「規制の壁」をどう越えたか…塩野義製薬・関西電力が語った、コンプライアンス実装の現場

●この記事のポイント
・レクシスネクシス・ジャパンが「第3回 コンプライアンス イノベーション アワード」を開催し、関西電力と塩野義製薬を表彰した
・塩野義製薬は「管理部署」と「遵守部署」を分離し、社長を委員長とするコンプライアンス委員会が二重にモニタリングする体制を構築したと説明した
・関西電力は法改正情報と社内規程を紐付けるシステムを導入し、属人化していた点検作業の標準化を進めたと語った
・両社に共通していたのは、制度設計そのものより「現場にどう定着させるか」で試行錯誤を重ねているという実情だった

 企業のコンプライアンス対応は、法改正の頻度が増し事業のグローバル化が進むなかで、年々複雑になっている。とりわけ法務部門は社外から実態が見えにくく、いわゆる「ブラックボックス化」がしばしば課題として指摘されてきた。

 そうした領域に法務データベースとテクノロジーを掛け合わせて切り込むのが、レクシスネクシス・ジャパン株式会社である。1999年に日本法人を設立し、150カ国以上で事業を展開するRELXグループの一員として、法令情報データベースとコンプライアンス管理を統合したプラットフォーム「ASONE」を提供してきた。導入実績は1500社を超える。

 同社は2026年7月8日、東京ミッドタウン八重洲で「第3回 コンプライアンス イノベーション アワード-ASONEベストユースケース」を開催した。表彰されたのは、関西電力株式会社コンプライアンス推進本部内部統制グループの片本真代氏と、塩野義製薬株式会社法務・コンプライアンス部コンプライアンスグループ長の中村健一郎氏。パネルディスカッションでは、規制対応の体制をどう作り、どう現場に根付かせてきたか、それぞれの言葉で語られた。

●目次

3回目を迎えたアワードの位置づけ

 開会にあたり、レクシスネクシス・ジャパン代表取締役社長のパスカル・ロズィエ氏は、規制環境の複雑化がコンプライアンス対応を単なる守りではなく経営の攻めの一手にもし得るとの認識を示した上で、審査基準を次のように説明した。

「コンプライアンスへの影響、創造性と独自性、そして拡張性と適応性という3つの観点から選考を進めてまいりました」

 塩野義製薬は、法政策情報をタイムリーに取得する体制の構築と、社内ルールが法的要求を満たしているかを確認する仕組みづくりを目的にASONEを導入し、法令違反リスクの軽減とコンプライアンス体制の強化を実現したとして表彰された。関西電力は、膨大な法改正情報の収集と社内ルールへの反映という課題の解決に取り組み、担当者の負荷軽減と対応品質の向上を実現したとして選ばれている。

「管理部署」と「遵守部署」――名前にこだわった理由

 塩野義製薬は創業141年、従業員数約6200名。売上高は4997億円(同社発表、決算区分の条件は未確認のため要確認)で、目標としてきた5000億円まであと一歩の水準にあるという。医薬品製造販売を担う企業として、同社が向き合う規制は薬機法を中心に幅広い。中村氏は、法令遵守にとどまらず人事労務や製造業としての法令をどこまで満たせているかを説明できる体制が課題だったと振り返る。

 法令遵守活動を見直したのは2024年。まず自社に関係する法令を洗い出す「フェーズ1」から着手した。全部署への照会に加え、業界団体である製薬協の情報や社会保険労務士の知見も加味し、客観性を確保したという。

 体制づくりで中村氏がこだわったのが、部署の呼び方だった。

「元々は『主管部署』と呼んでいたのですが、それだと関係部署は『関係しているだけで何もしてくれない』と受け止められてしまいます。一番大事なのは現場に守ってもらうことなので、『遵守部署』という名前にはかなりこだわりました」

 体制は、ルールを整備し教育を担う「管理部署」と、実際に法令を守る「遵守部署」に分かれ、管理部署が遵守部署をモニタリングし、それをさらにコンプライアンス委員会が確認する二重構造になっている。委員長は代表取締役社長が務め、トップダウンで意思決定できる強みがあるという。

 もっとも、その強みを使わずに済ませることを中村氏は重視していると語った。責任部署をめぐっては、かつて一つの法令に二つの部署を割り当てたところ、違反が起きた際に互いに責任を押し付け合う場面があったという。以後、責任部署は原則一つに絞ることにしたと明かした。

1500枚のチェックシートと、現場の本音

 法令の優先順位づけでは、一般的な会社法務に関わる法令を上位に、次いで自社の事業に直結する業法、さらに社会的関心が高まっている領域を早期対応の対象とした。各法令について、米国司法省のコンプライアンスプログラムが挙げる7要素のうち、規定・責任体制・教育・コミュニケーションルート・モニタリングの5点を確認したという。

 現場への落とし込みでは、全部署に「コンプライアンスリスクマネジメント実施計画書」を毎年作成させ、各部署自身にどの法令のリスクが高いか、責任部署はどこかを記入させる。このチェックシートは1500枚に上った。

「1500枚、文句を言われながらでしたが、なんとか書いていただきました。この先、二度とこんなチェックシートを毎年書く未来が来ないように、とお願いして進めました」

 会場からの質問で、現場把握の具体的な方法を問われた中村氏は、全ての法令を同じ密度でモニタリングすることはせず、リスクが高いと申告された部署を重点的に確認していると説明した。加えて、問題が起きた際は速やかに社長まで報告が上がる「バッドニュース・ファースト」の原則を社内ルールとして敷いているという。

