ニュースと出版物
刑事コンプライアンスと企業ガバナンス
Mon Oct 17 10:46:00 CST 2022 発表者:华诚小編 ファイルをダウンロードしてないPDF

刑事コンプライアンスと企業ガバナンス

弁護士 蒋力飛



はじめに

2020年3月、最高人民検察院が第1陣事件関与企業のコンプライアンス改革試行業務を開始した。同試行には深圳南山、深圳宝安、上海浦東、上海金山など6つの基層検察院が含まれている。

2021年5月、国務院国有資産監督管理委員会は、中央所管企業にすべてコンプライアンス委員会を設置することを明らかにした。

事件に関与した企業(以下、「事件関与企業」という)のコンプライアンス改革の試行は、主に既に「刑事的リスク」が生じており、かつ刑事事件の「審査・起訴の段階」にある事件関与企業のコンプライアンスに対して、コンプライアンス審査を通過した事件関与企業について、検察機関は不逮捕・不起訴の決定または実刑に処しないという提案を行うことができるというものである。

 

一、刑事コンプライアンスと企業コンプライアンス

上記「審査・起訴の段階」にある事件関与企業のコンプライアンスとは異なり、本稿で検討する「刑事コンプライアンス」の範疇は、主に企業の日常経営の段階に焦点を当て、「刑事的リスク」が生じていない場合の刑事的リスクの予防に焦点を当てている。

したがって、本稿でいう刑事コンプライアンスとは、刑事法令の規範などの基準に基づき、企業の経営管理活動における潜在的な刑事的リスクを識別・評価・予防・抑制する一連の措置である。

2018年、国務院国有資産監督管理委員会による「中央所管企業コンプライアンス管理ガイドライン(試行)」において、企業コンプライアンスとは、中央所管企業及びその従業員による経営管理行為が法律・法規、監督管理規定、業界準則、企業定款、規章制度及び国際条約・規則等の要求に合致することを指すと定義された。

このことから、企業コンプライアンスの構成には、従来のコンプライアンスと刑事コンプライアンスの2つの部分が含まれており、刑事コンプライアンスは、企業コンプライアンスの構成部分であることが分かる。また、刑事コンプライアンスは従来のコンプライアンスではなく、ましてやそれに取って代わろうとするものでもなく、従来のコンプライアンスに焦点を当て、それを補完するものである。更に、刑事コンプライアンスは企業コンプライアンスの内容をすべて網羅してはおらず、もっぱら刑事的リスク予防のコンプライアンスのみに重点を置いている。

 

二、刑事コンプライアンスの必要性

筆者のチームが初歩的に集計したところ、刑法にある企業に関係する罪名の数は149ほどであった。言い換えれば、企業経営の過程において、この149の罪名は、企業の周りに張り巡らされた149本の見えないレッドラインのようなものであり、多くの企業がこれらのレッドラインの存在や境界を知らないかもしれず、触れているか否かも知るよしもないかもしれない。一旦レッドラインに触れてしまうと、後から取り繕おうとしてももう間に合わないかもしれない。

「中央所管企業コンプライアンス管理ガイドライン」の分類によれば、企業の「市場取引分野」は29の罪名、「財務税収分野」は33の罪名、「知的財産権分野」は7つの罪名、「その他の分野」(主にデータセキュリティ、ネットワークセキュリティ、プライバシーなどを指す)は46の罪名に及んでいる。北京師範大学中国企業家犯罪予防研究センターによる「中国企業家犯罪分析報告書」における2018年の事件関与企業の事件発生段階別集計を参照すると、「日常経営の段階」の事件発生は36.03%、「融資の段階」の事件発生は24.81%、「財務管理の段階」の事件発生は8.84%を占めている。

ここから分かるように、企業は日常経営、融資、財務管理などの段階で、「市場取引」、「財務税収」、「知的財産権」などのいずれの分野においても刑事的リスクの発生率が高くなっており、企業としては関心を高めなければならない。特に法に基づいて国を治めるという背景の下で、これらの段階と分野における企業の刑事的リスク防止の意識向上は非常に切実である。

 

三、企業ガバナンスにおける刑事コンプライアンスの活用

ここで、1つのケースで説明する。

2011年から2013年にかけて、鄭某ら6名のネスレ社の従業員は粉ミルクのセールスのために、謝礼を支払うなどの手段で、蘭州市の複数の病院の医療従事者から妊産婦の氏名、携帯番号などの情報を合計12万件余り入手した。

