OECDは多国籍企業に対し、一般方針、情報開示、人権、雇用、環境、消費者利益など、幅広い分野の責任ある企業行動に関する原則と基準を「多国籍企業行動指針」として公表している。法的拘束力はないが、環境や社会問題に配慮している企業を評価するESG投資などがグローバルに浸透、その対応はもはや義務だ。5月には「企業は自企業が引き起こす又は一因となる実際の及び潜在的な悪影響を特定し、防止し、緩和するため、リスクに基づいたDue Diligenceを実施すべき」として「責任ある企業行動のためのDue Diligenceの手引」も公表された。Due Diligenceは元々「その行為者がその行為に先んじて払ってしかるべき正当な注意義務及び努力」を意味するリスク管理用語だ。社会の期待に応え責任ある行動を自主的にとることが近時のコンプライアンスだが、適切なリスク管理がそれを支えている。（芳賀）

危険タックル問題で、日大が関東学生アメフト連盟に改善報告書を提出し、反則は内田前監督からの指示であったことを認めているという。改善報告書では、内田前監督が大学の常務理事や人事部長を努め、学内で強い権力を持っていたことを挙げ、再発防止策のひとつとして、理事が監督やコーチなどを兼任しないことを挙げているようだ。大学組織に限らず、不祥事にみるスポーツ統括組織の特性として、「対応の遅さと消極性」、「閉鎖性」、「社会常識からの乖離」が挙げられよう。その背景には、「自分たちは大丈夫」、「昔からの伝統だから」という思い込みや、強力な権力構造が潜んでいる。特に強力な権力構造が生じた組織では、倫理問題が発生しやすい。権力の濫用を防ぐためには、執行と監視を分離し、権力をコントロールするシステムの構築が必要だ。(伊藤）

独立行政法人「産業技術総合研究所」は今月21日、本年2月に発覚した不正アクセスに関する報告書を公開した。本件では、機密な研究情報や全職員の情報などが漏えいしたおそれがあるものの、行為者は特定できていない。報告書では被害の経過がつまびらかに示されており、着目すべき点は少なくない。たとえば行為者が、悪意のあるソフトウェアを標的型メールで送り込むことなく徹底してIDとパスワードを標的とし、システムに侵入していること。委託先業者が攻撃に気付きながらも「すべて失敗した」と誤認し、発覚が遅れたこと。脆弱なパスワードが100超もあり標的となったこと。産総研内に専門家が少なく、体制上の不備で緊急対応も迅速に行われなかったこと…。何れもこんにちのサイバーリスクを知るには格好の教材となっており、CISOや情シス担当者は必読である。(山岡）