「法令遵守」が日本を滅ぼす--。そんな過激なタイトルの本が1月に出版された(新潮新書)。しかも著者は,元東京地検特捜部検事で,現在はコンプライアンス研究者だという。今も「法令遵守」に頭を悩ませる情報システム担当者は多いだろう。「法令遵守」の何が間違っているのか,著者である郷原信郎桐蔭横浜大学教授(コンプライアンス研究センター長)に,その真意を聞いた(聞き手は中田 敦=ITpro)。


郷原さんは近著「『法令遵守』が日本を滅ぼす」で,「コンプライアンス」の本来の意味は「社会の要請に応える」ことであって,コンプライアンスを「法令遵守」と翻訳することは誤りだと主張されています。なぜ「法令遵守」が良くないのか,本書を執筆された狙いを教えてください。

 
  郷原信郎 桐蔭横浜大学教授 コンプライアンス研究センター長
 「遵守」という言葉には,「いいから守れ」「つべこべ言わずに守れ」という意味合いがあります。人は「遵守」という言葉を聞いたとたんに,「何も考えないで,ただ(ルールを)守ればいい」という考えになりがちです。つまり,「法令遵守」という言葉が先行することによって,そこで思考が停止し,議論も停止してしまうことを危惧しています。

 組織や個人に必要とされているのは,そのルールが何のために作られたのか,法令がどのような「社会の要請」を実現するために作られたのか考えることです。法令の背後にある「社会の要請」と,自分たちの活動との関係を総合的に考えることが,本来の「コンプライアンス」なのです。

 しかし「法令遵守」には,コンプライアンスのために必要な思考をすべて停止させてしまう作用があります。

 また,いったん作った法令は,社会が変化するにつれて「化石」になっていきます。社会の実態と法令がずれてしまうのです。実態と法令がずれている中で「法令遵守」ばかりが重視されると,「実態とずれても法令だけを守ればいい」という発想が生まれます。

 一方,法令と実態がずれ始めると,「違反を厳しく罰することで法令を守らせる」という流れになりがちです。そうなると,組織や個人は制裁強化を恐れて,実態と法令が乖離していることを隠そうとしてしまいます。

 このような状態が恒常化していくと,結局ルールそのものが機能しなくなります。現在の日本では,まさにこのような事態が起こっています。日本人としてどう法令に向かい合っていくのか,改めて考えなければならない時期に来ていると思います。

 そもそも,国によって法令と市民の関係は様々です。日本には日本なりの法令の歴史があります。日本の場合はこれまで,法令は国家の中心にあるのではなく,社会の隅っこに置かれていました。本来であれば,法令に対するスタンス自体を変えていかなければならなかったのに,隅っこにあった法令を無理矢理社会の中心に据えようとしている,それが最近の「法令遵守」の風潮です。

最近は情報システム分野でも「法令遵守」が大きな話題になっています。

 私は,情報システムの世界では,これからますます「法令と実態の乖離」が深刻化していくと考えています。

 というのも,伝統的な法体系は「有体物」,つまり「形のある物」を中心に作られていました。有体物を個人の意志で契約したり,購入したりする(権利を移転する),これを前提に法体系が出来ているのです。

 ところが,情報の世界にはこの前提が当てはまりません。まず,情報には形がありません。伝統的な法体系の前提では,有体物にだけ価値があることになっていますが,情報の世界では価値のあるものに形がありません。

 また,情報の移転方法は,個人の意志によりません。つまり,伝統的な法体系では,情報中心の社会に太刀打ちできなくなっているのです。われわれも現在「ユビキタス・メカトロニクス」などについて研究を進めていますが,新しい世界に対応するためには,今の法体系を根本的に再構築する必要があると感じています。

 情報に関しては,もう1つ重要な点があります。それは,情報は流出してしまうと,返還請求ができないことです。これも伝統的な法体系とは全く異なります。伝統的な法体系では「個人の権利は,個人の意志で何でも守れる」と考えられていました。最悪の場合,自分の所有地に頑丈な塀をめぐらせておけば,その中にあるものは絶対に守れることになっていたのです。これが有体物の世界です。

 それが情報の世界では,有体物のディフェンスの発想では個人の権利を守れません。例えば,プライバシー・マークのような「○○という条件を満たしているので,合格です」といった「形式要求を満たしたらマークを与えます」といった制度では,情報流出に対応できないわけです。基本的にどの会社も無防備であるといえます。

 情報の世界で本当に必要なのは,形式要求を満たしたかどうかではなく,「問題を解決する意志と,問題を解決する能力を持っているかどうか」という実質評価が満たされているか否かです。

「『法令遵守』が日本を滅ぼす」で郷原さんは,「コンプライアンス」を実現するために,企業は「目を持つ組織になれ」と主張されています。

 これは「コンプライアンスを満たすために,問題を整理してみよ」ということです。自分の会社が何のために存在し,社会のどういうニーズに応えていかなければならないかを考えることです。

 これを私は「フルセット・コンプライアンス」と呼んでいます。企業は,社会の要請に応えるために,組織体制はどうあるべきか,新たな情報化社会を向かえて何をやるべきか,組織のあり方をどうするべきか,真剣に情報収集をして,対処法を考えていかなければなりません。

そういった「目を持つ組織」になるための人材を育てるのが,郷原さんがセンター長を務める「コンプライアンス研究センター」になるのだと思うのですが,受講生に情報システムに携わる方は多いのでしょうか?

 コンプライアンス研究センターの受講生で情報システムに直接関係のある方は,さほど多くありません。しかし,情報セキュリティ分野に強い講師も在籍していましたし,今後もより強化していかなければならないと考えています。

 郷原教授は,4月25日の「RSA Conference 2007」(ザ・プリンスパークタワー東京)でも「『法令遵守』が日本を滅ぼす~『社会的要請への鋭敏性』が企業の危機を救う~」という講演を行う。講演では,企業がどうコンプライアンスに対応していくべきなのかを,より詳しく説明する予定だ。