2016年10月、蘭州市城関区人民法院は、鄭某らが公民個人情報侵害罪を構成すると判決した。その後、鄭某らは、係争行為が組織犯罪(原文は「単位犯罪」)であることなどを理由に控訴した。

第二審において、ネスレ社は会社規章、従業員による承諾書などの様々な証拠を提供することで、従業員が公民の個人情報を侵害する違法犯罪行為に従事することをネスレ社が禁じており、各控訴人が会社の管理規定に違反して、個人の業績を上げるために犯罪を実行したのは個人的行為であることを証明しようとした。

2017年5月、蘭州市中級人民法院は終審裁定を下し、組織犯罪を構成するということに関する弁護における控訴人側の理由は支持せずに、原判決を維持した。【出所:(2016)甘0102刑初605号、(2017)甘01刑終89号】

image.png

image.png

上記事件の審理は2016年から2017年の間に行われ、審理における考え方として、今でいう刑事コンプライアンスを直接使ってはいなかったが、それでも業界では「企業コンプライアンス無罪抗弁の初の事件」と呼ばれている。なかぜというと、事件の審理では、ネスレ社が刑事コンプライアンス関連の制度を設け、なおかつ効果的に実施していたことで、裁判所は従業員の実行した犯罪行為が個人的行為であると認定し、これにより従業員の個人責任と企業責任との間に「ファイアウォール」ができ、従業員の個人責任と企業責任とが効果的に切り離されたからである。

しかし、本件の分析は浅いレベルにとどめてはいけない。もし当初ネスレ社が事前に従業員にコンプライアンス研修を行っていなかったり、あるいは従業員に対して事前にコンプライアンス研修を行ってはいたものの、管理の混乱のせいで相応のコンプライアンス研修の完全な記録が残っていなかったら、審理の期間に関連証拠を提供して裏付けられなかったことになり、その場合、ネスレ社は組織犯罪と認定される可能性が高かった。

これは企業ガバナンスにおける刑事的リスクを防ぐための刑事コンプライアンスの真の価値のありかでもある。

 

四、企業ガバナンスにおける刑事的リスクの予防

長い間文章を書いてきた関係で、筆者はいくつかの表象を「細分化」した上で、「細分化」した要素を分析し、最後に分析結果を体系的に整合するのが習慣になっている。「企業の刑事的リスク」の検討・分析でもこの論理をそのまま用いる。

1.行為者

企業の刑事的リスクの予防を検討するのに、まず解明しなければならないのは、刑事的リスクを触発する可能性がある違法行為を「誰」が実行したのかである。仮に企業が罪を犯したのであれば、企業自体が違法行為を実行したのであろうか?それは明らかに違う。企業は多くの人員が集合したプラットフォームであり、企業自体が違法行為を実行することは不可能であるが、企業の意志を代表する人員あるいは集団が実行する行為は、通常は企業の行為と見なされる。言い換えれば、企業の刑事的リスクの予防を検討する前に、刑事的リスクを引き起こす違法行為の実際の実行者を見分けられなければならず、この点が特に重要である。

 

1)管理者

企業管理者とは、通常、実質的支配者、株主、取締役、監査役、上級管理職などを指す。

管理者という身分から、これらの役職に就く者が企業経営において実行した行為は企業の意志を代表すると連想(認定)されやすく、ひいては個人の意志による行為との混同につながる。管理者が企業に利益をもたらす違法行為を実行した場合、結局企業の意志なのか個人の意志なのかを区別する必要が特にあり、企業が負う「企業の意志でない」ことの立証責任が知らぬ間に重くなる。

2)従業員

従業員が企業経営の中で実行する行為は、企業の意を受けて実行する職務行為もあれば、自らの私利のための個人的行為である可能性もある。前回の【刑事コンプライアンスと企業ガバナンス(二)[zt1] 】の文章で触れた「ネスレ従業員による公民個人情報侵害事件」におけるネスレ社のあの6名の販売員がその例である。開廷審理において、販売員は、「公民の個人情報を収集したのは、会社の乳児用調製粉ミルクのノルマを達成するためであり、会社の要求通り行ったものであり、得た情報も会社に提供しており、職務行為に該当する」と述べた。しかし、ネスレ社が提供した証拠(ネスレ社の指示、電話調査の資料、販売員が署名した研修・テストの書類および承諾書など)を前にして、裁判所は最終的にネスレ社の証拠と主張を採用し、販売員が会社の管理規定に違反して、個人の業績を上げるために実行した犯罪は個人的行為に該当すると認定した。

