【概要】法務のリスクマネジメント設計のポイント（ISO31000：2108の概要の紹介）

ISO31022とは

ISO31022は、組織がより効率的にかつ費用対効果に優れたリーガルリスクマネジメント(LRM)及びリーガルリスク対応を支援する活動のガイダンスを提供する国際規格になります。これは、企業のリスクマネジメント全般に関する規格であるISO31000から派生したも

ISO31022は、リーガルリスクマネジメント(LRM)に対し構造化されかつ一貫性あるアプローチの提供をするものです。そのため、このISO31022に則ることで、これまで弁護士や法務部員の職人知として属人的になってしまっていたLRMに関する知見を組織知とすることが期待されます。

LRMのコアプロセス

ISO31022は、LRMのコアプロセスとして下記のようなプロセスを期待しています。

①リーガルリスクの基準の確立
目的に照らし取れるリスクと取れないリスクについてその大きさや種類を規定するプロセス。

②リスクアセスメント
ア）リスク特定：リスクを発見し、認識し、記述するプロセス。
イ）リスク分析：リスクの性質や特徴を理解し、リスクレベルを決定するプロセス。
ウ）リスク評価：リスクやその大きさが許容可能か決定するため、分析結果とリスク基準をを比較するプロセス。

③リスク対応
リスクに対応するための選択肢を選定し、実施するプロセス。
そして、LRMの各プロセスにおいて、時宜を得た方法でステークホルダーとコミュニケーションをとり、協議することが重要になります。

３　LRMの各プロセスの概要

（１）リーガルリスクの基準の確立

(ア)　概要と注意点

リーガルリスクの基準の確立は、目的に照らし取れるリスクと取れないリスクについてその大きさや種類を規定しておくことであり、これをしておくことで個別の事象についてリスクの重大性を評価し意思決定を支援します。リスクの許容度やどのリスクが重要かは組織によって変わりうるものですので、他社の基準をそのまま組み込むのではなく自らの組織状況を反映し作成することが必要となります。

(イ)　リーガルリスク基準決定の際の考慮要素

リーガルリスク基準を決定するにあたっては例えば以下のような内容について考慮しなければなりません。

・組織の目標及び優先順位。

・第三者との関係性。

・LRMの適用範囲及び目的並びにリーガルリスクの種類。

・ステークホルダーによるリーガルリスクの許容やリスクレベルの許容度。

・リスクレベル分類のための測定方法　等々

（２）リーガルリスクアセスメント

リーガルリスクの特定

リーガルリスクの特定とは、組織の目標達成を助け又は妨げる可能性のあるLRを発見し、認識し、記述することであり、これによってリーガルリスクの分析目的や適用範囲を明確にすることができるようになります。

リーガルリスクの特定は高い問題発見力が求められますので、法務担当者は法律実務だけでなく、隣接分野や業界・世の中の動きの把握も心がけなければなりません。

ISO31022は、リーガルリスク特定のツールとして、リーガルリスクマトリクスやリーガルリスク特定簿を紹介しておりこれらを活用することでリーガルリスクの特定の質が向上していくことを期待しています。

リーガルリスクの分析・評価

リーガルリスクの分析とは、特定されたリーガルリスクを定量的又は定性的に分析するプロセスになります。
リーガルリスクの評価は、リスク分析の結果と組織のリスク基準を比較してリーガルリスクに対し優先順位付けをして評価するプロセスになります。
リーガルリスクの分析と評価は、当該リスクが顕在化する可能性（事象の起こりやすさ）と起きた場合のインパクトの大きさ（事象の結果）を中心に検討することになります。
事象の結果に含まれる要因としては以下のような内容が挙げられます。
・LRによって生じる事象で引き起こされ得る各種利益又は損失。
・敵対的なメディア（伝統的メディアだけでなく、ソーシャルメディアも含みます）の報道。
・利益又は損失の金額や適用範囲、その結果に対するステークホルダーの反応。

（３）リーガルリスクの対応

リーガルリスクの対応は、組織がLRに対処するために組織により実施される戦略であり、効果的な対応がとれなければ組織は望まざる訴訟や損失にされされかねないという危険にさらされます。そのため、リーガルリスクの対応は、リーガルリスクマネジメントにおいて非常に重要になります。

