調査報告書は全部で約60ページです。全体像を理解しないと始まらないので、経緯について簡単にご紹介しておきます。

不適切行為とは何であったのか。それは島津メディカルの社員が、医療機関に納品していたX線撮影装置に、一定期間が経過すると回路を遮断するタイマーを仕掛けていたことです。故障を装って部品を交換し、売り上げを計上するためでした。この行為は2009年ごろから行われていましたが、同社の経営陣がそれを知ったのは、それから13年後の2022年のことでした。

親会社の島津製作所では、事態の発覚直後である2022年5月から社内調査を始めました。その後、9月に原因分析および再発防止のため、外部調査委員会を設置し、本格的な調査を進めてきました。その結果を取りまとめて公表したのが、冒頭でご紹介した調査報告書になります。

なお、13年もの間、ずっと発覚しなかったのかというとそんなことはありません。経営陣が事態を把握することになる2022年から遡ること5年前、社員の一人が、不正行為に気付き、企画管理本部長に内部通報をしていたことがわかりました。ところが、事態が大事になることを恐れた当時の本部長が、穏便に済ませようとして、経営陣には報告していませんでした。コンプライアンス研修で間接的な注意喚起をすることで一件落着としていたのです。同本部長の狙い通り、穏便に事は運び、研修を実施した翌年から不正件数は激減しました。

しかしその後も火種はずっと燻り続けていました。2022年5月、再び内部通報が入ったのです。

不正が話題になると、「対策はしていなかったのか？」という疑問が、いの一番に湧きあがります。外部調査委員会はもちろん、内部統制やリスクマネジメントの整備・運用状況にもメスを入れています。結論から言えば、整備・運用はされていました。おそらく、皆さんが自社で実施しているような体制やプロセス整備がされていたと考えて良いでしょう。

具体的にどのような取り組みがなされていたのか、報告書を読みながら、私の方で簡単にまとめてみましたのでご覧ください。

※出典：「企業調査報告書 7.内部統制機能の実効性についての検証」をもとに筆者が編集

これら以外にも調べてみると、当時の社長は「技術と信頼で奉仕する」という社是を強調していましたし、島津メディカルは、医用機器の販売及びサービスの会社として品質マネジメントシステム（ISO9001）の認証を受けていたことがわかります。

「内部統制が整備・運用されていたのになぜ？」という疑問が湧くかもしれませんが、内部統制が適切に整備・運用されていたからこそ、内部通報制度が利用され、今回の事態が発覚したと捉えることもできます。

問題は、不正が起きてしまったことと、その発覚まで13年もの歳月を要した点です。なぜでしょうか？　外部調査委員会は、なぜこの不正が起きたのか、なぜ13年もの間、経営が把握することができなかったのかについて、様々な角度から分析していますが、その中で取り扱っている「不正のダイヤモンド」フレームワークに基づく原因分析がわかりやすいと思います。次のような分析です。

※出典： 調査報告書（本件不正行為の原因分析-「動機・機会・正当化・実行可能性」の検証）をもとに筆者が編集

こうした要因が不正のきっかけを作るとともに、10年以上という長きにわたってその発覚を防いできました。発覚のチャンスになるはずだった内部通報の声も、経営までは届かず揉み消されてしまったのです。組織風土にいかに問題があったのかということが窺い知れます。

これを受け、島津メディカルが最終的に導入することを決めた再発防止策は以下の４点です。その中身について詳しくお知りになりたい方は、報告書をご覧になられると良いでしょう。

• ミッションの定義と業務評価体系の再設計
• 管理職の強化
• 内部統制機能の強化
• 関係者の処分

再発防止は大事ですが、私は、今回の調査報告書を読んで、次のような点を重要な学習ポイントとして挙げたいと思います。

i) バッドニュースファーストの落とし穴と勘どころ

2022年から遡ること5年前の2017年。社員から不適切行為の情報が上がってきましたが、残念ながらその情報は経営まで上がることはありませんでした。ここからは「バッドニュースファースト」がなぜ機能しないのかのヒントを垣間見ることができます。結果として情報を揉み消す形になった本部長は、調査に対して次のように述べたと言います。

「本件不正行為が明るみになれば島津製作所や島津メディカルにとって重大事になってしまうと考え、当該情報を島津メディカルの取締役会や代表取締役社長、また島津製作所に対し、報告・共有をしなかった」（調査報告書本文P42より）