3)外部の者

もう1つ、表立ってはいないが非常に重要なものとして、一般的には企業外部の供給業者/取引先が挙げられる。言い換えれば、経営において、企業と外部の関係者、企業・事業単位、社会組織などの主体との間で発生する業務協力や取引サービスである。これらの取引先/供給業者が企業との協力/取引を成立させるために実行した違法行為に対して、企業が事前に十分なリスクの防止と分離を施していなかった場合、外部の者が引き起こした違法のリスクが企業にまで及ぶ可能性が高い。例えば、企業がよその土地の第三者仲介機関に現地でのプロジェクト入札サービスを委託した場合、第三者仲介機関が落札のために違法な談合や商業賄賂を実行すると、刑事的リスクを誘発する。そのため、企業が共謀して違法な談合や商業賄賂の実行に関与したか否かを明らかにすることも、捜査に関わる機関が行う捜査の方向性の一つになる。

 

本稿では、上記の管理者、従業員、外部の者の3種類の人員を総称して「行為者」といい、以下、「行為者」は同義とする。

 

2.法益

行為者が経営の中である行為を実行すると、肯定的または否定的な法的評価、つまり合法か違法かという評価が必ず生じる。どんな時に否定的な法的評価が生じるのであろうか。それは、行為者の行為が「刑法」に保護されている利益に抵触した時であり、この保護されている権益が法益である。

   

通常、ほとんどの企業は虚偽の領収書の発行や脱税などが違法行為に該当することを知っており、このように認知と防止の度合いが割りと高い法益を筆者は既知法益という。すなわち、広範な法治の普及および内部のコンプライアンス組織による体系的な研修を通じて、既に知られている法益である。これに対置するのは未知法益である。ここで筆者がいう未知法益は、それ自体は存在しており、「刑法」に明確に保護されている利益であるものの、企業は知らない。言い換えれば、ある法益の存在を企業が知らず、経営においてこれらの法益を意図せず侵害した場合、これらの法益は未知法益に該当する。未知法益はまさしく経営における刑事的リスクが極めて生じやすい重点分野であり、企業の刑事的リスク予防の最重要課題でもある。

「未知法益」はなぜ普遍的に存在するのであろうか。まず、社会経済の発展に伴い、新たな法益が次々と出てくる。例えば、ここ数年、中国ではデータセキュリティ、ネットワークセキュリティ、個人情報などの利益に対する保護が強化される一方で、多くの企業は速やかに相応の規章制度を構築しておらず、体系的学習も行っていない。また、企業は刑事的リスクの予防に対する重視が欠如しており、特に民間の中小企業は刑事コンプライアンスの構築に無関心で、インプットはさらに少ない。

 

3.刑事コンプライアンスの実施主体

上述のように、未知法益は企業の潜在的な刑事的リスクの重要な要因である。企業を前にして、未知法益を如何に既知法益に転換するかは、企業の法務担当者自身が業務に絶えず精進して限界を乗り越えるだけでなく、外部の弁護士の専門チームによる刑事コンプライアンスサービスを利用して実現することが重要な道である。

外部の弁護士を利用して企業内に関連する規章制度を設けるとともに、行為者に体系的な研修を実施し、未知法益を既知法益に転換することで、行為者の個人責任と企業責任の間に「ファイアウォール」をつくり、行為者の個人責任と企業責任を効果的に切り離すことができる。

 

五、「審査・起訴の段階」における事件関与企業の「コンプライアンス」救済のメカニズム

2020年3月、最高人民検察院は、事件にかかわる違法犯罪につき、法により逮捕しない、起訴しない、実刑に処しないという企業コンプライアンス監督管理試行作業を開始した。

2022年4月2日、最高人民検察院は全国工商業連合会と共同で特別に会議を催し、事件関与企業のコンプライアンス改革試行作業を全面的に展開した。会議では、「民間企業であろうと国有企業であろうと、中小零細企業であろうと上場会社であろうと、事件に関与した企業が罪を認めて処罰に同意し、正常に生産・経営を行え、企業コンプライアンス制度の確立または充実を承諾でき、「第三者メカニズム」を開始する基本条件を備えられ、任意で適用する意向を示しさえすれば、いずれも「第三者メカニズム」を適用することができる」ことが強調された

