を作る際に著作権を侵害していないかなど、気を付けなくてはならない点はたくさんあります。

 意識付けには、職務における階層別に、コンプライアンス研修を実施するところから始めると良いでしょう。

 新人や一般従業員はコンプライアンスそのものの説明から始めた基礎レベル、係長や主任クラスは具体的な事例への対処と部下への対応、課長・部長などのマネジメント層はコンプライアンスを根付かせるための知識や体制の作り方、経営者や取締役員クラスは企業としての社会的使命といった内容になるかと思います。

  以上、コンプライアンスの観点から、会社を守るために必要な体制作りについて紹介しました。ここに挙げた事例は基本中の基本なので、一つでも欠けていれば、早めに対策を打つべきでしょう。後継ぎとして経営する自社の姿を、もう一度見つめ直してはいかがでしょうか。

(法律監修:東京双和法律事務所代表・大宅達郎弁護士)