以前在籍していた会社が、上場を目指していたときの話だ。2008年、金融商品取引法の改正によって、上場企業には内部統制報告制度——いわゆるJ-SOXが適用されることになった。アメリカのSOX法を日本向けに導入したもので、企業の財務報告が適正に行われる体制を整え、それを経営者自身が評価し、監査法人が監査する。上場企業にとっては義務だ。だがこれから上場しようとしている会社にとっても、上場審査の過程で内部統制の整備状況が問われる以上、避けて通れない話だった。私はその整備を任された。
内部統制の構築とは、煎じ詰めれば「会社の中のルールを明文化する仕事」だ。業務の流れをフローチャートに描き、どの工程にどんなリスクがあるかを洗い出し、そのリスクを防ぐために誰が何をチェックするかを文書にする。業務記述書、リスクコントロールマトリクス——聞き慣れない名前の書類を次々と作っていく。加えてIT統制の整備もあった。システムへのアクセス権限は適切に管理されているか。パスワードポリシーは設定されているか。変更履歴のログは保存されているか。データのバックアップは定期的に取られているか。これらを一つずつ確認し、できていなければ仕組みを作り、すでにやっていれば証跡を残す体制を整える。地味で、膨大で、終わりの見えない作業だった。
奇妙な立場にいた。社内に向いているときは、ルールを作る側だ。「この業務フローでは承認が一段階足りない」「このアクセス権限は職務分掌に反している」——そう指摘して改善を求めるのは私の仕事だった。だが振り返って株式市場の方を向けば、私たちはルールを守らされる側だった。証券取引所の審査基準、監査法人の指摘事項、金融庁のガイドライン。外から降ってくる要求に応えるために、内のルールを整える。作る側でありながら、従う側でもある。この二重構造の中で、私は内部統制の本質を——と言いたいところだが、そんな綺麗な学びが得られたわけではない。得られたのはもっと泥臭い実感だった。ルールは、作っても読まれない。
三百ページの文書を、誰が読んだか
内部統制の文書は、最終的に数百ページの分量になった。業務フローごとにリスクと統制を記述し、IT統制の方針書を添え、運用テストの記録を綴じる。作る側の私はすべてを理解していた。当たり前だ、自分で書いたのだから。だがこの文書を現場の社員が読んだかと問われれば、答えはわかっている。読んでいない。
研修は実施した。「内部統制とは何か」「なぜ必要か」をスライドにまとめ、全社員に説明した。質問はほとんど出なかった。出なかったのは理解したからではない。関心がなかったからだ。現場にとって内部統制とは、今まで口頭で済んでいた承認にハンコが必要になり、メールで済んでいた報告に書式が指定され、日常業務の手間が増えること——それ以上でも以下でもなかった。「なぜハンコが必要なのか」を説明しても、納得はされても歓迎はされない。必要性は頭ではわかる。だが日々の業務が回っているのに、なぜ余計な手順を踏まなければならないのか。その感覚は正直なものだった。
経営層の反応も似たようなものだった。「内部統制の整備は必要だ」とは言う。上場審査で問われるのだから、やらないわけにはいかない。だが具体的に何をどう整備するかは「任せる」の一言で終わる。予算も人員も最小限。「やっておいてくれ」と言われ、やった結果を報告しても、反応は「ありがとう、よろしく」だけだ。経営者にとって内部統制は、上場のための必要条件ではあるが、事業を伸ばす手段ではない。関心の優先度が違う。
結果として、内部統制は「一人の担当者が作り、一人の担当者が管理し、監査のときだけ引っ張り出される文書」になった。形式は整っている。書類は揃っている。だがそのルールが日常的に意識されているかと言えば、されていない。監査対応のために存在する文書と、業務の現場で生きているルールの間には、深い溝があった。私はルールを作る側にいた。だが作る側に回ったことで、ルールの限界も見えてしまった。作っただけでは動かない。理解されなければ守られない。守られていても、意味がわからないまま守っているなら、それは統制ではなくただの手続きだ。
AIの利用規程を書くのは、誰か
ガイドラインは、AIを業務に利用する企業に対して、社内規程の整備を求めている。どのAIサービスを使ってよいか。どのデータを入力してよいか。出力をどう検証するか。責任は誰が負うか。これらを組織として定め、文書化し、周知する。内部統制の整備と構造はまったく同じだ。
だが一つ、決定的に厄介な問題がある。内部統制のときは、ルールの対象となる業務を、ルールを作る側もある程度理解していた。経理の承認フロー、購買の発注プロセス、販売の与信管理。業務そのものは既知のものだ。フローチャートに描ける。リスクも想定できる。統制の設計は、業務への理解の上に成り立っていた。
AIの利用規程はそうはいかない。ルールを書く側——多くの場合、管理部門やコンプライアンス担当——が、AIを日常的に使っていないケースが少なくない。ChatGPTにプロンプトを入力したことがない人間が、プロンプトに何を入れてよいかのルールを書く。生成AIの出力を業務で使ったことがない人間が、出力の検証方法を定める。ここに構造的な矛盾がある。内部統制のときは、業務を知らない人間が業務のルールを書くことはなかった。だがAIの利用規程では、それが起きている。ツールを触ったことがない人間が、ツールの使い方のルールを書いている。
