こんにちは。弁護士の浅見隆行です。
ビッグモーターの保険金不正請求を惹起・助長したことを理由に、2024年1月25日、金融庁は、損害保険ジャパンと親会社のSOMPOホールディングスに対して、それぞれ、業務改善命令を発しました。
金融庁は損保ジャパンに対する処分理由として、
- 個別の問題における態勢上の問題
- 出向者によるBM社の不正に関する実態報告への対応放置
- 簡易調査の導入と杜撰な運用
- 入庫再開に関する経営判断
- 金融庁に対する重要事項の未報告
- ビッグモーターを優遇した保険金支払等
- 保険代理店管理
- 3線管理態勢の機能不全
を挙げています。
入庫再開に関する経営判断の問題点は、損保ジャパンの中間報告書が出たときにも記事にしました。
今回は「3線管理態勢の機能不全」、いわゆる3線ディフェンスが機能しなかった理由について、掘り下げます。
損保ジャパンの3線ディフェンスの実態
金融庁は、公表した処分理由で、損保ジャパンの3線ディフェンスの実態を、以下のように認定・評価しています。
営業部門や保険金サービス部門等においては、(中略)第1線として求められる機能を全く発揮していない。
法務・コンプライアンス部は、BM社のような板金・塗装部門の自動車修理工場で発生する不正請求疑義事案については、仮に不正請求であったとしても保険募集人ではない工員の事務ミスであり、不祥事件には当たらないという極めて甘いリスク認識により、不正請求に関する疑義事案の調査態勢等を整備しておらず(①ア、ウを再掲)、このような認識の下、上記①に記載した各個別の問題において、第1線でどのようなことを行っているか把握していない、または把握していても適切な対応を講じていないなど、第2線としての機能を全く発揮していない。
特に、BM社に対する入庫再開の意思決定において、役員協議に招集されなかった法務・コンプライアンス部は、協議内容について事後報告を受けているが、自主調査結果の改ざんがあった事実を認識しているにもかかわらず、結果的に不祥事件に該当しなければ、経営陣への意見具申など、けん制機能を発揮することは不要であるとのコンプライアンス部門としては極めて不適切な判断を行っている(①ウを再掲)。
内部監査部は、本来、営業部門やコンプライアンス部門などから独立した立場で、コンプライアンス・リスクに関する管理態勢について検証し、管理態勢の構築やその運用に不備があれば、経営陣に対し指摘して是正を求めることなどが求められる。しかしながら、同部によるリスク評価において、不正請求リスクを適時・適切に評価しておらず、保険金サービス部門等への監査において、今回の当庁検査で認められた多数の内部統制上の問題を検知・是正できていないなど、第3線としての機能を果たせていない。
損害保険ジャパン及びSOMPOホールディングスに対する行政処分について(Ⅱ.1(2)②)
金融庁は、第1線である営業部門・保険金サービス部門について「求められる機能を全く発揮していない」と言及しているので、そもそも「問題外」だと思っているのでしょう。
また、第2線である法務・コンプライアンス部と第3線である内部監査部については、それぞれ「極めて甘いリスク認識により」「不正請求リスクを適時・適切に評価しておらず」と認定しています。
これは、両部署が、リスクをリスクとして認識・評価できていなかった、という意味です。
また、それであるが故に、両部署ともに、適切な対応を講じることができず、第2線、第3線としての機能を果たせなかった、と結んでいます。
なぜリスク認識の甘さが生じてしまったのか
法務・コンプライアンス部と内部監査部が、リスクをリスクとして認識・評価できなかった理由としては、
- リスクの中には何が含まれるかを理解していない
- リスクの定義を形式的かつ狭く捉えすぎている
- 部署・部門別の縦割り意識が強く、自部署・部門が担当すべき自覚がない
などが考えられます。
この点は、SOMPOホールディングスの社外調査委員会の調査報告書でも、
本件は、本来、法コン部が主体的に取り扱うべき不祥事件等に該当するものであったように思われる。
