【この記事の概要】
「小さな不具合が発見されていれば、不正が働く余地はありません」
組織内部で問題が起きるたびに「内部統制の欠如」「監査・監視体制の不備」などと言われますが、実際はもっと基本的なことが重要です。それは、合規適正に業務遂行がされているかを複数の目で重層的に定期・不定期でチェックし、最終報告されているかという「当たり前のことを当たり前にやっているか否か」だけのことなのです。この三菱UFJ銀行貸金庫窃盗事件を元ゆうちょ銀行社長特命担当顧問の筆者が根本的原因、不正防止や組織文化構築のポイントをシンプルに解説します。
ずさんな管理体制が生んだ巨額内部不正
三菱UFJ銀行の元銀行員による貸金庫からの14億円窃盗事件は、金融機関の信用だけでなく、店舗経営における管理体制の脆弱性も改めて考えさせられる事件です。
この事件は2020年4月から2023年10月末までの間、都内2支店の貸金庫からスペアキーを使用して顧客60人以上の金品を繰り返し盗み、約20人から現金と金塊を合わせて3億円(約200万ドル)相当の被害に達したことが確認されています。
2024年10月に貸金庫を利用する顧客から「貸金庫に預けていた金品が見当たらない」との申し出があり内部調査の結果、元行員が窃盗を認めたため2024年11月14日に懲戒解雇、翌2025年1月14日に逮捕、2月4日には再逮捕されています。
また、同行では2005年にも貸金庫窃盗事案が起きています。貸金庫の管理は「貸金庫へのアクセス(出入り)を管理する」しかないのですから、管理が極めて杜撰だったという一言に尽きると言って良いでしょう。
企業資産を守る、現金、秘密の文書や物件の「取扱い要領の原則」
合規適正に管理されているかを複数の人間で、定期・不定期にチェック
通常、銀行は、貸金庫そのものの安全性やセキュリティ、すなわち不正アクセスの防止、火災や盗難などからの保護の責任を負いますが、貸金庫内の内容物の管理や損失、損傷についての責任は、利用する顧客の責任になります。
そもそも内容物は使用者のプライバシー保護等の理由で確認しないのが普通で、もちろん保険のオプション等はありますが、内容物の管理については使用者自らが記録を残しておくことが基本になります。
したがって、貸金庫へのアクセス(出入り)だけを厳格に管理することが、銀行の役割であり責任だということになります。
そういう性格の資産なので、貸金庫で何らかの事故があったとしても、被害者は被害を届け難いのではないかという憶測が犯罪者の心理に働いたかもしれません。
この貸金庫の管理を含み、秘密の文書や物件の取扱いの原則的な要領は、どこでもほぼ同じ考え方でなされていると考えてよいでしょう。
技術や環境の変化に応じて、アナログ的に記録されるか、デジタルで記録されるか、生体認証や映像で記録されるか、物理的な手段によるか、電磁的な手段によるかは異なりますが、どのようなセキュリティ・システムも考え方に変わりはありません。
通常、次のような手順で施設へのアクセスを管理します。
施設へのアクセス管理手順
① 使用者が施設に立ち入ることを管理者に連絡する。
② 使用者が管理者の立会者の下に施設内に立ち入る。
③ 所用を済ませる。
④ 使用者が管理者の立会者の下に施設を退出する。
⑤ 施設へのアクセスに加え、貸金庫の鍵の使用チェックも当然あります。
⑥ これらの一切の行動記録を残す。
次は、この記録が合規適正に管理されていることを複数の人間で、定期・不定期の点検でチェックします。
■定期点検と不定期点検の違い
・定期点検:日々点検、週末点検、月末点検、期末点検、年度末点検、検査のための点検
・不定期点検:管理者の交代に伴う点検、臨時や不定期に行う点検
こういったことを当たり前のように繰り返すことで、セキュリティの組織文化は培われていきます。
4年半もの期間、不正が発覚しなかったということは、この間、点検、検査がなされていなかったということになり、それだけですべての仕事がいい加減に流されている組織文化なのだと言われても仕方ないでしょう。
「予備鍵」の管理とは、管理のいい加減さの如実な表れ
その管理のいい加減さが如実に表れるのが「予備鍵」の管理の考え方です。予備鍵は、何のために予備鍵を備えておくのか、明らかにしておかなくてはいけません。
「本鍵が使用できなくなる」ということがセキュリティ上、何を意味するのか。通常予備鍵を使用することはありませんから、上級管理者、または指揮系統上にない別の管理者が管理することになります。
万が一、予備鍵を使用しなければならなくなった場合は、本鍵のセキュリティに問題が生じることになりますから、施設の鍵全部を交換しなければなりません。
つまりセキュリティを考慮した場合、管理者に予備鍵を管理させること自体に重大なセキュリティ上の疑義が生じてきます。
組織内で問題が起きると「内部統制の欠如」「監査・監視体制の不備」など言われるが、実際はもっと単純なこと
小さな不具合が発見されていれば、不正が働く余地はありません
組織内部で問題が起きるたびに、「内部統制の欠如」だとか「監査・監視体制の不備」だとかいう言葉が氾濫します。
しかしながら、現場で重要なこととは、日常的に小さな不具合が発見できて、不正が働く余地がないようにすることです。
例えば、目の前の仕事が合規適正に実行されているか、その実行が記録されているか否か、複数の目で重層的にチェックされているか否か、最終報告されているか否か、という「当たり前のことを当たり前にやっているか否か」だけです。
もし、日常の業務が適正に実行されていないのであれば、考えられる原因は明らかで、次のように要約できます。
① 目的に適っていない業務をしている(無駄がある)。
② 業務要領や業務量が職員の能力や業務の実態と適合していない(無理が生じている)。
③ 不正がある。
その業務を担当実施する人の能力と業務要領がマッチしているか否かの問題点を発見し、修正していくのが管理者の重要な役割になります。
不祥事が起こるたびに「不正防止」が問題になりますが、管理者は業務遂行上の不可抗力として起こり得る人為ミス(誤り)を防ぎ、業務上の効率性を高めるために、管理指導するのであって、結果として業務の透明性が高まり、不正が入り込む余地がなくなり、業務の効率性や生産性が上がるのです。
もし管理者が不正防止のために部下や業務を管理しなければならないような組織であるならば、そのこと自体が根源的な問題だと心得るべきでしょう。