リーガルリスクの対応フロー

リーガルリスクの対応は、以下のようなフローを経ることが想定されます。

①リスク対応の選択肢の選定
②リスク対応の計画及び実施
③リスク対応の有効性の評価
④残留リスクが許容可能かの判断
⑤許容できない場合は、さらなる対応の実施

リスク対応の選択肢

リスク対応に当たっての選択肢としては以下のようなパターンが考えられています。

①活動を開始、継続しない決定をする。
②機会を追求するためにリスクを取る（又は増加させる）。
③リスク源を除去する。
④起こりやすさや結果を変える、リスクを共有する（契約、保険等）。
⑤リスクを保有する。

（４）コミュニケーション、協議及び報告の仕組み

コミュニケーションと協議

組織内外で様々な関係者が存在し、それぞれが様々な価値観や優先事項を持っておりLRMに関する選好や期待も異なる可能性が高いため、LRMのプロセスにおいて時宜を得た方法でステークホルダーとコミュニケーション及び協議をすることが重要になります。

コミュニケーションと協議においては、すれ違いや言った言わないのもめ事が生じないように、強固なモニタリング及びレビュープロセスを含むこと並びにリスクマネジメントの慣行を記録し報告していくことが望ましいとされています。

モニタリング及びレビュー

モニタリングとレビューをすべきと上記しましたが何をモニターしまたはレビューすればよいのでしょうか。ISO31022ではモニタリングやレビューをする対象としては、例えば以下のようなものが挙げられています。

①リスク対応後の結果
②環境の変化（組織内だけでなく、法令の改正等の組織外における変化も含む）
③統合されたリスク対応計画
④責任者及びアカウンタビリティの担当者の指定

記録の作成及び報告

ISO31022では記録の作成及び報告において、組織は以下の問題を考慮することが望ましいとされています。

①データ保護法に従ったデータの取扱いやプライバシー方針。
②秘匿特権、ワークプロダクト法理等。
③関連文書が証拠プロセスにおいて安全に維持される必要性。
④秘密性ある文書の機密性や安全対策。

組織としてLRMの質を上げていくために

（１）リーガルリスク登録簿と5×5リーガルリスク・マトリクス

ISO31022の活用を通じて従前は属人化しがちであったリーガルリスクの特定や対応手段について組織知とするためには、組織内で「共通言語」を持つことが有用であり、そのための手段として、Airbnbリードカウンセルの渡部 友一郎弁護士はタテ軸を「事象の結果」横軸を「事象の起こりやすさ」として表にする「5×5リーガルリスク・マトリクス」を利用することを提案しています。このマトリクスを共通基盤としてリスクレベルを法務内または他部署と協議して評価することで、組織における認識の可視化や透明性の向上が期待されます。

そして、評価されたリスクレベルを参考に対応を検討の上、実施しましたら、当該案件の評価や実施内容、実施内容へのレビュー等をリーガルリスク登録簿に記録します。そうすることで、組織内で共通基盤を持った状態で前例が蓄積されていき、繰り返していくうちにリスクアセスメントとリスク対応の質が向上していくことが期待されます。

（２）法務部員が活用するにあたっての注意点

ISO31022ではLRMのプロセスは、アセスメントでは終わらずリスク対応まで含めて一連のプロセスとして完結します。従前、法務部は、アセスメントにばかり注力しがちで対応が疎か（現場任せ）になりがちという批判をされたりしていました。法務がLRMを担う部署として組織で価値発揮するために、リスク対応策をどうするかの検討にも今まで以上に注力していくことが望ましいでしょう。

また、組織知とするために、またそもそも各案件における法務のアウトプットの質を向上するためにも、5×5マトリクスを通じた分析・評価結果やそれを基にした対応策については自分の中だけで留めずに上司や同僚と共有しそのフィードバックを受けるようにしていくべきでしょう。

主たる参考資料

ISO「ISO31022:2020 リスクマネジメント－リーガルリスクマネジメントのためのガイドライン」
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO+31022%3A2020

渡部友一郎「リーガルリスクマネジメント実践の見取り図―ISO31022の枠組みとリーガルリスクの４段階コアプロセス」ビジネス法務2021年6月号

渡部友一郎ら「リーガルリスクマネジメントに関する国際規格ISO31022が発行 企業、弁護士が活用するポイントは」BUSINESS LAWYERS・2021年01月20日
https://www.businesslawyers.jp/articles/878