【CIA試験講義】パート1 セクションB-6-a: 秘密保持とルールの適用
テーマ:情報の「金庫番」としてのルールブック ~法令・方針・手続の遵守~
セクションB-6-aは、内部監査人が業務上知り得た情報を扱う際、単に「口外しない」だけでなく、「どのルールに従って情報を管理・開示すべきか」という判断基準を扱います。
GIAS(グローバル内部監査基準)の倫理原則において、「秘密保持」は絶対的な沈黙を意味するものではありません。「適切なルール(法令や組織の方針)に従って取り扱う」ことが真の意味での秘密保持です。
1. 導入:秘密保持の「3層構造」
内部監査人が情報を扱う際、従うべきルールは主に3つの層で構成されています。試験では、この優先順位と相互関係が問われます。
- 法令・規制(Laws and Regulations): 国や地域の法律です(例:個人情報保護法、GDPR、インサイダー取引規制)。これは最上位の強制力を持ちます。
- 組織体の方針(Organization Policies): 組織が決めたルールです(例:データセキュリティポリシー、情報区分規定)。「社外秘」や「極秘」といったラベル付けはここに含まれます。
- 手続(Procedures): 具体的な実務手順です(例:データの暗号化手順、書類のシュレッダー廃棄手順)。
★ポイント: 内部監査人は、監査業務を行う国や地域の法令を理解し、かつ組織の内部規定に精通していなければなりません。「知らなかった」は通用しません。
2. 「情報の適切な利用」とは何か?
このセクションで重要なのは、「情報を私的に利用しない」ことと、「法令等に従って適切に開示・管理する」ことです。
A. 個人的な利益のための利用の禁止
監査で得た情報を利用して、自分や他者の利益を図ることは厳禁です。
- 典型例(インサイダー取引): 未公表のM&A情報を知り、公表前に自社株を売買する(または家族に教える)。これは倫理違反であると同時に、明確な法令(金融商品取引法など)違反です。
B. 法的義務による開示
通常、監査人は情報を外部に漏らしてはいけませんが、例外があります。
- 法令による強制: 裁判所の命令や、法律で定められた監督官庁への報告義務がある場合。
- この場合、「秘密保持義務」よりも「法令遵守義務」が優先されます。
3. 試験で問われる「判断の分かれ目」
試験では、以下のような状況で監査人がどう行動すべきかが問われます。
シチュエーション①:監査報告書の配布先
- 原則: 組織の「方針(Policy)」に従い、適切な権限を持つ者だけに配布する。
- 注意点: 監査対象部門の許可なく、関係のない他部門へ情報を流すことは、たとえ社内であっても「不適切な利用」となる可能性があります(Need-to-knowの原則)。
シチュエーション②:不正の発見と通報
- ケース: 重大な法令違反を発見した。
- 対応: まずは組織内部の法務部門やコンプライアンス部門の方針に従って報告する。しかし、組織全体が隠蔽しようとしており、かつ現地法で外部機関への通報(内部告発)が義務付けまたは保護されている場合は、法令を適用して外部へ報告することが正当化される場合があります。
4. 具体的な実務への適用(GIASの視点)
GIASでは、監査人が「公益(Public Interest)」に配慮することが強調されています。情報を扱う際は、以下のステップを意識してください。
- 確認する: その情報は、組織の方針でどの機密レベルに区分されているか?
- 適用する: その情報の取り扱い(保存、転送、廃棄)に関する法令や手続を守っているか?