SOMPOホールディングス調査報告書公表版55頁(PDF64枚目)
しかしながら、SJ においては、法コン部が取り扱う「不祥事件」とは、保険業法施行規則第 85 条第 8 項に規定される保険代理店等の不祥事件を指すと解釈されていた。この解釈を前提に、法コン部としては、BM(保険代理店兼整備工場)による保険金の不正請求は、飽くまで保険募集人でない整備工場の工員によるものであるから、代理店の不祥事件には該当せず、直接には保サ部ないし保サ企部の所掌に属するものと理解し、法コン部自身が主導して対応すべき事案だとは認識されていなかった。
と記載されていることからも伺えます。
3線ディフェンスを有効に機能させるために必要なこと
「リスク」の捉え方を「コンダクト・リスク」に変える
そもそも、3線ディフェンスは、事業部門の現場を「第1線」、管理部門を「第2線」、内部監査部門を「第3線」と捉えて、それぞれが独立して有効に機能すれば、内部統制・ガバナンスとリスクマネジメントを達成できる、との考え方です。
大事なのは、「第1線」「第2線」「第3線」と3つに分けた体制・組織を整備することではなく、それぞれが独立して有効に機能することです。
案外、理想的な体制・組織づくりにばかりに目が行き、「第1線」「第2線」「第3線」を有効に機能させることが軽視されていたりします。
それでは本末転倒です。
「わが社はきちんとできている」と思っている会社でも、次のようなことはあるのではないでしょうか。
現在、多くの会社がリスクマネジメントやコンプライアンスに関して社内規定やマニュアルを整備しています。
その中で目に付くのが「リスク」を定義し、評価しようする動きです。
想定できる法令違反や不祥事案件を「リスク」として具体的に列挙し、それぞれの「リスク」の大小をあらかじめ序列化し、それに応じて社内の対応をルール化していくものです。
たしかに、「リスク」を具体的に列挙し定義しておいた方が、何が「リスク」であるかを把握しやすく、会社また従業員一人ひとりがマニュアルに基づいた行動を起こしやすいのは間違いありません。
しかし、昨今の「コンダクト・リスク」の考えでは、「(正当な)期待に反するもの」はすべて「リスク」と広く捉える必要があります。
さらに、そもそも、内部統制やリスクマネジメント、ひいてはコンプライアンスが何を目的としているかというと、「企業価値の向上」です。
そうだとすれば、「企業価値を滅失・毀損させるもの」はすべてがリスクである、と捉える必要があります。
「リスク」のすべてを具体的に列挙するには、限界があり無理、ということです。
リスクをリスクとして認識できていなければ、リスクに対応する動きに繋がりません。
結果として、3線ディフェンスは有効に機能しません。
他部署・他部門との連携
3線ディフェンスを有効に機能させるためには、リスクの中身を広く捉えるだけではなく、他部署・他部門との連携も不可欠です。
損保ジャパンのケースは、調査報告書に、
法コン部としては、BM(保険代理店兼整備工場)による保険金の不正請求は、飽くまで保険募集人でない整備工場の工員によるものであるから、代理店の不祥事件には該当せず、直接には保サ部ないし保サ企部の所掌に属するものと理解し、法コン部自身が主導して対応すべき事案だとは認識されていなかった。
とあるように、法務・コンプライアンス部が自部署・自部門が対応すべき事案だと認識していなかったことも指摘されています。
損保ジャパンのケースは、リスクをリスクとして認識・評価できていなかったケースですが、仮にリスクをリスクとして認識・評価していたとしても、「自部署・自部門ではなく他部署・他部門が対応すべき」と考えて何もリスク対応をしないのであれば、リスクをリスクとして認識・評価していないのと同じです。
そのため、
- リスクと認識したらできる限り自部署・自部門で対応する
- 他部署・他部門の担当ではないかと思ったら他部署・他部門と情報を共有し、どちらの部署・部門が担当するのかを調整する
- その上で、取締役まで情報を上げる
ことも、3線ディフェンスを有効に機能させるためには必要です。