 興味深かったのは、会場全体への挙手アンケートの結果だった。モデレーターが「法令の実態把握」と「PDCAサイクルの運用」のどちらに関心が強いかを尋ねたところ、会場では後者が優勢だった。中村氏はこの結果について率直な感想を述べた。

「正直、半々ぐらいだと予想していました。よくよく考えると、実際に法令を守るのはコンプライアンス部門ではなく現場です。現場が回せる仕組みを整えることの方が大事だと、改めて感じました」

人手からシステムへ――属人化のコストを問う

 関西電力は電力事業を中心に、通信や不動産など事業領域を広げており、それに伴い対象となる法令も多岐にわたるようになっている。片本氏が所属するコンプライアンス推進本部内部統制グループは2023年7月の新設で、現在9名。推進本部全体では約30名の体制だという。事業部門を第1線、コーポレート共通部門を第2線、監査部門を第3線とする「3線管理体制」を敷いている。

 導入のきっかけは、社内ルールへの法令・条例の反映状況を総点検したことだった。一旦は網羅できたと考えたものの、その後も新しい法改正が相次ぎ、人手による対応の限界を痛感したという。

「人手には限界があります。マニュアルに確実に反映されていなければ、その通りに仕事をした社員が届け出漏れなどのミスを起こしてしまう。ミスをした本人が責任を強く感じてしまうことにもつながります」

 導入したのは、法改正情報を通知する「法政策情報」と、社内の法令手続きチェックリストと法改正を紐付ける「業務規程コネクト」の二つ。従来はExcelで管理していたチェックリストをシステムに移行し、法改正があれば該当箇所への反映を促す通知が届く仕組みにした。反映漏れがないかは、数カ月に一度レクシスネクシス側が確認するサービスも併用しているという。

 現場への導入時には、Excelでの管理に慣れた担当者から負荷増加への懸念の声も出たといい、説明会を重ねて丁寧に目的を伝えたと片本氏は振り返った。導入後の変化については次のように述べている。

「誰がやるのか、主語がはっきりしたことが大きかったです。人任せだったところが、システムに支えられて、自分が責任を持ってやっていくというマインドにつながっています」

 今後の課題としては、既存法令のカバーだけでなく新規に制定される法令・条例への感度を挙げた。現在は、法政策情報として届く新法令の情報をすべて生成AIにかけ、関西電力グループに関係しそうなものがないかを月1回確認しているという。関係がありそうだと判断された場合は、全部門に月次でメールを共有する運用にしている。

仕組みを作ってからが本番

 パネルディスカッションを通じて浮かび上がったのは、両社とも「仕組みを整備すること」自体よりも「現場に定着させること」に多くの労力を割いているという実情だった。片本氏は「アラートを受け取った後、確実に社内へ反映されているかの継続的なフォローが課題」と述べ、中村氏も、チェックシートへの現場の不満を認めた上で作業を進めてきた経緯を隠さなかった。

世界のGRC市場から見えるもの

 この2社の取り組みを、海外のGRC(ガバナンス・リスク・コンプライアンス)市場の潮流に照らすと、立ち位置がもう少し見えてくる。海外ではOneTrust、ServiceNow GRC、Diligent、NAVEX、MetricStreamといった大手が競合する市場が形成されており、複数の市場調査会社が、AIが規制動向やニュースを常時スキャンし、リスクスコアをリアルタイムで更新する「継続的モニタリング」への移行を共通して指摘している。年1回のリスクアセスメントから、兆候を先回りして検知するモデルへの転換が進んでいるという見立てである(市場規模の推計値は調査会社によって数倍単位でばらつきがあり、具体的な数字の引用は避ける)。

 文脈に照らすと、塩野義製薬の「年次のコンプライアンスリスクマネジメント実施計画書」(1500枚)や、関西電力の「月1回、生成AIに新法令情報をまとめて確認させる」運用は、いずれも定期バッチ処理型の点検に近い。海外の先端事例が志向する「常時監視・即時検知」とは、更新頻度の面でまだ距離がある。

 もっとも、これは単純な遅れとは言い切れない。製薬業界には固有の事情がある。米FDAが求めるGxP規制や、AIモデルの変更計画そのものを審査対象とする「PCCP(事前変更管理計画)」のように、自動化を急ぐこと自体が新たな規制リスクになりかねない領域があるためだ。中村氏が語った「まずは年次の棚卸しから始め、回すたびに洗練させていく」という段階的なアプローチは、拙速な自動化よりも手堅い選択とも言える。

 つまり、今回2社が語ったASONEの活用実態は、世界のGRC市場が向かう「リアルタイム・AI駆動」の最先端そのものではなく、その一歩手前……属人化と手作業から抜け出す、日本企業の多くが今なお抱える基礎的な課題を解決する段階にある。規制の厳格さと現場の実務スピードの両立は、派手な技術で一気に解決するものではなく、誰が法令の責任を持ち、どう伝え、どう確認するかという地道な運用の積み重ねの先にある。そのことを、この日登壇した二人の言葉は物語っていた。

(取材・文=昼間たかし)