事件関与企業のコンプライアンスのメカニズムを下図に示す。

image.png

審査・起訴の段階、コンプライアンス審査手続(審査主体:検察機関など)

罪を認め処罰に同意する誓約書(原文は「認罪認罰具結書」)

審査を受け入れる承諾書(原文は「接受考察承諾書」)

コンプライアンス計画

コンプライアンス計画の審査

コンプライアンス審査後の処理

弁護士がコンプライアンス計画の作成、実行と評価に参加

 

まず、事件関与企業のコンプライアンスは「審査・起訴の段階」で発生し、審査する主体は検察機関である。つまり、企業において既に刑事的リスクが発生し、刑事責任追及の手続きが開始され、かつ事件は既に検察機関に移送されている。事件関与企業のコンプライアンスは「審査・起訴の段階」でしか適用できず、審査する主体には検察機関しかなれず、審査の対象には事件関与企業しかなれない。

次に、検察機関が条件に合致する事件関与企業に「コンプライアンス」を適用することを決定した場合、事件関与企業は「罪を認めて処罰に同意する誓約書」と「審査を受け入れる承諾書」に署名する必要がある。もちろん、「コンプライアンス」の適用は双方向であり、事件関与企業は同意してもいいし、しなくてもよい。「コンプライアンス」手続の適用に同意した場合は、「罪を認めて処罰に同意する」ことと「審査を受ける」ことに同意しなければならない。

それから、事件関与企業が「罪を認めて処罰に同意する誓約書」、「審査を受け入れる承諾書」に署名した後、検察機関は第三者の専門家を招いて事件関与企業向けのコンプライアンス計画の構築、実施を行わせる。コンプライアンス計画とは、企業に疑いがかかっている罪名について、犯罪を引き起こす企業内のガバナンスの構造、規章制度、従業員研修などの問題と弱点を全面的に整理し、充実したコンプライアンス管理規範の制定、効果的なコンプライアンス組織体系の構築、コンプライアンスについてのリスク防止および規則違反対応体制の健全化などの方式を通じて、制度において犯罪の再発を効果的に防止する。通常、第三者の専門家は業界の専門家、学者、弁護士、会計士などからなり、事件関与企業がコンプライアンス計画の制定に参加する際に補助する。

さらに、コンプライアンス計画の作成が完了した後、事件関与企業は「コンプライアンス計画」に従って是正を行う必要がある。その後、検察機関は事件関与企業における「コンプライアンス計画」の是正の実施につき、「コンプライアンス計画」に定めた目標を達成しているか否かを審査する。

そして、最後に、検察機関は事件関与企業の審査結果に基づき、不逮捕・不起訴の決定を下すか、実刑を適用しない量刑を提案する。

これらのことから分かるように、事件関与企業のコンプライアンスは一時凌ぎに弱点を取り繕うものではなく、企業の既存のコンプライアンス体系を否定して全面的なコンプライアンス体系の構築を行わせるものでもなく、違法行為の背後にあるコンプライアンス管理の弱点を的確に識別し、新たなコンプライアンス審査基準を制定し、企業の既存のコンプライアンスシステムを補完し強化するものである。

 

六、刑事的リスクの防止についてのよくある誤解

誤解一、集団的意思決定は責任を免除する「安全ロック」である。

周知のように、集団的意思決定という方式は企業の重要な内部管理制度の一つではあるが、集団的意思決定は往々にして錯覚を生む。物事を集団で討論して、個人による意思決定という要素を排除しさえすれば、個人にとって法的リスクはなくなり、たとえ集団的意思決定を誤っても、法は大衆を断罪しないと考える人もいる。しかし、司法実務から見ると、集団的意思決定を最終的に誤り、しかも最終的に刑事的リスクが生じた場合には、企業が刑事責任を負うほか、指導的責任を負う法定代表者、主な責任者は、やはり相応の刑事責任を負うリスクがある。

誤解二、複数の役職レベルでの審査承認はリスクを分離する「セーフティネット」である。

企業ガバナンスでは、各々が各々の職務を遂行するための審査承認制度が既に非常に普及しているが、長期にわたって定型化したプロセスにより、署名欄の署名しか見ずに、審査承認事項そのものの合法性を無視する人が多くなっている。複雑な審査承認手続が形骸化し、担当者が「ルーティンワーク」のような気持ちで審査承認を行っていると、複雑に見える内部管理手続が逆に承認者のリスク管理の意識を麻痺させることになる。審査承認事項自体に重大な法令違反がある場合、企業は刑事的リスクの泥沼に陥りやすい。

