技術による進化が期待されるコンプライアンスプログラム： 米国司法省が人工知能等に関し企業コンプライアンスガイダンスを更新

2024年9月23日、米国司法省（以下「司法省」）は企業のコンプライアンスプログラムの評価（Evaluation of Corporate Compliance Programs、以下「ECCP」）を更新した。今回の更新は、人工知能（AI）などの新技術により生じるコンプライアンス上のリスクへの適切な対処方法等を含め、企業のコンプライアンスプログラムに対するDOJの期待を反映する内容になっている。ECCPは、企業のコンプライアンスプログラムが有効かつ適切に機能しているかを司法当局が評価するためのガイダンスとして作成されているが、企業が同様の評価を行うためのツールでもある。今回の更新では、司法省が既存の常識を破る革新的な技術が持つリスクに焦点を当てている。本稿では、ECCPの一般的な背景を紹介するとともに、AIなどの新たな技術の使用に関する企業課題と検討事項など、今回の改訂事項を分析する。

ECCPの背景

ECCPは2017年2月に初めて公開され、司法省の担当官、コンプライアンスの専門家、および企業を弁護する弁護士から提供された意見や経験を踏まえ更新されてきた。導入以来、ECCPは、個別の事情を踏まえたリスクベースのコンプライアンスプログラムであることと、新たなリスクに対応するためにプログラムを継続的に改善・対応することを強く求める司法省の意向を反映させるために更新されてきた。2020年の改訂後（以前の分析はこちら）、司法省はコンプライアンスプログラムを評価する際に次の3つの基本的な問いかけをしている：

1. 企業のコンプライアンスプログラムはきちんと設計されているか？
2. プログラムが効果的に機能するために十分なリソースと権限が与えられているか？
3. 企業のコンプライアンスプログラムは実際に機能しているか？

新たな課題が司法当局とコンプライアンスプログラム双方に生じ、司法省は変化する状況に適応するためにECCPを更新してきた。2023年3月、企業のコンプライアンスプログラムが個人のデバイス（例：携帯電話）およびエフェメラル系SNS（一定の時間がたつと投稿が自動的に消滅するSNS）の使用に対する対応を踏まえ、ECCPは再び改訂された（以前の分析はこちら）。特に、2023年の改訂では、司法当局が第三者のメッセージ送信アプリからのデータの開示をより積極的に求め、企業がそのようなデータの保存と提供を怠る場合、起訴の解決に悪影響を及ぼす可能性があることを明らかにしている。

２０２４年９月末のアナウンスを通じて、司法省は、新技術によって生じるコンプライアンスリスクへの対応を要求している。
 
新技術がもたらすリスクに関するECCPの最近の更新

今回更新されたECCPは、AIなどの新技術が企業のビジネス／コンプライアンス活動にもたらされるリスクを認識している。司法省は現在、企業が新規技術の使用に関するリスク評価を行い、これらの技術に関連するリスクを軽減するための適切な措置を講じることを求めている。

司法当局は、これらのリスクを評価するために、AIによって生成された虚偽の承認や偽造文書など、新技術によって可能となる犯罪に対して企業が脆弱かどうか、また、企業がこれらのリスクを特定・軽減するためのコンプライアンス上の措置と技術的な手段を講じているかを問いている。改訂ECCPはさらに、技術が企業の意図した通りに機能しているか、そして、その行動規範その他のポリシーや社内手続と齟齬を生じていないかを確認するために監視・テストすることを求めている。

ECCPの更なる更新

今回のECCPの更新で最も注目すべき変更は、司法省が新規技術の使用に対して持つコンプライアンス上の期待値だが、その他にも以下の重要な内容が含まれている：

• 通報者へのより大きなインセンティブと保護：改訂ECCPには、企業が従業員に不正行為を報告するよう奨励しているかどうかを評価するための質問が含まれている。司法省は、企業の通報者に対する報復防止への取り組みを、通報と報復防止に関する企業のポリシー、社内での周知状況およびトレーニングの内容の検証を通じて慎重に検討する。司法省はまた、企業の通報者に対する行動を評価し、内部告発者に報復する企業に制裁を科すための適切な措置を講じる。
• コンプライアンスを機能させるためのデータの使用とデータへのアクセスの奨励：最新の改訂で、企業がコンプライアンスプログラムを強化するために新技術を活用することが奨励されている。データ分析や不正探知・不正予防の自動化などのリソースを使用することで、企業は、そのコンプライアンスの取組みの有効性をより正確に測定し、改善することができると司法省は考えている。したがって、司法省はコンプライアンス管理を担当する者が十分なデータリソースにアクセスできるかどうか、そして企業がビジネスで使用しているものと同じリソースと技術をコンプライアンス目的で使用しているかどうかを評価する。
• コンプライアンスプログラムの進化への期待：改訂ECCPは、企業が自社だけでなく他社の不正行為からも学び、コンプライアンスプログラムを改良するという考えに基づいている。司法省は、企業が自社の過去の問題および同業他社または同じ地域にある他社から学んだ教訓を定期的なリスク評価に取り入れることを期待している。
• 事業統合後のレビュー：最後に、改訂ECCPは、企業が合併、企業買収、その他の企業統合後、コンプライアンスの方針を統合する手続を検討するよう求めている。司法省は、新たに取得された事業が企業全体のコンプライアンスプログラムに統合され、企業のリスク評価活動および買収後の監査計画に含まれることを求めている。

技術が進化し続ける中で、司法省が求めるコンプライアンスの要求水準も高くなり、それに伴いECCPも進化する。企業はECCPの新しい要求に照らしてコンプライアンスプログラムを評価し、自社のものとの相違点や自社の弱点に対処するための適切な措置を講じるべきである。複雑で絶えず変化するECCPのガイダンスを理解し、企業のコンプライアンスプログラムのサポートや有効性の確認を実施するために経験豊富な法律顧問は有用なリソースとなるだろう。司法省のECCPの改訂に照らしてコンプライアンスプログラムを継続的にアップデートする企業は、不正行為の発生を防止することができる。仮に不正行為が発生した場合でも早期に不正を検出することができ、司法省の調査対象となった場合にも、リスクベースのコンプライアンスプログラムを実施することにより、訴追リスクを最小限に抑えることができるだろう。