- 拒否する: 情報を不正な目的(私的利益や、他者を不当に陥れるため)に使用しようとする圧力に屈しない。
イメージ:
あなたは「危険物取扱者」です。危険物(機密情報)を運ぶときは、法律で決められた容器(セキュリティ)に入れ、決められたルート(方針)で運ばなければなりません。ポケットに入れて持ち帰ったり、道端に捨てたりしてはいけません。
まとめ
セクションB-6-aの合格のカギは、「秘密保持 = 法律とルールの遵守」という図式を頭に入れることです。
- 情報は「自分のもの」ではなく「組織のもの」であり、さらには「法令の管理下」にあります。
- 迷ったときは、「感情」や「上司の命令」ではなく、「文書化された方針」と「法令」が判断基準となります。
【練習問題】パート1 セクションB-6-a
Q1. 内部監査人が販売プロセスの監査中に、顧客のクレジットカード情報を含むリストが、社内の共有サーバー上のアクセス制限のないフォルダに保存されていることを発見した。組織のセキュリティ方針では、個人情報は厳重にアクセス制限を行うことが義務付けられている。この状況における内部監査人の行動として、最も適切なものはどれか。
A. 直ちにそのフォルダを削除し、証拠隠滅を防いだ上で、監査報告書には記載しない。
B. 発見した事実を無視する。IT部門が定期的にスキャンを行っているはずであり、内部監査人の責任範囲外であるため。
C. 組織のセキュリティ方針および関連する個人情報保護法規に違反している可能性があるため、直ちに関連する責任者に報告し、是正措置を求める。
D. 顧客リストを自分のPCにコピーして証拠として保全し、個人的に顧客へ連絡して注意喚起を行う。
【解答・解説】
正解と解説を表示
正解(C): 内部監査人は、関連する組織の方針(セキュリティ方針)および法令(個人情報保護関連法)を適用し、リスクを伝達しなければなりません。
不正解(A): 監査人が独断で業務データを削除・変更することは、監査人の権限を逸脱しており、業務妨害になる可能性があります。
不正解(B): 重要なリスク(法令違反・情報漏洩)を発見したにもかかわらず無視することは、専門職としての正当な注意(Due Professional Care)に欠けます。
不正解(D): 監査人が許可なく顧客データを私用PCに移すこと自体が、セキュリティ方針違反および情報漏洩のリスクとなります。また、顧客への直接連絡は監査人の役割ではありません。
Q2. 内部監査人は、来期に予定されている企業買収(M&A)に関する機密会議に出席し、その詳細を知った。監査人はこの情報を友人に話すつもりはないが、買収対象企業の株価が上がることが確実であるため、自分の退職金口座を使ってその企業の株式を購入した。この行為に関する評価として、GIASの倫理原則に照らして正しいものはどれか。
A. 友人に話していないため、秘密保持の原則には違反していないが、利益相反には該当する可能性がある。
B. 内部監査業務を通じて得た情報を個人の利益のために利用しており、倫理原則およびインサイダー取引規制等の法令に違反している。
C. 監査人が直接監査を担当していない企業の株式購入であれば、情報は偶発的に得たものであるため問題はない。
D. 退職金口座のような長期保有目的の口座であれば、短期的な利益追求ではないため、倫理的に許容される。
【解答・解説】
正解と解説を表示
正解(B): GIASの倫理原則(および各国の法令)は、業務上知り得た情報を個人の利益のために利用することを厳しく禁じています。情報の漏洩(他言)がなくても、情報の不正利用(株式購入)は重大な違反です。
不正解(A): 秘密保持には「情報の不開示」だけでなく「情報の適切な利用(私的流用の禁止)」も含まれます。
不正解(C): 担当業務かどうかにかかわらず、職業的地位を利用して得た情報の悪用は禁止されています。
不正解(D): 口座の種類や保有期間にかかわらず、未公開情報に基づく取引は違法かつ非倫理的です。
Q3. 内部監査人は、環境規制に関する監査において、工場が有害物質の排出に関する現地の法令に違反している証拠を発見した。経営陣に報告したが、「コストがかかるためすぐには対応できない。外部には絶対に漏らすな」と口止めされた。現地の法律では、このような環境汚染について当局への報告義務が定められている。この場合の監査人の対応として、最も適切なものはどれか。
A. 組織に対する忠誠心と秘密保持義務が最優先されるため、経営陣の指示に従い、外部への報告は行わない。
B. 直ちにマスメディアに匿名で情報をリークし、社会的制裁を求める。
C. 組織内の法務顧問と協議し、現地の法律で定められた報告義務(法的要件)を確認した上で、法令に従った適切な対応をとる。
D. 監査報告書には「準拠している」と虚偽の記載を行い、個人的に警察に通報する。
【解答・解説】
正解と解説を表示
正解(C): 秘密保持の原則は、法令による開示義務がある場合には適用されません(あるいは制限されます)。監査人はまず法務専門家と協議し、自身の行動が「関連する法令」に適合しているかを確認する必要があります。
不正解(A): 違法行為の隠蔽を指示された場合、法令遵守が組織への忠誠心よりも優先されるケースがあります。特に法令で報告義務がある場合、沈黙は監査人自身を法的リスクに晒します。
不正解(B): 内部告発の手順や法令上の保護を確認せずにメディアへリークすることは、組織の正当な利益を害する恐れがあり、かつ監査人としての守秘義務違反に問われるリスクがあります。
不正解(D): 虚偽の報告を行うことは、いかなる理由があっても監査人の誠実性(Integrity)に違反します。