そのため、審査認可手続の設置は実体審査を基準とし、審査認可事項に対して定期的に刑事コンプライアンス有効性の分析を行う必要がある。

誤解三、第三者による評価はリスクを分離する「ファイアウォール」である。

第三者による評価は、第三者の専門知識および客観的・中立的な社会的地位を利用して、重要事項について専門的な評価意見を提供するものであり、企業は第三者の評価意見に基づき、最終的な経営上の意思決定を行う。通常、国有企業は重要な取引、重大な意思決定の前に、第三者による評価などの手続きを開始するが、評価、デューディリジェンスの方法が規範的でなく、企業の意思決定者も評価、デューディリジェンスの結果を是正せず、それにより国有資産の流出を招いた場合、国有企業人員職務怠慢罪と認定されるリスクが高い。近年、企業再編において国有資産の流出が争点となる事件が時々発生しており、多くは第三者による評価の段階に集中している。そのため、企業は「第三者による評価」のプロセスや方法、結論に対しても相応の実体審査を実施し、市場取引の「ゴールキーパー」としての役割を最大限に果たすべきである。

 

七、企業経営において刑事的リスクが発生しやすい分野

2021年、華誠は「刑事コンプライアンス部」を設置し、刑事コンプライアンス部の責任者として、筆者はチームを率いて様々な業種、様々な業態分野、様々な発展段階の企業に発生した刑事的リスクの特徴と規律を体系的に研究している。

ここ数年、デジタル経済、インターネット技術の商業的な普及、ならびに個人情報の幅広い利用に伴い、企業が日常経営において個人情報、ビッグデータに触れ、インターネットでデータ・情報伝送などを行うシーンが多く見られるようになった。そのため、中国では立法を通じて、デジタルセキュリティ、ネットワークセキュリティ、個人情報保護に更に力を入れている。

2017年6月1日に「中華人民共和国サーバーセキュリティー法」が施行され、2020年1月1日に「中華人民共和国暗号法」が施行され、2021年9月1日に「中華人民共和国データセキュリティ法」が施行され、2021年11月1日には「中華人民共和国個人情報保護法」が施行された。これらの法律の公布に伴い、関連する公民個人情報侵害罪、コンピュータ情報システムデータ不法取得・コンピュータ情報システム不法制御罪、情報ネットワーク不法利用罪などの9つの罪名も段々多くの注目を集めるようになってきた。そのため、企業はデータ利用、個人情報保護、ネットワークセキュリティなどのシーンにおいて潜在的に刑事的リスクの発生率が高い。

また、「刑法」には不法経営罪という割と「特殊」な罪名があり、これは一つの罪名に過ぎないものの、対応する犯罪行為が絶えず増えており、「ポケット」のようになっているため、「ポケット罪」とも呼ばれている。

筆者が特に列挙して整理してみたところ、現在、不法経営業罪で調整されている「不法経営行為」の類型は既に59種類にも及んでいる。このうち、刑法第225条の「不法経営罪」で調整されている不法経営行為の類型は6種類、司法解釈/文書で調整されている不法経営行為の類型は25種類、業界の法令で調整されている不法経営行為の類型は28種類ある。大量に存在するこれらの「不法経営罪」で調整されている不法経営行為も、企業に潜在する刑事的リスクが発生しやすい分野であり、多くの企業が注目し、警戒するに値する。

 


当事務所のウェブサイトの内容は一般情報の提供を意図するものです。本ウェブサイトの内容は弁護士とクライアント間で法律上の代理関係を形成するものでも、特定の案件の法律アドバイスを提供するものでもありません。ウェブサイトの利用者は弁護士から専門的な法律アドバイスを入手しなければなりません。特定な係争等の事実または状況がある場合、適切な法律またはその他の専門的アドバイスを取得せず、当事務所のウェブサイトの情報に基づいて行動を起こしたり、起こすことはお控えくださるようお願いします。

© Copyright 2000-2015 All Rights Reserved | 原版icp備15028801番だった プライバシー方針 | フィードバック

沪公网安备 31010402001317号

Lin