もう一つ、J-SOXのときと同じパターンが繰り返されている。経営者は「AI利用の方針を整備しろ」とは言う。だが具体的に何をどう整備するかは「任せる」で終わる。担当者は一人か二人。予算はつかない。外部のコンサルに頼む余裕もない。ネットで拾ったテンプレートをベースに、自社の実態に合っているかどうかも検証しないまま、「AI利用ガイドライン」を作成する。完成した文書は社内ポータルに掲載され、全社員にメールで通知される。だが読む人間はほとんどいない。内部統制の三百ページと同じだ。作られたことには意味がある。だが読まれなければ、その意味は監査対応の書類棚の中に閉じたままだ。
ガイドラインが求めているのは、文書を作ることではない。ルールが組織の中で機能することだ。機能するルールとは何か。それを考えるために、少し視点を変えてみたい。
校則は誰のために存在するか
学校には校則がある。廊下を走るな。授業中にスマートフォンを使うな。制服は指定されたものを着ろ。多くの人が学生時代に経験しているはずだ。校則には、理由のわかるものとわからないものがある。「廊下を走るな」は理由が明快だ。走れば人にぶつかる。怪我をする。安全のためのルールだ。守る理由が理解できるから、大半の生徒はおおむね守る。走ったとしても、注意されれば「ああ、そうだった」と思い出す。ルールの根拠が共有されている。
だが校則の中には、根拠がまったく見えないものもある。ポニーテール禁止。地毛が茶色い生徒に「地毛証明書」の提出を求める。いわゆるブラック校則と呼ばれるものだ。これらのルールには、一応の理由がつけられている。「華美にならないため」「風紀を維持するため」。だがその理由を聞いて、納得する生徒がいるだろうか。ポニーテールが風紀をどう乱すのか。生まれ持った髪の色を証明させることに、どんな教育的意味があるのか。説明できる教師も少ないだろう。ルールだけが残り、理由が消えている。こうなるとルールは二つの結果を生む。形だけ従うか、密かに破るかだ。どちらにしても、ルールは機能していない。
校則を作るのは教師だ。だが教師は生徒ではない。生徒の日常を完全には理解していない。かつて自分も生徒だった記憶はあるが、それは何十年も前の話だ。スマートフォンもSNSもなかった時代の記憶で、今の生徒のルールを作っている。結果として、生徒の現実から乖離した校則が生まれる。そしてその校則が形骸化していることに、作った側は気づかない。教師の側から見れば、校則は守られている。少なくとも、目に見える範囲では。だが見えないところで何が起きているかは、作る側からは見えない。
AIの利用規程にも同じことが起きている。「ChatGPTに業務データを入力するな」——これは「廊下を走るな」に近い。情報漏洩のリスクがある。理由は明快だ。だが「AIの利用は事前に上長の承認を得ること」はどうか。日常的にAIを使っている社員にとって、メールの下書きを作るたびに上長の承認を取るのは現実的ではない。「AIの出力は必ず二名以上で確認すること」も同様だ。誤字の修正提案を二名で確認するのか。ルールの趣旨はわかる。だが粒度が現実に合っていない。ブラック校則と同じだ。理由を聞いても納得できないルールは、形だけ従うか、密かに破るかのどちらかになる。
機能する校則と機能しない校則の違いは、一つだ。守る側がルールの理由を理解しているかどうか。「廊下を走るな」は理由がわかるから守られる。「地毛証明書を出せ」は理由がわからないから形骸化する。AI利用規程も同じだ。「取引先の機密情報は入力しない」は、情報漏洩のリスクを一度でも説明すれば、大半の社員は理解する。だが「AI利用は事前申請制」とだけ書かれたルールは、なぜ事前申請が必要なのかがわからなければ、やがて無視されるか、事後的に形だけの申請書が回るようになる。
J-SOXの内部統制も、同じ壁にぶつかった。ルールを三百ページ書いても、現場がその理由を理解していなければ、文書は棚に眠るだけだった。ガイドラインが求めているのは、文書の完成度ではない。ルールの理由が組織の中で共有されていることだ。なぜこのデータを入力してはいけないのか。なぜ出力を検証しなければならないのか。「ルールだから」ではなく、理由を伝えられるかどうか。校則を作る側に回った教師が、生徒にルールの理由を説明できるかどうか。問われているのは、ルールの分量ではなく、理由の解像度だ。
次回は、AIを使った成果物を顧客や取引先にどう伝えるかを取り上げる。SEO記事の量産が問題になった時代を覚えている人には、見覚えのある風景になるだろう。作ったものの品質を誰が保証するのか。その問いの構造は、AIの時代も変わっていない。
次の成長に向けて、いま整えるべきことを。
AI、EC、マーケティング、採用、数値管理。
構想だけで終わらせず、実行できる体制へ。
まずは課題を整理してみるところから、スポルアップが実務目線で伴走します。