「会社にとって何が最悪で何がベストか？」を決めるのは経営陣であるべきなのに、それを勝手な忖度で押し留めてしまったことがわかります。当該本部長が「事を明るみにしてしまうことそれ自体が、島津メディカルにとっての最悪の事態である」と判断してしまったのでしょう。これは過去の幾つもの企業調査報告書で見受けられる傾向です。

見方を変えれば、この文章を書いている私にも、そしてこの文章を読んでいるあなたにも、誰にでも起こりうることだと思うべきではないでしょうか。何をしていれば「まさか、うちの会社で！？これを明るみにしたら会社はどうなってしまうのか！？自分はどうなってしまうのか！？」と思った人たちが、勇気を出して正しい道に足を一歩、踏み出せるのか。ここが大きな論点だと思います。皆さんも考えてみてください。

ii) KPIの落とし穴と勘どころ

KPIが現場のプレッシャーを生み、不正の温床になるというのは過去のケースでもよく見られる傾向です。島津メディカルのケースでは、本来、同社のミッションは「故障が起こる前に部品交換をしたり、仮に故障が起こっても速やかに部品交換を行うことで、お客様の業務に支障が出ないようにすること」にあったはずです。実際、当時の同社のホームページには「ダウンタイムの削減を図ります」「ダウンタイムを最小限に抑えます」という文言が並んでいます。しかしながら、実際の評価は、保守・点検を通じた売り上げがそれなりの比重を占めたといいます。しかも、保守・点検の売り上げは、どうしても製品販売元の親会社の売り上げに依存せざるを得ず、自分たちの力でどうこうならない部分もありました。

もし皆さんが目標を課される立場で、「設定された目標に納得感が少ない」「目標達成のコントロール力が自分たちにはあまりない」「にも関わらず、その目標達成度で評価される」という状況下に置かれたとしたらどう思うでしょうか。報告書も触れていますが、もちろん「完璧なKPI」はこの世に存在しません。おそらく皆さんの会社で設定されているKPIだって完璧なものはないはずです。だからこそ「設定したKPIがミッションと必ずしも合致してない」「現場に納得感が少ない」場合にどう気づき、どう改善すべきでしょうか。皆さんも考えてみてください。

iii)リスク認識の落とし穴と勘どころ

こういう事案が起こるたびに、「事前にリスク認識しようがなかったのか？」という問いが投げかけられます。すでに申し上げたとおり、島津メディカルには、通常どの企業でも行われているような一般的な内部統制の仕組みは入っていました。それでも、その活動の中で、「製品にタイマーを仕掛けて意図的な故障を装うリスク」を認識することはできませんでした。

過去に起きた類似事例もなく、同業他社でも類例のなかったリスクであることを考えると、事前のリスク認識は難しかったと言わざるを得ないでしょう。「ん？　だとしたら、リスク調査票を投げても事前にそういうリスク認識はできないわけだし、リスクマネジメントは無意味じゃないか？」そう思う人もいるでしょう。果たしてそうでしょうか。そもそもリスクマネジメントは、リスク調査票が全てではありません。2017年の段階で社員の一人が「内部通報をしてきた」というのはこの問題を解く一つの大きなヒントです。おそらくそれまでも、気づいたけれども声を上げることができなかった社員は何人もいたはずです。つまり、その時点で（本人がそれを「リスク」という言葉で捉えていたかどうかはわかりませんが）少なくとも「何かおかしいこと」に気づくことができているのです。もしあなたが、自分を評価する上司やその上の上司が、こうした「何かおかしいこと」に手を染めていることに気づいたとしたら、リスク調査票にそれを書くでしょうか？　ぜひ考えてみてください。そこが論点だと思います。

私は今回の報告書を読んで、島津メディカルが特段悪いから起きた事案ではなく、どの会社でも起こりうる事案だと思いました。むしろ、島津メディカルは今回の事案に対して誠実に対応していることが見て取れます。

今回のケースでは「バッドニュースファースト、KPI、リスク認識」の３点を学習ポイントとして挙げましたが、いずれにおいても大事なポイントは「皆さんが実践しているであろう典型的なリスクマネジメントプロセスだけでは拾えない可能性のある問題」だということです。これらは、リスクマネジメントの中でも、軽視されがちなリスクカルチャー（組織風土）に該当します。組織風土はあらゆるリスクマネジメントの土台になるものです（図2参照）。

今回の事例からは、見せかけだけの「リスクマネジメント行動指針」を掲げても意味がないし、社長メッセージを出していれば解決できるものではないということもおわかりいただけると思います。すでに挙げた学習ポイントを考えていただくとともに、ぜひ、この部分に真剣にメスを入れていただきたいと願うばかりです。