司法省、改訂版企業コンプライアンス指針でAIリスクと内部告発者保護を強調

9月23日（月）、司法省刑事局は企業コンプライアンスプログラム（ECCP）評価に関するガイダンスの更新を発表した。ニコール・アルジェンテリ司法次官補代理は、企業コンプライアンス・倫理協会での講演において、この変更点に関する所見を述べた。ECCPの改訂では、効果的なコンプライアンスプログラムが以下の要件を満たす必要があると強調されている：

• 合併または買収後、適切なリスク評価を実施し、コンプライアンスプログラムを導入する。
• 人工知能（AI）などの新興技術に関連するリスクを、商業活動とコンプライアンスプログラム自体の両面において考慮すること。
• 強固な内部告発者保護措置を含める；および
• アクセス可能であり、財政的資源とデータ資源の両面で十分な資源を備えていること。

ECCPの旧版（2023年3月更新）と新版を比較した改訂箇所を赤線で示し、すべての変更点を反映しています。以下では、ECCPの背景説明、変更点の要約、およびそれらの影響について解説します。

ECCPは司法省の起訴及び解決決定を導き、強固なコンプライアンスプログラムを促進する

司法省（DOJ）は、企業のコンプライアンスプログラムの変更を促す主要な手段として、ECCP（企業コンプライアンスプログラムガイドライン）をますます活用している。ECCPは、企業に対する起訴の可否判断や事件解決方法（減刑の可能性や起訴見送りを含む）において、検察官が企業のコンプライアンスプログラムをどのように評価すべきかを指示するものである。その結果、ECCPは企業が、司法省が「効果的」なコンプライアンスプログラムとみなすものに対する司法省の期待を理解するのに役立つ。

司法省（DOJ）が更新したECCPは、同省が「ホワイトカラー犯罪」に対する取り締まり強化を図る背景を踏まえて検討すべきである。司法省は、拡大したインセンティブと企業へのより高い期待の両面を通じて、企業犯罪を起訴するために「あらゆる手段」を用いることを企業に繰り返し警告してきた。 2024年3月には、リサ・モナコ司法副長官がAIや一時的メッセージングといった破壊的技術を企業コンプライアンス評価に統合する方針について発言したことを受け、企業への潜在的影響について議論した。この重点化は、2023年に司法省が刑事局の企業執行・自主的自己開示方針を改定した際にも反映されており、コラボレーションツールや一時的メッセージングプラットフォーム上の資料保存に関する企業の責任が明記された。また先月には、司法省の内部告発者報奨パイロットプログラムが企業の内部調査や自主的自己開示の判断に与える影響について論じた。司法省は同時に個人向け自主的自己開示パイロットプログラムも開始している。

ECCPの変更は、先見性と積極的なコンプライアンスを重視する

今週のECCP更新は、非倫理的行為を阻止する進歩的で動的なコンプライアンスプログラムを促進したいという司法省の意向を示している。アルジェンテリ氏の演説では、十分なリソースを備えたコンプライアンス部門を持つ企業は「不正行為の発生を予防・検知し、発生時にも先手を打てる態勢が整っている」と強調された[1]。ECCPの主な変更点を以下にまとめる。

1.合併・買収後のリスク評価とコンプライアンス統合

改訂版ECCPは、企業が合併、買収、その他の取引を行う際にコンプライアンスプログラムを効果的に統合することの重要性を強調している。以前のECCPではこの問題が簡潔に論じられていたが、司法省の最新改訂版では取引後のコンプライアンス活動に対するより厳格な監視を求めている。企業は新たに買収した部門に対するリスク評価の実施を検討し、新たなリスクを考慮した方針と手順の適応を図るべきである。

2.新技術が商業業務およびコンプライアンス業務に与える影響

改訂版ECCPにおける重要な変更点は、企業がAIを含む新技術に関連するリスクに対処しているかどうかを検討するよう指示している点である。この検討は二つの側面からなる：企業は、商業活動において、またコンプライアンスプログラム自体において、新技術の使用がもたらすリスクに適切に対処しなければならない。例えば、企業は、内部関係者による商業技術の悪用を防止するための統制を実施するとともに、コンプライアンス監視に使用される技術の信頼性と確実性を確保するための統制を実施すべきである。 企業は日常業務およびコンプライアンス監視における新技術の使用に関してリスク評価を実施すべきである。人工知能（AI）その他の新技術の使用に関する適切な研修は、効果的なコンプライアンスプログラムの最低限の要件である。

関連して、企業は新たな技術が出現し変革するにつれ、技術ポリシーや手順を更新するプロセスを整備すべきである。したがって、コンプライアンスプログラムは、新たな技術や商業取引にシームレスに適応できるよう、事業に統合される必要がある。このような統合には、紙面上では良好に思える施策が実際に機能することを保証するため、頻繁なリスク評価とモニタリングが求められる。

3.内部告発者保護方針 

改訂版ECCPは、内部告発者保護および報復防止に関する方針・慣行についての指針を強化している。企業は少なくとも、報復防止方針を策定し、内部・外部通報メカニズムおよび内部告発者保護法に関する従業員研修を実施すべきである。内部告発者は保護されなければならず、企業は不正行為の通報への対応において「報復を一切容認しない姿勢」を示す必要がある。[2]

企業はまた、内部告発者の報告に対して適時に調査・対応を行う必要があり、報告チャネルは、すべての潜在的なコンプライアンス上の苦情がコンプライアンス部門に届き、適切な調査が行われるように構築されるべきである。関連して、企業は司法省（DOJ）の内部告発者報奨金パイロットプログラムと、従業員や企業が不正行為を自主申告するインセンティブについて検討すべきである。

4.コンプライアンス関連リソース

最後に、改訂されたECCPはコンプライアンスプログラムへの資源配分をより重視した。検察官はコンプライアンスプログラムに割り当てられた予算を考慮するよう指示されており、企業はコンプライアンス投資に商業的価値を割り当てることを検討すべきである。事業獲得に割り当てられる資源は、コンプライアンスに割り当てられる資源と比べて不釣り合いに大きくなってはならない。コンプライアンスプログラムには十分な資金と人員が確保され、コンプライアンス担当者は企業のコンプライアンスを実質的に評価するために必要なデータやツールにアクセスできるべきである。 データ分析ツールも活用し、企業のコンプライアンスプログラムの有効性を評価すべきである。

結局のところ、司法省によるECCPの更新は、同省が長年主張してきたメッセージを強調している。コンプライアンスに関しては、企業は口先だけでなく行動で示すべきだ。口先だけの対応では、「効果的な」企業コンプライアンスプログラムとは見なされない。

企業コンプライアンスプログラムに関するご質問がございましたら、本記事の執筆者またはフォリー・アンド・ラードナー法律事務所の担当弁護士までお問い合わせください。

[1]ニコール・アルジェンテリ、企業コンプライアンス・倫理協会第23回年次コンプライアンス・倫理研究所における講演（2024年9月23日）。

[2] 同上